COBIT V41 VF - bm.com.tn · Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter...
Transcript of COBIT V41 VF - bm.com.tn · Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter...
C BITreg
OC BITregO 41
C a d r e d e R eacute f eacute r e n c e
O b j e c t i f s d e C o n t r ocirc l e
G u i d e d e M a n a g e m e n t
M o d egrave l e s d e M a t u r i t eacute
COBIT41 LIT Governance Institute LIT Governance Institute (ITGI wwwitgiorg) a eacuteteacute creacuteeacute en 1998 pour faire progresser la reacuteflexion et les standards internationaux qui se rapportent agrave la gestion et au controcircle des systegravemes drsquoinformation (SI) dans les entreprises Une gouvernance efficace des SI doit permettre de srsquoassurer que celles-ci vont dans le sens des objectifs de lentreprise qursquoelles permettent drsquooptimiser les investissements informatiques et de geacuterer comme il convient les risques et les opportuniteacutes lieacutes agrave leur existence LrsquoIT Governance Institute met agrave la disposition des dirigeants drsquoentreprises et des conseils drsquoadministration des travaux de recherche originaux des ressources en ligne et des eacutetudes de cas pour les aider agrave faire face agrave leurs responsabiliteacutes dans le domaine de la gouvernance des SI
Avertissement LrsquoIT Governance Institute (le laquo Proprieacutetaire raquo) a conccedilu et reacutedigeacute ce document intituleacute COBIT reg V 41 (lrsquo laquo Œuvre raquo) essentiellement comme une ressource peacutedagogique pour les directeurs de lrsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle Le Proprieacutetaire ne garantit pas que lrsquoutilisation drsquoune partie quelconque de lrsquoŒuvre produira de faccedilon certaine un reacutesultat positif On ne doit pas consideacuterer agrave priori que lrsquoŒuvre contient toutes les informations les proceacutedures et les tests neacutecessaires ni qursquoelle exclut le recours agrave drsquoautres informations proceacutedures ou tests qui visent raisonnablement agrave produire des reacutesultats semblables Pour deacuteterminer si une information une proceacutedure ou un test speacutecifique est approprieacute les directeurs des systegravemes drsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle doivent appliquer leur propre jugement aux circonstances particuliegraveres qui se preacutesentent dans leurs environnements informationnels et technologiques speacutecifiques
Droits de proprieacuteteacute Diffusion et Copyright copy 2007 IT Governance Institute Tous droits reacuteserveacutes Il est interdit dutiliser copier reproduire modifier diffuser preacutesenter archiver ou transmettre par quelque moyen que ce soit (eacutelectronique meacutecanique photocopie enregistrement ou autre) une partie quelconque de cette publication sans lautorisation eacutecrite preacutealable de lrsquoIT Governance Institute La reproduction de passages de cette publication pour un usage exclusivement interne et non commercial ou dans un but peacutedagogique est autoriseacutee sous reacuteserve que la source soit mentionneacutee avec preacutecision Aucun autre droit et aucune autre autorisation ne sont accordeacutes pour cette œuvre
IT Governance Institute AFAI 3701 Algonquin Road Suite 1010 Association Franccedilaise de lAudit et du Conseil Informatiques Rolling Meadows IL 60008 Eacutetats-Unis 171 bis avenue Charles de Gaulle Teacutel +18475907491 92200 NEUILLY sur SEINE (France) Fax +18472531443 Teacutel 33 (0)1 40 88 10 44 E-mailinfoitgiorg E-Mail afaiafaifr Sites Internet wwwitgiorg Site Internet wwwafaifr ISBN 1-933284-72-2 ISBN 2-915007-09-8
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
Translated into French language from the English language version of COBIT reg Control Objectives for Information and related technology 41th Edition by AFAI the French Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information Systems Audit and Control Foundation AFAI assumes sole responsibility for the accuracy and faithfulness of the translation
Traduction franccedilaise de COBIT reg Objectifs de controcircle de lInformation et des technologies associeacutees Eacutedition 41 reacutealiseacutee par lrsquoAFAI chapitre franccedilais de lrsquoInformation Systems Audit and Control Association (ISACA) avec lrsquoautorisation de lrsquoIT Governance Institute et de la Information Systems Audit and Control Foundation LrsquoAFAI est seule responsable de lrsquoexactitude et de la fideacuteliteacute de la traduction
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA All rights reserved No part of this publication may be reproduced in any form without the written permission of the IT Governance Institute
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite de lrsquoIT Governance Institute
Copyright 2000 2002 2006 2008 AFAI Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite du Conseil drsquoAdministration de lrsquoAFAI
REMERCIEMENTS
Lrsquoeacutedition franccedilaise de COBIT 41 est lœuvre de la Commission COBIT de lAFAI preacutesideacutee par Jean-Louis BLEICHER Administrateur de lrsquoAFAI Banque Feacutedeacuterale des Banques Populaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
REMERCIEMENTS
LrsquoIT Governance Institute tient agrave remercier Les experts les reacutealisateurs et les reacuteviseurs Mark Adler CISA CISM CIA CISSP Allstate Ins Co USA Peter Andrews CISA CITP MCMI PJA Consulting UK Georges Ataya CISA CISM CISSP MSCS PBA Solvay Business School Belgium Gary Austin CISA CIA CISSP CGFM KPMG LLP USA Gary S Baker CA Deloitte amp Touche Canada David H Barnett CISM CISSP Applera Corp USA Christine Bellino CPA CITP Jefferson Wells USA John W Beveridge CISA CISM CFE CGFM CQA Massachusetts Office of the State Auditor USA Alan Boardman CISA CISM CA CISSP Fox IT UK David Bonewell CISA CISSP-ISSEP Accomac Consulting LLC USA Dirk Bruyndonckx CISA CISM KPMG Advisory Belgium Don Canilglia CISA CISM USA Luis A Capua CISM Sindicatura General de la Nacioacuten Argentina Boyd Carter PMP Elegantsolutionsca Canada Dan Casciano CISA Ernst amp Young LLP USA Sean V Casey CISA CPA USA Sushil Chatterji Edutech Singapore Ed Chavennes Ernst amp Young LLP USA Christina Cheng CISA CISSP SSCP Deloitte amp Touche LLP USA Dharmesh Choksey CISA CPA CISSP PMP KPMG LLP USA Jeffrey D Custer CISA CPA CIA Ernst amp Young LLP USA Beverly G Davis CISA Federal Home Loan Bank of San Francisco USA Peter De Bruyne CISA Banksys Belgium Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Philip De Picker CISA MCA National Bank of Belgium Belgium Kimberly de Vries CISA PMP Zurich Financial Services USA Roger S Debreceny PhD FCPA University of Hawaii USA Zama Dlamini Deloitte amp Touche LLP South Africa Rupert Dodds CISA CISM FCA KPMG New Zealand Troy DuMoulin Pink Elephant Canada Bill A Durrand CISA CISM CA Ernst amp Young LLP Canada Justus Ekeigwe CISA MBCS Deloitte amp Touche LLP USA Rafael Eduardo Fabius CISA Republica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Christopher Fox ACA PricewaterhouseCoopers USA Bob Frelinger CISA Sun Microsystems Inc USA Zhiwei Fu Ph D Fannie Mae USA Monique Garsoux Dexia Bank Belgium Edson Gin CISA CFE SSCP USA Sauvik Ghosh CISA CIA CISSP CPA Ernst amp Young LLP USA Guy Groner CISA CIA CISSP USA Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Benjamin K Hsaio CISA Federal Deposit Insurance Corp USA Tom Hughes Acumen Alliance Australia Monica Jain CSQA Covansys Corp US Wayne D Jones CISA Australian National Audit Office Australia John A Kay CISA USA Lisa Kinyon CISA Countrywide USA Rodney Kocot Systems Control and Security Inc USA Luc Kordel CISA CISM CISSP CIA RE RFA Dexia Bank Belgium Linda Kostic CISA CPA USA John W Lainhart IV CISA CISM IBM USA Philip Le Grand Capita Education Services UK Elsa K Lee CISA CISM CSQA AdvanSoft International Inc USA Kenny K Lee CISA CISSP Countrywide SMART Governance USA Debbie Lew CISA Ernst amp Young LLP USA
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 1
COBIT41
REMERCIEMENTS (SUITE)
Donald Lorete CPA Deloitte amp Touche LLP USA Addie CP Lui MCSA MCSE First Hawaiian Bank USA Debra Mallette CISA CSSBB Kaiser Permanente USA Charles Mansour CISA Charles Mansour Audit amp Risk Service UK Mario Micallef CPAA FIA National Australia Bank Group Australia Niels Thor Mikkelsen CISA CIA Danske Bank Denmark John Mitchell CISA CFE CITP FBCS FIIA MIIA QiCA LHS Business Control UK Anita Montgomery CISA CIA Countrywide USA Karl Muise CISA City National Bank USA Jay S Munnelly CISA CIA CGFM Federal Deposit Insurance Corp USA Sang Nguyen CISA CISSP MCSE Nova Southeastern University USA Ed OrsquoDonnell PhD CPA University of Kansas USA Sue Owen Department of Veterans Affairs Australia Robert G Parker CISA CA CMC FCA Robert G Parker Consulting Canada Robert Payne Trencor Services (Pty) Ltd South Africa Thomas Phelps IV CISA PricewaterhouseCoopers LLP USA Vitor Prisca CISM Novabase Portugal Martin Rosenberg PhD IT Business Management UK Claus Rosenquist CISA TrygVesata Denmark Jaco Sadie Sasol South Africa Max Shanahan CISA FCPA Max Shanahan amp Associates Australia Craig W Silverthorne CISA CISM CPA IBM Business Consulting Services USA Chad Smith Great-West Life Canada Roger Southgate CISA CISM FCCA CubeIT Management Ltd UK Paula Spinner CSC USA Mark Stanley CISA Toyota Financial Services USA Dirk E Steuperaert CISA PricewaterhouseCoopers Belgium Robert E Stroud CA Inc USA Scott L Summers PhD Brigham Young University USA Lance M Turcato CISA CISM CPA City of Phoenix IT Audit Division USA Wim Van Grembergen PhD University of Antwerp Management School Belgium Johan Van Grieken CISA Deloitte Belgium Greet Volders Voquals NV Belgium Thomas M Wagner Gartner Inc USA Robert M Walters CISA CPA CGA Office of the Comptroller General Canada Freddy Withagels CISA Capgemini Belgium Tom Wong CISA CIA CMA Ernst amp Young LLP Canada Amanda Xu CISA PMP KPMG LLP USA
Le Conseil drsquoAdministration de lrsquoITGI Everett C Johnson CPA Deloitte amp Touche LLP (retired) USA International President Georges Ataya CISA CISM CISSP Solvay Business School Belgium Vice President William C Boni CISM Motorola USA Vice President Avinash Kadam CISA CISM CISSP CBCP GSEC GCIH Miel e-Security Pvt Ltd India Vice President Jean-Louis Leignel MAGE Conseil France Vice President Lucio Augusto Molina Focazzio CISA Colombia Vice President Howard Nicholson CISA City of Salisbury Australia Vice President Frank Yam CISA FHKIoD FHKCS FFA CIA CFE CCP CFSA Focus Strategic Group Hong Kong Vice President Marios Damianides CISA CISM CA CPA Ernst amp Young LLP USA Past International President Robert S Roussey CPA University of Southern California USA Past International President Ronald Saull CSP Great-West Life and IGM Financial Canada Trustee
Le Comiteacute IT Governance Tony Hayes FCPA Queensland Government Australia Chair Max Blecher Virtual Alliance South Africa Sushil Chatterji Edutech Singapore Anil Jogani CISA FCA Tally Solutions Limited UK John W Lainhart IV CISA CISM IBM USA Roacutemulo Lomparte CISA Banco de Creacutedito BCP Peru Michael Schirmbrand PhD CISA CISM CPA KPMG LLP Austria Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 2
COBIT41 Le Comiteacute de pilotage COBIT Roger Debreceny PhD FCPA University of Hawaii USA Chair Gary S Baker CA Deloitte amp Touche Canada Dan Casciano CISA Ernst amp Young LLP USA Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Rafael Eduardo Fabius CISA Repuacuteblica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Debbie A Lew CISA Ernst amp Young LLP USA Maxwell J Shanahan CISA FCPA Max Shanahan amp Associates Australia Dirk Steuperaert CISA PricewaterhouseCoopers LLC Belgium Robert E Stroud CA Inc USA
Les conseillers de lrsquoITGI Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada Chair Roland Bader F Hoffmann-La Roche AG Switzerland Linda Betz IBM Corporation USA Jean-Pierre Corniou Renault France Rob Clyde CISM Symantec USA Richard Granger NHS Connecting for Health UK Howard Schmidt CISM RampH Security Consulting LLC USA Alex Siow Yuen Khong StarHub Ltd Singapore Amit Yoran Yoran Associates USA
Les sponsors et membres affilieacutes de lrsquoITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systegravemes drsquoInformation Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte Lte CA Hewlett-Packard IBM LogLogic Inc Phoenix Business and Systems Process Inc Symantec Corporation Wolcott Group LLC World Pass IT Solutions
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 3
COBIT41 TABLE DES MATIEgraveRES
SYNTHEgraveSE 5
CADRE DE REacuteFEacuteRENCE COBIT 9
PLANIFIER ET ORGANISER 29
ACQUEacuteRIR ET IMPLEacuteMENTER 73
DEacuteLIVRER ET SUPPORTER 101
SURVEILLER ET EVALUER 153
ANNEXE I ndash LIENS ENTRE OBJECTIFS ET PROCESSUS 169
ANNEXE II ndash LIENS ENTRE LES PROCESSUS INFORMATIQUES ET LES DOMAINES DE LA GOUVERNANCE DES SI LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT 173
ANNEXE III ndash MODEgraveLES DE MATURITEacute POUR LE CONTROcircLE INTERNE 175
ANNEXE IV - DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41 177
ANNEXE V ndash TABLEAU DES CORRESPONDANCES ENTRE COBIT 3E EacuteDITION ET COBIT 41 179
ANNEXE VI ndash APPROCHE RECHERCHE ET DEacuteVELOPPEMENT 187
ANNEXE VII ndash GLOSSAIRE 189
ANNEXE VIII ndash COBIT ET PRODUITS DE LA FAMILLE COBIT 195
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 4
SY
NT
HEgrave
SE
SYNTHEgraveSE
SYNTHEgraveSE
SYNTHEgraveSE
Pour beaucoup dentreprises linformation et la technologie sur laquelle elle sappuie constituent les actifs les plus preacutecieux mecircme si elles sont souvent les moins bien perccedilues Les entreprises qui reacuteussissent connaissent les avantages des technologies de linformation et les utilisent pour apporter de la valeur agrave leurs parties prenantes Ces entreprises comprennent et gegraverent aussi les contraintes et les risques connexes comme lobligation de se soumettre agrave des regravegles de conformiteacute de plus en plus contraignantes et la deacutependance de plus en plus forte de nombreux processus meacutetiers vis-agrave-vis des systegravemes dinformation (SI)
Le besoin de sassurer de la valeur des SI la gestion des risques qui leur sont lieacutes et les exigences croissantes de controcircle sur linformation sont deacutesormais reconnus comme des eacuteleacutements cleacutes de la gouvernance dentreprise Valeur risque et controcircle constituent le cœur de la gouvernance des SI
La gouvernance des SI est de la responsabiliteacute des dirigeants et du conseil dadministration et elle est constitueacutee des structures et processus de commandement et de fonctionnement qui conduisent linformatique de lentreprise agrave soutenir les strateacutegies et les objectifs de lentreprise et agrave lui permettre de les eacutelargir
De plus la gouvernance des SI integravegre et institutionnalise les bonnes pratiques pour sassurer quelles soutiennent la mise en œuvre des objectifs meacutetiers La gouvernance des SI permet agrave lentreprise de tirer pleinement profit de ses donneacutees maximisant ainsi ses beacuteneacutefices capitalisant sur les opportuniteacutes qui se preacutesentent et gagnant un avantage concurrentiel Pour y parvenir il convient dutiliser un reacutefeacuterentiel pour le controcircle des SI qui adopte les principes du Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control-Integrated Framework reacutefeacuterentiel de gouvernance dentreprise et de gestion des risques largement reconnu et dautres reacutefeacuterentiels semblables qui se conforment aux mecircmes principes
Les entreprises doivent satisfaire aux exigences fiduciaires ainsi quaux exigences de qualiteacute et de seacutecuriteacute pour leur information comme pour tous leurs autres actifs Les dirigeants doivent aussi optimiser lutilisation des ressources informatiques disponibles applications donneacutees infrastructures et personnels Pour sacquitter de ces responsabiliteacutes comme pour atteindre ces objectifs ils doivent connaicirctre la situation de leur architecture systegraveme et deacutecider quelle gouvernance et quels controcircles informatiques ils doivent mettre en place
Objectifs de Controcircle de lInformation et des technologies associeacutees (Control Objectives for Information and related Technology COBITreg) propose les bonnes pratiques dans un cadre de reacutefeacuterence par domaine et par processus et preacutesente les activiteacutes dans une structure logique facile agrave appreacutehender Les bonnes pratiques de COBIT sont le fruit dun consensus dexperts Elles sont tregraves axeacutees sur le controcircle et moins sur lexeacutecution des processus Elles ont pour but daider agrave optimiser les investissements informatiques agrave assurer la fourniture des services et agrave fournir des outils de mesure (meacutetriques) auxquels se reacutefeacuterer pour eacutevaluer les dysfonctionnements
Pour que linformatique reacuteponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systegraveme de controcircle ou un cadre de controcircle interne Pour reacutepondre agrave ce besoin le cadre de reacutefeacuterence de controcircle de COBIT bull eacutetablit un lien avec les exigences meacutetiers de lentreprise bull structure les activiteacutes informatiques selon un modegravele de processus largement reconnu bull identifie les principales ressources informatiques agrave mobiliser bull deacutefinit les objectifs de controcircle agrave prendre en compte
Lorientation meacutetiers de COBIT consiste agrave lier les objectifs meacutetiers aux objectifs informatiques agrave fournir les meacutetriques (ce qui doit ecirctre mesureacute et comment) et les modegraveles de maturiteacute pour faire apparaicirctre leur degreacute de reacuteussite et agrave identifier les responsabiliteacutes communes aux proprieacutetaires de processus meacutetiers et aux proprieacutetaires de processus informatiques
Lorientation processus de COBIT est illustreacutee par un modegravele de processus qui subdivise la gestion des Systegravemes dInformation en quatre domaines et 34 processus reacutepartis entre les domaines de responsabiliteacutes que sont planifier mettre en place faire fonctionner et surveiller donnant ainsi une vision complegravete de lactiviteacute informatique Les concepts darchitecture dentreprise aident agrave identifier les ressources essentielles au bon deacuteroulement des processus comme les applications linformation les infrastructures et les personnes
En reacutesumeacute pour fournir les informations dont lentreprise a besoin pour reacutealiser ses objectifs les ressources informatiques doivent ecirctre geacutereacutees par un ensemble de processus regroupeacutes selon une certaine logique
Mais comment controcircler les systegravemes dinformation pour quils fournissent les donneacutees dont lentreprise a besoin Comment gegraverent-ils les risques lieacutes aux ressources informatiques dont elles sont si deacutependantes et comment seacutecuriser celles-ci Comment lentreprise peut-elle sassurer que linformatique atteint ses objectifs et concourt au succegraves des siens propres
Les dirigeants ont dabord besoin dobjectifs de controcircle qui deacutefinissent les objectifs ultimes des politiques des plans des proceacutedures et des structures organisationnelles de lentreprise conccedilues pour fournir lassurance raisonnable que bull les objectifs de lentreprise seront atteints bull des dispositifs sont en place pour preacutevenir ou deacutetecter et corriger les eacuteveacutenements indeacutesirables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 5
ndash
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT D
E
VALEURA
LIGNEMENT
STRATEGIQUE
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Figure 1 ndash Information du management
ndash
COBIT41 Ensuite dans les environnements complexes daujourdhui le management est continuellement agrave la recherche dinformations condenseacutees et disponibles en temps utile lui permettant de prendre rapidement des deacutecisions difficiles en matiegravere de valeur de risque et de controcircle Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer objectivement ougrave elles en sont et ougrave elles doivent apporter des ameacuteliorations et elles ont besoin dimpleacutementer des outils de gestion pour surveiller ces ameacuteliorations La figure 1 montre certaines questions classiques et les outils de gestion de linformation utiliseacutes pour trouver les reacuteponses Mais ces tableaux de bord neacutecessitent des indicateurs les tableaux de bord eacutequilibreacutes des mesures et les tests comparatifs une eacutechelle de comparaison
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisantspour le plus grand nombre possible desparties prenantes
Comment adapter en temps utile lrsquoentrepriseaux tendances et aux deacuteveloppements deson environnement professionnel
Indicateurs
Mesures
Echelles
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisants pour le plus grand nombre possible des parties prenantes
Comment adapter en temps utile lrsquoentreprise aux tendances et aux deacuteveloppements de son environnement professionnel
Indicateurs
Mesures
Echelles
Figure 1 Information du management
La reacuteponse agrave ce besoin de deacuteterminer et de surveiller les niveaux approprieacutes de controcircle et de performance de linformatique est la deacutefinition donneacutee par COBIT des eacuteleacutements suivants bull Tests comparatifs de la capaciteacute et des performances des processus informatiques preacutesenteacutes sous la forme de modegraveles de maturiteacute inspireacutes
du Capability Maturity Model (CMM) du Software Engineering Institute bull Objectifs et meacutetriques des processus informatiques pour deacutefinir et mesurer leurs reacutesultats et leurs performances selon les principes du
tableau de bord eacutequilibreacute (Balanced Scorecard) de Robert Kaplan et David Norton bull Objectifs des activiteacutes pour mettre ces processus sous controcircle en se basant sur les objectifs de controcircle de COBIT
Leacutevaluation de la capaciteacute des processus au moyen des modegraveles de maturiteacute de COBIT est un eacuteleacutement cleacute de la mise en place dune gouvernance des SI Lorsquon a identifieacute les processus et les controcircles informatiques essentiels le modegravele de maturiteacute permet de mettre en eacutevidence les deacutefauts de maturiteacute et den faire la deacutemonstration au management On peut alors concevoir des plans daction pour amener ces processus au niveau de maturiteacute deacutesireacute
COBIT concourt ainsi agrave la gouvernance des SI (figure 2) en fournissant un cadre de reacutefeacuterence qui permet de sassurer que bull les SI sont aligneacutes sur les meacutetiers de lentreprise bull les SI apportent un plus aux meacutetiers et maximisent ses reacutesultats bull les ressources des SI sont utiliseacutees de faccedilon responsable bull les risques lieacutes aux SI sont geacutereacutes comme il convient
La mesure de la performance est essentielle agrave la gouvernance des SI Elle est un eacuteleacutement de COBIT et consiste entre autres agrave fixer et agrave surveiller des objectifs mesurables pour ce que les processus informatiques sont censeacutes fournir (reacutesultat du processus) et pour la faccedilon dont ils le fournissent (capaciteacute et performance du processus) De nombreuses eacutetudes ont montreacute que le manque de transparence des coucircts de la valeur et des risques des SI est lune de motivations principales pour mettre en place une gouvernance des SI Si dautres domaines y contribuent cest essentiellement la mesure des performances qui permet la transparence
Figure 2 Domaines de la Gouvernance des SI
bull LrsquoAlignement Strateacutegique consiste agrave srsquoassurer que les plans informatiques restent aligneacutes sur les plans des meacutetiers agrave deacutefinir tenir agrave jour et valider les propositions de valeur ajouteacutee de lrsquoinformatique et agrave aligner le fonctionnement de lrsquoinformatique sur le fonctionnement de lrsquoentreprise
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
bull LrsquoApport de valeur consiste agrave mettre en œuvre la proposition de valeur ajouteacutee tout au long du cycle de fourniture du service agrave srsquoassurer que lrsquoinformatique apporte bien les beacuteneacutefices attendus sur le plan strateacutegique agrave srsquoattacher agrave optimiser les coucircts et agrave prouver la valeur intrinsegraveque des SI
bull La Gestion des ressources consiste agrave optimiser lrsquoinvestissement dans les ressources informatiques vitales et agrave bien les geacuterer applications informations infrastructures et personnes Les questions cleacutes concernent lrsquooptimisation des connaissances et de lrsquoinfrastructure
bull La Gestion des risques exige une conscience des risques de la part des cadres supeacuterieurs une vision claire de lrsquoappeacutetence de lrsquoentreprise pour le risque une bonne connaissance des exigences de conformiteacute de la transparence agrave propos des risques significatifs encourus par lrsquoentreprise et lrsquoattribution des responsabiliteacutes en matiegravere de gestion des risques au sein de lrsquoentreprise
bull La Mesure de la performance consiste en un suivi et une surveillance de la mise en œuvre de la strateacutegie de lrsquoaboutissement des projets de lrsquoutilisation des ressources de la performance des processus et de la fourniture des services en utilisant par exemple des tableaux de bord eacutequilibreacutes qui traduisent la strateacutegie en actions orienteacutees vers lrsquoatteinte drsquoobjectifs mesurables autrement que par la comptabiliteacute conventionnelle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 6
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Figure 3 ndash Scheacutema du contenu de COBIT
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
ndash
SYNTHEgraveSE Ces domaines de la gouvernance des SI preacutesentent les questions que les dirigeants doivent examiner pour mettre en place cette gouvernance dans leur entreprise La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables meacutetiers de disposer dun modegravele de reacutefeacuterence commun COBIT propose dans lannexe II (Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT) un tableau qui met en regard les processus informatiques et les domaines de gouvernance pour faire le lien entre les tacircches des responsables informatiques et les objectifs de gouvernance de la direction geacuteneacuterale
Pour que cette gouvernance soit efficace les dirigeants doivent exiger des directions informatiques quelles mettent en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus et les controcircles des SI
COBIT sinteacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequats des SI au niveau geacuteneacuteral COBIT se conforme agrave dautres standards informatiques plus deacutetailleacutes et aux bonnes pratiques (voir annexe IV Documents de reacutefeacuterence de COBIT 41) COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un mecircme cadre de reacutefeacuterence geacuteneacuteral qui fait aussi le lien avec les exigences de gouvernance et les exigences opeacuterationnelles
COSO (comme dautres reacutefeacuterentiels compatibles semblables) est couramment accepteacute comme le cadre de reacutefeacuterence du controcircle interne des entreprises COBIT est la reacutefeacuterence geacuteneacuteralement accepteacutee du controcircle interne des SI
Les produits COBIT sorganisent en trois niveaux (figure 3) conccedilus pour apporter leur aide bull aux dirigeants et administrateurs bull aux directions opeacuterationnelles et
informatiques bull aux professionnels de la gouvernance de
lassurance du controcircle et de la seacutecuriteacute
En quelques mots les produits COBIT sont composeacutes des eacuteleacutements suivants bull Conseils aux dirigeants dentreprises pour la
gouvernance des SI 2e eacutedition ce document aide les dirigeants agrave comprendre limportance de la gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre
bull Guide de managementmodegraveles de maturiteacute ces outils permettent de reacutepartir les responsabiliteacutes de mesurer la performance de tester la capaciteacute et de trouver des reacuteponses aux insuffisances dans ce domaine
bull Cadres de reacutefeacuterence ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques par domaine informatique et par processus et de les relier aux exigences meacutetiers
bull Objectifs de controcircle ils fournissent un large
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour desfonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT etGouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprisesspeacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dunprogramme plus large de gouvernance des SI)
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
rsquo- -
rsquo
rsquo
rsquo
Comment le conseil
drsquoadministration exerce-t-il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment srsquoameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans lrsquoentreprise
Professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute
Guide drsquoaudit des SIGuide drsquoimpleacutementation de la gouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour la gouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Modegraveles de maturiteacute
Guide de management
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT et Gouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprises speacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dun programme plus large de gouvernance des SI)
Figure 3 Scheacutema du contenu de COBIT
eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT reg et Val ITtrade 2egraveme Eacutedition ce guide fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val ITtrade
bull Pratiques de controcircle COBITreg Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition conseils sur limportance des controcircles et sur la faccedilon de les mettre en place
bull Guide dAudit de lrsquoinformatique Utilisation de COBIT reg ce guide fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes types daudit ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle
Le scheacutema de contenu COBIT de la figure 3 preacutesente les principaux publics leurs questions sur la gouvernance des SI et les produits qui permettent geacuteneacuteralement dy apporter des reacuteponses Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres dans des domaines comme la seacutecuriteacute ou pour des entreprises speacutecifiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 7
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Figure 4 ndash Relations entre les composants de COBIT
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Processus informatiques
Objectifs informatiques
ndash
COBIT41 Tous ces composants COBIT sont relieacutes entre eux et visent agrave reacutepondre aux besoins de gouvernance de gestion de controcircle et dassurances de diffeacuterents acteurs comme le montre la figure 4
Figure 4 Relations entre les composants de COBIT
Tableau des responsabiliteacutes
et des approbations
eeeffffffeeecccttt
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutes cleacutes
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
bbbeeesssoooiiinnnsss iiinnnfffooorrrmmmaaatttiiiooonnn
dddeacuteeacuteeacutecccooommmpppooossseacuteeacuteeacutesss eeennn
uuueacuteeacuteeacuteeeesss pppaaarrr
mmmeeesss
uuurrreacuteeacuteeacutesss pppaaarrr
aaauuudddiiittteacuteeacuteeacutessspppaaarrr
cccooonnntttrrrocircocircocircllleacuteeacuteeacutesss pppaaarrr
dddeacuteeacuteeacutecccooouuulllaaannnttt dddeee
iiimmmpppllleacuteeacuteeacutemmm
eeennnttteacuteeacuteeacutessspppaaarrr
aaauuudddiiittteacuteeacuteeacutesss pppaaarrr
pppooouuurrrlllaaa
mmmaaatttuuurrriiittteacuteeacuteeacute
pppooouuurrr
llleeerrreacuteeacuteeacute
sssuuulllttt
aaattt
pppooouuurrr lllaaapppeeerrr
fffooorrrmmm
aaannnccceee
bbbaaassseacuteeacuteeacutesss sssuuurrr
COBIT est un cadre de reacutefeacuterence et un ensemble doutils permettant aux dirigeants de faire le lien entre les exigences du controcircle les probleacutematiques techniques et les risques meacutetiers et de communiquer avec les parties prenantes sur ce niveau de controcircle COBIT permet deacutelaborer des politiques claires et des bonnes pratiques pour la maicirctrise des SI dans toutes les entreprises COBIT est en permanence tenu agrave jour et harmoniseacute avec les autres standards et recommandations COBIT est ainsi devenu linteacutegrateur des bonnes pratiques en technologies de linformation et le reacutefeacuterentiel geacuteneacuteral de la gouvernance des SI qui aide agrave comprendre et agrave geacuterer les risques et les beacuteneacutefices qui leur sont associeacutes COBIT est organiseacute par processus et sa faccedilon daborder lentreprise par les meacutetiers apporte une vision des SI qui couvre lensemble de leur champ dapplication et des deacutecisions agrave prendre pour ce qui les concerne
Ladoption de COBIT comme cadre de gouvernance des SI offre les avantages suivants bull un meilleur alignement de linformatique sur lactiviteacute de lentreprise du fait de son orientation meacutetiers bull une vision compreacutehensible par le management de ce que fait linformatique bull une attribution claire de la proprieacuteteacute et des responsabiliteacutes du fait de lapproche par processus bull un preacutejugeacute favorable de la part des tiers et des organismes de controcircle bull une compreacutehension partageacutee par toutes les parties prenantes gracircce agrave un langage commun bull le respect des exigences du COSO pour le controcircle de lenvironnement informatique
Le reste de ce document propose une description du Cadre de Reacutefeacuterence de COBIT et tous les composants essentiels de COBIT preacutesenteacutes par domaine (les 4 domaines informatiques) et par processus (les 34 processus informatiques) de COBIT Lensemble constitue un manuel de reacutefeacuterence facile agrave consulter des principaux constituants de COBIT Plusieurs annexes proposent eacutegalement des reacutefeacuterences utiles
Les informations les plus complegravetes et les plus reacutecentes sur COBIT et les produits connexes (outils en ligne guides de mise en œuvre eacutetudes de cas lettres dinformation mateacuteriel peacutedagogique etc) sont disponibles sur wwwisacaorgcobit
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 8
CADRE DE REacuteFEacuteRENCE
CA
DR
E D
E
REacute
FEacuteR
EN
CE
CADRE DE REacuteFEacuteRENCE
CADRE DE REacuteFEacuteRENCE COBIT
La mission de COBIT
Elle consiste agrave imaginer mettre au point publier et promouvoir un cadre de reacutefeacuterence de controcircle de la gouvernance des SI actualiseacute reconnu dans le monde entier et faisant autoriteacute Ce cadre de reacutefeacuterence devra ecirctre adopteacute par les entreprises et utiliseacute quotidiennement par les dirigeants les professionnels de linformatique et les professionnels de lassurance
LE BESOIN DUN CADRE DE REacuteFEacuteRENCE POUR LA GOUVERNANCE DES SI
Le cadre de reacutefeacuterence pour la gouvernance des SI deacutefinit les raisons pour lesquelles la gouvernance des SI est neacutecessaire les diffeacuterentes parties prenantes et sa mission
Pourquoi
Les dirigeants ont de plus en plus conscience de limpact significatif de linformation sur le succegraves de lentreprise Ils sattendent agrave ce que lon comprenne de mieux en mieux comment sont utiliseacutees les technologies de linformation et la probabiliteacute quelles contribuent avec succegraves agrave donner un avantage concurrentiel agrave lentreprise Ils veulent savoir en particulier si la gestion des SI peut leur permettre bull datteindre leurs objectifs bull davoir assez de reacutesilience pour apprendre et sadapter bull de geacuterer judicieusement les risques auxquels ils doivent faire face bull de savoir bien identifier les opportuniteacutes et dagir pour en tirer parti
Les entreprises qui reacuteussissent comprennent les risques exploitent les avantages des SI et trouvent comment bull aligner la strateacutegie de linformatique sur celle de lentreprise bull assurer aux investisseurs et aux actionnaires que lentreprise respecte une norme de prudence et de diligence relative agrave la reacuteduction des
risques informatiques bull reacutepercuter la strateacutegie et les objectifs de linformatique dans lentreprise bull faire en sorte que linvestissement informatique produise de la valeur bull apporter les structures qui faciliteront la mise en œuvre de cette strateacutegie et de ces objectifs bull susciter des relations constructives entre les meacutetiers et linformatique et avec les partenaires externes bull mesurer la performance des SI
Les entreprises ne peuvent pas reacutepondre efficacement agrave ces exigences meacutetiers et agrave celles de la gouvernance sans adopter et mettre en œuvre un cadre de reacutefeacuterence pour la gouvernance et pour les controcircles qui permette aux directions des SI bull deacutetablir un lien avec les exigences meacutetiers de lentreprise bull de rendre leurs performances transparentes par rapport agrave ces exigences bull dorganiser leurs activiteacutes selon un modegravele de processus largement reconnu bull didentifier les principales ressources informatiques agrave mobiliser bull de deacutefinir les objectifs de controcircle de management agrave envisager
Par ailleurs les reacutefeacuterentiels de gouvernance et de controcircle font deacutesormais partie des bonnes pratiques de gestion des SI ils sont aussi un moyen de faciliter la mise en place de la gouvernance des SI et de se conformer aux exigences reacuteglementaires toujours plus nombreuses
Les bonnes pratiques informatiques ont gagneacute leurs galons gracircce agrave un certain nombre de facteurs bull lexigence du meilleur retour sur investissements de leurs SI par les dirigeants et les administrateurs autrement dit il convient de faire en
sorte que linformatique fournisse agrave lentreprise ce dont elle a besoin pour apporter une valeur accrue aux parties prenantes bull la preacuteoccupation de voir le niveau de deacutepenses informatiques augmenter assez systeacutematiquement bull le besoin de reacutepondre aux exigences reacuteglementaires de controcircle des SI dans des domaines comme le respect de la vie priveacutee et la
publication des reacutesultats financiers (par exemple la loi ameacutericaine Sarbanes-Oxley Bacircle II) et dans des secteurs speacutecifiques comme la finance les produits pharmaceutiques et la santeacute
bull la seacutelection de fournisseurs de services la gestion de services externaliseacutes et la gestion des achats bull la complexiteacute croissante des risques informatiques comme la seacutecuriteacute des reacuteseaux bull les initiatives de la gouvernance des SI qui font une place aux reacutefeacuterentiels de controcircle et aux bonnes pratiques pour aider agrave la surveillance
et agrave lameacutelioration des activiteacutes informatiques strateacutegiques de faccedilon agrave augmenter la valeur et reacuteduire les risques pour lentreprise bull le besoin doptimiser les coucircts en adoptant chaque fois que cest possible des approches standardiseacutees plutocirct quindividualiseacutees bull une plus grande maturiteacute caracteacuteriseacutee par ladoption de reacutefeacuterentiels reacuteputeacutes comme COBIT ITIL (IT Infrastructure Library) la seacuterie ISO
27000 sur les normes lieacutees agrave la seacutecuriteacute de linformation la norme ISO 90012000 Systegravemes de management de la qualiteacute - Exigences le CMMI (Capability Maturity Modelreg Integration) PRINCE2 (Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge)
bull le besoin queacuteprouvent les entreprises deacutevaluer leurs performances par rapport aux normes communeacutement accepteacutees et vis-agrave-vis de leurs pairs (analyse comparative - benchmarking)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 9
Exigencesmeacutetiers
InformationsEntreprise
Ressourcesinformatiques
Processusinformatiques
COBIT
Figure 5 ndash Principe de base de COBIT
ndash
COBIT41 Qui
Un reacutefeacuterentiel de gouvernance et de controcircle sert les inteacuterecircts de diverses parties prenantes internes et externes dont chacune a des besoins speacutecifiques bull Les parties prenantes internes agrave lrsquoentreprise qui ont inteacuterecirct agrave voir les investissements informatiques geacuteneacuterer de la valeur sont
minus celles qui prennent les deacutecisions drsquoinvestissements minus celles qui deacutefinissent les exigences minus celles qui utilisent les services informatiques
bull Les parties prenantes internes et externes qui fournissent les services informatiques sont minus celles qui gegraverent lrsquoorganisation et les processus informatiques minus celles qui en deacuteveloppent les capaciteacutes minus celles qui exploitent les systegravemes drsquoinformation au quotidien
bull Les parties prenantes internes et externes qui ont des responsabiliteacutes dans le controcircle et le risque sont minus celles qui sont en charge de la seacutecuriteacute du respect de la vie priveacutee etou des risques minus celles qui sont en charge des questions de conformiteacute minus celles qui fournissent des services drsquoassurance ou qui en ont besoin
Quoi
Pour faire face agrave ces exigences un cadre de reacutefeacuterence pour la gouvernance et le controcircle des SI doivent respecter les speacutecifications geacuteneacuterales suivantes bull Fournir une vision meacutetiers qui permette drsquoaligner les objectifs de lrsquoinformatique sur ceux de lrsquoentreprise bull Eacutetablir un scheacutema par processus qui deacutefinisse ce que chacun drsquoeux recouvre avec une structure preacutecise qui permette de srsquoy retrouver
facilement bull Faire en sorte que lrsquoensemble puisse ecirctre geacuteneacuteralement accepteacute en se conformant aux meilleures pratiques et aux standards informatiques
et en restant indeacutependant des technologies speacutecifiques bull Fournir un langage commun avec son glossaire qui puisse ecirctre geacuteneacuteralement compris par toutes les parties prenantes bull Aider agrave remplir les obligations reacuteglementaires en se conformant aux standards geacuteneacuteralement accepteacutes de la gouvernance des entreprises
(ex COSO) et du controcircle informatique tels que les pratiquent les reacutegulateurs et les auditeurs externes
COMMENT COBIT REacutePOND Agrave CES BESOINS
Le cadre de reacutefeacuterence de COBIT reacutepond agrave ces besoins par quatre caracteacuteristiques principales il est centreacute sur les meacutetiers de lentreprise organiseacute par processus baseacute sur des controcircles et sappuie systeacutematiquement sur des mesures
Centreacute sur les meacutetiers
Lorientation meacutetiers est lideacutee centrale de COBIT Il est conccedilu non seulement pour ecirctre employeacute par les fournisseurs de services informatiques les utilisateurs et les auditeurs mais eacutegalement ce qui est le plus important comme un guide compreacutehensible par le management et par les proprieacutetaires de processus meacutetiers
Le cadre de reacutefeacuterence de COBIT se base sur le principe suivant (figure 5)
Pour fournir linformation dont elle a besoin pour atteindre ses objectifs lentreprise doit investir dans des ressources informatiques les geacuterer et les controcircler au moyen dun ensemble de processus structureacute pour fournir les services qui transmettent les donneacutees dont lentreprise a besoin
La gestion et le controcircle des informations sont au cœur du cadre de reacutefeacuterence de COBIT et permettent de sassurer que linformatique est aligneacutee sur les exigences meacutetiers de lentreprise
CRITEgraveRES DINFORMATION DE COBIT Pour satisfaire aux objectifs meacutetiers lentreprise linformation doit se conformer agrave certains critegraveres de controcircle que COBIT deacutefinit comme les exigences de lentreprise en matiegravere dinformation Agrave partir des impeacuteratifs plus larges de qualiteacute fiduciaires et de seacutecuriteacute on deacutefinit sept critegraveres dinformation distincts dont certains se recoupent bull LEfficaciteacute qualifie toute information pertinente utile aux processus meacutetiers livreacutee au moment opportun sous une forme correcte
coheacuterente et utilisable bull LEfficience qualifie la mise agrave disposition de linformation gracircce agrave lutilisation optimale (la plus productive et la plus eacuteconomique) des
ressources bull La Confidentialiteacute concerne la protection de linformation sensible contre toute divulgation non autoriseacutee
quireacutepondent
aux
pourfournir
qui sontutiliseacutees par
geacutenegraverent desInvestissements
dans
Exigences meacutetiers
Informations Entreprise
Ressources informatiques
Processus informatiques
COBIT
qui reacutepondent
aux
pour fournir
qui sont utiliseacutees par
geacutenegraverent des Investissements
dans
Figure 5 Principe de base de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 10
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Figure 6 ndash Deacutefinir les objectifs informatiques et lrsquoarchitecture de lrsquoentreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Processusinformatiques
Infrastructures et personnes
Applications
Informations
ndash rsquo rsquo
CADRE DE REacuteFEacuteRENCE bull LInteacutegriteacute touche agrave lexactitude et agrave lexhaustiviteacute de linformation ainsi quagrave sa validiteacute au regard des valeurs de lentreprise et de ses
attentes bull La Disponibiliteacute qualifie linformation dont peut disposer un processus meacutetier tant dans limmeacutediat quagrave lavenir Elle concerne aussi la
sauvegarde des ressources neacutecessaires et les moyens associeacutes bull La Conformiteacute consiste agrave se conformer aux lois aux reacuteglementations et aux clauses contractuelles auxquelles le processus meacutetier est
soumis cest-agrave-dire aux critegraveres professionnels imposeacutes par lexteacuterieur comme par les politiques internes bull La Fiabiliteacute concerne la fourniture dinformations approprieacutees qui permettent au management de piloter lentreprise et dexercer ses
responsabiliteacutes fiduciaires et de gouvernance
OBJECTIFS MEacuteTIERS ET OBJECTIFS INFORMATIQUES Si les critegraveres dinformation constituent un moyen geacuteneacuterique de deacutefinir les exigences meacutetiers eacutetablir un ensemble geacuteneacuterique dobjectifs meacutetiers et informatiques constitue une base plus deacutetailleacutee lieacutee agrave lactiviteacute de lentreprise pour deacutefinir les exigences meacutetiers et pour deacutevelopper les meacutetriques qui permettent de mesurer les reacutesultats par rapport agrave ces objectifs Chaque entreprise utilise linformatique pour favoriser les initiatives meacutetiers et celles-ci peuvent ecirctre consideacutereacutees comme des objectifs meacutetiers pour linformatique Lannexe I propose un tableau qui croise objectifs meacutetiers objectifs informatiques et critegraveres dinformation On peut utiliser ces exemples geacuteneacuteriques comme guide pour deacuteterminer les exigences meacutetiers les objectifs et les meacutetriques speacutecifiques agrave lentreprise
Si on veut que linformatique reacuteussisse agrave fournir les services qui favoriseront la strateacutegie de lentreprise le meacutetier (le client) doit ecirctre clairement responsable de fixer ses exigences et linformatique (le fournisseur) doit avoir une bonne compreacutehension de ce qui doit ecirctre livreacute et comment La figure 6 illustre comment la strateacutegie de lentreprise doit ecirctre traduite en objectifs lieacutes aux initiatives qui sappuient sur les SI (les objectifs meacutetiers des SI) Ces objectifs doivent conduire agrave une deacutefinition claire des objectifs propres aux SI (les objectifs informatiques) qui agrave leur tour deacutefinissent les ressources et les capaciteacutes informatiques (larchitecture informatique de lentreprise) requises pour le succegraves de la partie de la strateacutegie qui leur incombe1
Figure 6 Deacutefinir les objectifs informatiques et l architecture de l entreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveres drsquorsquorsquorsquoinformation
Services informatiques
Exigences de la gouvernance
Exigences meacutetiers
ont besoin
Processus informatiques
font tourner
Infrastructures et personnes
Applications
Informations fournissent
Architecture informatique de lrsquorsquorsquorsquoentreprise
Strateacutegie de
lrsquorsquorsquoentreprise Objectifs
meacutetiers pour SI
Objectifs
informatiques
Architecture informatique
de lrsquorsquorsquoentreprise
Tableau de bord
informatique
Une fois les objectifs aligneacutes deacutefinis il faut les surveiller pour sassurer que ce qui est effectivement fourni correspond bien aux attentes Cela est rendu possible par les meacutetriques conccedilues agrave partir des objectifs et reacutepercuteacutees dans un tableau de bord informatique
Pour que le client puisse comprendre les objectifs informatiques et le tableau de bord informatique tous ces objectifs et les meacutetriques connexes doivent ecirctre exprimeacutes en termes meacutetiers compreacutehensibles par le client Et ceci combineacute agrave un alignement efficace de la hieacuterarchie des objectifs permettra agrave lentreprise de confirmer que ses objectifs seront probablement soutenus par les SI
Lannexe I (Eacutetablissement de liens entre les objectifs et les processus) montre dans un tableau global comment les objectifs meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres dinformation Ce tableau aide agrave comprendre quel est le champ daction de COBIT et quelles sont les relations geacuteneacuterales entre COBIT et les inducteurs de lentreprise Comme lillustre la figure 6 ces inducteurs proviennent du meacutetier et de la strate de gouvernance de lentreprise le premier eacutetant plus axeacute sur la fonctionnaliteacute et la vitesse de livraison tandis que la deuxiegraveme porte davantage sur la rentabiliteacute le retour sur investissement et la conformiteacute
Remarque La deacutefinition et la mise en œuvre dune architecture informatique de lentreprise entraicircneront eacutegalement la creacuteation dobjectifs informatiques internes qui contribuent aux objectifs meacutetier (mais nen deacutecoulent pas directement)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 11
1
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Figure 7 ndash Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
ndash
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Figure 8 ndash Les quatre domaines interdeacutependants de COBIT
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
ndash
COBIT41 RESSOURCES INFORMATIQUES Linformatique fournit ses services en fonction de ces objectifs au moyen dun ensemble deacutefini de processus qui utilisent les capaciteacutes des personnes et linfrastructure informatique pour faire fonctionner des applications meacutetiers automatiseacutees tout en tirant parti des informations dentreprise Ces ressources constituent avec les processus une architecture dentreprise pour les SI comme le montre la figure 6
Pour reacutepondre aux exigences meacutetiers des SI lentreprise doit investir dans les ressources neacutecessaires pour creacuteer une capaciteacute technologique approprieacutee (par exemple un progiciel de gestion inteacutegreacute (PGI- ERP)) capable dassister un secteur opeacuterationnel (par exemple mettre en place une chaicircne dapprovisionnement) qui produise le reacutesultat deacutesireacute (par exemple une augmentation des ventes et des beacuteneacutefices financiers)
On peut deacutefinir ainsi les ressources informatiques identifieacutees par COBIT bull Les applications sont entre les mains des utilisateurs les ressources logicielles automatiseacutees et les proceacutedures manuelles qui traitent
linformation bull Linformation est constitueacutee des donneacutees sous toutes leurs formes saisies traiteacutees et restitueacutees par le systegraveme informatique sous diverses
preacutesentations et utiliseacutees par les meacutetiers bull Linfrastructure est constitueacutee de la technologie et des eacutequipements (machines systegravemes dexploitation systegravemes de gestion de bases de
donneacutees reacuteseaux multimeacutedia ainsi que lenvironnement qui les heacuteberge et en permet le fonctionnement) qui permettent aux applications de traiter linformation
bull Les personnes sont les ressources qui soccupent de planifier dorganiser dacheter de mettre en place de livrer dassister de surveiller et deacutevaluer les systegravemes et les services informatiques Ces personnes peuvent ecirctre internes externes ou contractuelles selon les besoins
La figure 7 montre scheacutematiquement comment les objectifs meacutetiers pour les SI influencent la gestion des ressources informatiques par les processus informatiques pour atteindre les objectifs informatiques
Orienteacute processus
COBIT regroupe les activiteacutes informatiques dans un modegravele geacuteneacuterique de processus qui se reacutepartissent en quatre domaines Ces domaines sont Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Eacutevaluer Ils correspondent aux domaines de responsabiliteacutes traditionnels des SI que sont planifier mettre en place faire fonctionner et surveiller
Le cadre COBIT propose un modegravele de processus de reacutefeacuterence et un langage commun pour tous ceux qui dans une entreprise doivent utiliser ou geacuterer les activiteacutes informatiques Adopter un modegravele opeacuterationnel et un langage commun agrave toutes les parties de lentreprise impliqueacutees dans les SI est lune des eacutetapes initiales les plus importantes vers une bonne gouvernance COBIT propose aussi un cadre de reacutefeacuterence pour mesurer et surveiller la performance des SI communiquer avec les fournisseurs de services et inteacutegrer les meilleures pratiques de gestion Un modegravele de processus encourage la proprieacuteteacute des processus ce qui favorise la deacutefinition des responsabiliteacutes opeacuterationnelles et des responsabiliteacutes finales (responsabiliteacute de celui qui agit et responsabiliteacute de celui qui est comptable du reacutesultat)
Figure 7 Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de lrsquorsquorsquoentreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Pour une gouvernance efficace des SI il est important dappreacutecier les activiteacutes et les risques propres aux SI qui neacutecessitent decirctre pris en compte Ils sont geacuteneacuteralement ordonneacutes dans les domaines de responsabiliteacute que sont planifier mettre en place faire fonctionner et surveiller Dans le cadre de COBIT ces domaines porte les appellations suivantes comme le montre la figure 8
Figure 8 Les quatre domaines interdeacutependants de COBIT
bull Planifier et Organiser (PO) fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS)
bull Acqueacuterir et Impleacutementer (AI) fournit les solutions et les transmets pour les transformer en services
bull Deacutelivrer et Supporter (DS) reccediloit les solutions et les rend utilisables par les utilisateurs finals
bull Surveiller et Evaluer (SE) surveille tous les processus pour sassurer que lorientation fournie est respecteacutee
PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la strateacutegie et la tactique et vise agrave identifier la meilleure maniegravere pour les SI de contribuer agrave atteindre les objectifs meacutetiers de lentreprise La mise en œuvre de la vision strateacutegique doit ecirctre planifieacutee communiqueacutee et geacutereacutee selon diffeacuterentes perspectives Il faut mettre en place une organisation adeacutequate ainsi quune infrastructure technologique Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Les strateacutegies de lentreprise et de linformatique sont-elles aligneacutees bull Lentreprise fait-elle un usage optimum de ses ressources bull Est-ce que tout le monde dans lentreprise comprend les objectifs de linformatique bull Les risques informatiques sont-ils compris et geacutereacutes bull La qualiteacute des systegravemes informatiques est-elle adapteacutee aux besoins meacutetiers
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 12
CADRE DE REacuteFEacuteRENCE ACQUEacuteRIR ET IMPLEacuteMENTER (AI) Le succegraves de la strateacutegie informatique neacutecessite didentifier de deacutevelopper ou dacqueacuterir des solutions informatiques de les mettre en œuvre et de les inteacutegrer aux processus meacutetiers Ce domaine recouvre aussi la modification des systegravemes existants ainsi que leur maintenance afin decirctre sucircr que les solutions continuent decirctre en adeacutequation avec les objectifs meacutetiers Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Est-on sucircr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins meacutetiers bull Est-on sucircr que les nouveaux projets aboutiront en temps voulu et dans les limites budgeacutetaires bull Les nouveaux systegravemes fonctionneront-ils correctement lorsquils seront mis en œuvre bull Les changements pourront-ils avoir lieu sans perturber les opeacuterations en cours
DEacuteLIVRER ET SUPPORTER (DS) Ce domaine sinteacuteresse agrave la livraison effective des services demandeacutes ce qui comprend lexploitation informatique la gestion de la seacutecuriteacute et de la continuiteacute le service dassistance aux utilisateurs et la gestion des donneacutees et des eacutequipements Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull Les services informatiques sont-ils fournis en tenant compte des prioriteacutes meacutetiers bull Les coucircts informatiques sont-ils optimiseacutes bull Les employeacutes sont-ils capables dutiliser les systegravemes informatiques de faccedilon productive et sucircre bull La confidentialiteacute linteacutegriteacute et la disponibiliteacute sont-elles mises en œuvre pour la seacutecuriteacute de linformation
SURVEILLER ET EacuteVALUER (SE) Tous les processus informatiques doivent ecirctre reacuteguliegraverement eacutevalueacutes pour veacuterifier leur qualiteacute et leur conformiteacute par rapport aux speacutecifications de controcircle Ce domaine sinteacuteresse agrave la gestion de la performance agrave la surveillance du controcircle interne au respect des normes reacuteglementaires et agrave la gouvernance Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull La performance de linformatique est-elle mesureacutee de faccedilon agrave ce que les problegravemes soient mis en eacutevidence avant quil ne soit trop tard bull Le management sassure-t-il que les controcircles internes sont efficaces et efficients bull La performance de linformatique peut-elle ecirctre relieacutee aux objectifs meacutetiers bull Des controcircles de confidentialiteacute dinteacutegriteacute et de disponibiliteacute approprieacutes sont-ils mis en place pour la seacutecuriteacute de linformation
Agrave travers ces quatre domaines COBIT a identifieacute 34 processus informatiques geacuteneacuteralement utiliseacutes (pour obtenir la liste complegravete reportezshyvous agrave la figure 22) La plupart des entreprises ont deacutefini des responsabiliteacutes visant agrave planifier mettre en place faire fonctionner et surveiller les activiteacutes informatiques et la plupart disposent des mecircmes processus cleacutes En revanche peu dentre elles auront la mecircme structure de processus ou appliqueront la totaliteacute des 34 processus COBIT COBIT fournit la liste complegravete des processus qui peuvent permettre de veacuterifier lexhaustiviteacute des activiteacutes et des responsabiliteacutes Toutefois il nest pas neacutecessaire de les appliquer tous et en outre ils peuvent ecirctre combineacutes selon les besoins de chaque entreprise
Chacun de ces 34 processus est lieacute aux objectifs meacutetiers et aux objectifs informatiques qui sont pris en charge Des informations sont eacutegalement fournies sur la faccedilon dont les objectifs peuvent ecirctre mesureacutes sur les activiteacutes cleacutes et les principaux livrables et sur les personnes qui en sont responsables
Baseacute sur des controcircles
COBIT deacutefinit les objectifs de controcircle pour les 34 processus ainsi que des controcircles meacutetiers et des controcircles applicatifs preacutedominants
LES PROCESSUS ONT BESOIN DE CONTROcircLES On deacutefinit le controcircle comme les politiques les proceacutedures les pratiques et les structures organisationnelles conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes
Les objectifs de controcircle des SI fournissent un large eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique Ces exigences bull prennent la forme dannonces de la direction visant agrave accroicirctre la valeur ou agrave reacuteduire le risque bull se composent de politiques proceacutedures pratiques et structures organisationnelles bull sont conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront
preacutevenus ou deacutetecteacutes et corrigeacutes
La direction de lentreprise doit faire des choix concernant ces objectifs de controcircle en bull seacutelectionnant ceux qui sont applicables bull deacutesignant ceux qui seront mis en œuvre bull choisissant la faccedilon de les mettre en œuvre (freacutequence dureacutee automatisation etc) bull acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient sappliquer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 13
Normes
Standards
Objectifs
Comparer Processus
Figure 9 ndash Modegravele de controcircle ndash
COBIT41 On peut sappuyer sur le modegravele de controcircle standard illustreacute par la figure 9 Il suit les principes eacutevidents de lanalogie suivante Apregraves reacuteglage du thermostat dambiance (standard) du systegraveme de chauffage (processus) le systegraveme veacuterifie en permanence (comparer) la tempeacuterature de la piegravece (information de controcircle) et deacuteclenche eacuteventuellement laction dadapter la tempeacuterature (agir)
La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables commerciaux de disposer dun modegravele de reacutefeacuterence commun Pour que cette gouvernance soit efficace la direction informatique doit mettre en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Puisque les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus informatiques et les controcircles informatiques
Figure 9 Modegravele de controcircle
Normes
Standards
Objectifs
AAGGIIRR
CCOONNTTRROcircOcircLLEERR LLrsquorsquoIINNFFOORRMMAATTIIOONN
Comparer Processus
Chacun des processus informatiques de COBIT est associeacute agrave une description et agrave un certain nombre dobjectifs de controcircle Tous ensemble ils sont caracteacuteristiques dun processus bien geacutereacute
Les objectifs de controcircle sont identifieacutes par un domaine de reacutefeacuterence agrave deux caractegraveres (PO AI DS et SE) plus un numeacutero de processus et un numeacutero dobjectif de controcircle En plus des objectifs de controcircle chaque processus COBIT se reacutefegravere agrave des exigences de controcircle geacuteneacuteriques deacutesigneacutees par PCn pour Processus de Controcircle numeacutero n Il faut les prendre en compte en mecircme temps que les objectifs de controcircle du processus pour avoir une vision complegravete des exigences de controcircle
PC1 Buts et objectifs du processus Deacutefinir et communiquer des buts et objectifs speacutecifiques mesurables incitatifs reacutealistes axeacutes sur les reacutesultats et opportuns (SMARRT Specific Measurable Actionable Realistic Results-oriented and Timely) pour lexeacutecution efficace de chaque processus informatique Sassurer quils sont relieacutes aux objectifs meacutetiers et soutenus par des meacutetriques adapteacutees
PC2 Proprieacuteteacute des processus Affecter un proprieacutetaire agrave chaque processus informatique et deacutefinir clairement les rocircles et les responsabiliteacutes du proprieacutetaire du processus Inclure par exemple la charge de conception du processus dinteraction avec les autres processus la responsabiliteacute du reacutesultat final leacutevaluation des performances du processus et lidentification des possibiliteacutes dameacutelioration
PC3 Reproductibiliteacute du processus Deacutefinir et mettre en place chaque processus informatique cleacute de faccedilon agrave ce quil soit reproductible et quil produise invariablement les reacutesultats escompteacutes Fournir un enchaicircnement logique flexible et eacutevolutif dactiviteacutes qui conduiront aux reacutesultats souhaiteacutes et suffisamment souple pour geacuterer les exceptions et les urgences Si possible utiliser des processus coheacuterents et personnaliser uniquement si cest ineacutevitable
PC4 Rocircles et Responsabiliteacutes Deacutefinir les activiteacutes cleacutes et les livrables finaux du processus Attribuer et communiquer des rocircles et responsabiliteacutes non ambigus pour une exeacutecution efficace et efficiente des activiteacutes cleacutes et de leur documentation ainsi que la responsabiliteacute des livrables finaux du processus
PC5 Politique Plans et Proceacutedures Deacuteterminer et indiquer comment tous les plans les politiques et les proceacutedures qui geacutenegraverent un processus informatique sont documenteacutes eacutetudieacutes geacutereacutes valideacutes stockeacutes communiqueacutes et utiliseacutes pour la formation Reacutepartir les responsabiliteacutes pour chacune de ces activiteacutes et au moment opportun veacuterifier si elles sont correctement effectueacutees Sassurer que les politiques plans et proceacutedures sont accessibles corrects compris et agrave jour
PC6 Ameacutelioration des performances du processus Identifier un ensemble de meacutetriques fournissant des indications sur les reacutesultats et les performances du processus Deacutefinir des cibles refleacutetant les objectifs du processus et des indicateurs de performance permettant datteindre les objectifs du processus Deacutefinir le mode dobtention des donneacutees Comparer les mesures reacuteelles et les objectifs et si neacutecessaire prendre des mesures pour corriger les eacutecarts Aligner les meacutetriques les objectifs et les meacutethodes avec lapproche globale de surveillance des performances des SI
Des controcircles efficaces reacuteduisent les risques ameacuteliorent la probabiliteacute de fournir de la valeur et ameacuteliorent lefficience En effet les erreurs seront moins nombreuses et lapproche manageacuteriale sera plus coheacuterente
COBIT y ajoute des exemples pour chaque processus ces exemples ont pour but dillustrer mais pas de prescrire ni decirctre exhaustifs bull entreacutees et sorties geacuteneacuteriques de donneacuteesinformations bull activiteacutes et conseils sur les rocircles et les responsabiliteacutes dans un tableau RACI (Responsable Approuve est Consulteacute est Informeacute) bull objectifs des activiteacutes cleacutes (les choses les plus importantes agrave faire) bull meacutetriques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 14
CADRE DE REacuteFEacuteRENCE Outre la neacutecessiteacute de savoir quels controcircles leur sont neacutecessaires les proprieacutetaires de processus doivent pouvoir dire de quels eacuteleacutements ils ont besoin en entreacutee de la part des autres processus et ce que leurs processus doivent ecirctre capables de fournir aux autres processus COBIT propose des exemples geacuteneacuteriques dentreacutees et de sorties essentiels pour chaque processus qui concernent aussi les services informatiques externes Certaines sorties sont des entreacutees pour tous les autres processus et sont repeacutereacutes par la mention TOUS dans les tableaux de sorties mais ils ne sont pas mentionneacutes comme des entreacutees dans tous les processus cela concerne geacuteneacuteralement les standards de qualiteacute et les impeacuteratifs de mesure le cadre de reacutefeacuterence des processus informatiques les rocircles et responsabiliteacutes deacutetailleacutes le cadre de controcircle de linformatique de lentreprise la politique informatique et les rocircles et responsabiliteacutes du personnel
Comprendre les rocircles et responsabiliteacutes pour chaque processus est fondamental pour une gouvernance efficace COBIT propose un tableau RACI pour chaque processus Garant sapplique au responsable en dernier ressort celui qui donne les orientations et qui autorise une activiteacute Responsable sapplique agrave celui qui fait exeacutecuter la tacircche Les deux autres rocircles (Consulteacute et Informeacute) sappliquent agrave tous ceux qui doivent savoir ce qui se passe et qui doivent soutenir le processus
CONTROcircLES MEacuteTIERS ET CONTROcircLES INFORMATIQUES Le systegraveme de controcircle interne de lentreprise a un impact sur les SI agrave trois niveaux bull Au niveau de la direction geacuteneacuterale on fixe les objectifs meacutetiers on eacutetablit les politiques et on prend les deacutecisions sur la faccedilon de deacuteployer
les ressources de lentreprise pour mettre en œuvre sa strateacutegie Cest le conseil dadministration qui deacutefinit lapproche de gouvernance et de controcircle et qui les diffuse dans lensemble de lentreprise Ce sont ces ensembles de politiques et dobjectifs geacuteneacuteraux qui orientent lenvironnement de controcircle des SI
bull Au niveau des processus meacutetiers les controcircles sappliquent agrave des activiteacutes speacutecifiques de lentreprise La plupart des processus meacutetiers sont automatiseacutes et inteacutegreacutes agrave des applications informatiques ce qui entraicircne que de nombreux controcircles sont eux aussi automatiseacutes agrave ce niveau On les appelle des controcircles applicatifs Certains controcircles de processus meacutetiers restent cependant des proceacutedures manuelles comme les autorisations de transactions la seacuteparation des tacircches et les rapprochements manuels Les controcircles au niveau des processus meacutetiers sont donc une combinaison de controcircles manuels effectueacutes par lentreprise et de controcircles meacutetiers et applicatifs automatiseacutes La responsabiliteacute de ces deux types de controcircles appartient donc aux meacutetiers mecircme si les controcircles applicatifs ont besoin de la fonction informatique pour permettre leur conception et leur deacuteveloppement
bull Pour assister les processus meacutetiers linformatique fournit des services habituellement au sein dun service commun agrave de nombreux processus meacutetiers puisquune grande partie du deacuteveloppement et des processus informatiques sont fournis agrave lensemble de lentreprise et que la majeure partie de linfrastructure informatique constitue un service commun (par ex reacuteseaux bases de donneacutees systegravemes dexploitation et archivage) On appelle controcircles geacuteneacuteraux informatiques les controcircles qui sappliquent agrave toutes les activiteacutes de services informatiques La fiabiliteacute de ces controcircles geacuteneacuteraux est neacutecessaire pour que lon puisse se fier aux controcircles applicatifs Par exemple une mauvaise gestion des changements pourrait mettre en peacuteril (accidentellement ou volontairement) la fiabiliteacute des veacuterifications dinteacutegriteacute automatiques
CONTROcircLES GEacuteNEacuteRAUX INFORMATIQUES ET CONTROcircLES APPLICATIFS Les controcircles geacuteneacuteraux sont ceux qui sont inteacutegreacutes aux processus et aux services informatiques Ils concernent par exemple bull le deacuteveloppement des systegravemes bull la gestion des changements bull la seacutecuriteacute bull lexploitation
On appelle communeacutement controcircles applicatifs les controcircles inteacutegreacutes aux applications des processus meacutetiers Ils concernent par exemple bull lexhaustiviteacute bull lexactitude bull la validiteacute bull lautorisation bull la seacuteparation des tacircches
COBIT considegravere que la conception et la mise en place de controcircles applicatifs automatiseacutes sont de la responsabiliteacute de linformatique Elles relegravevent du domaine Acqueacuterir et Impleacutementer et se basent sur les exigences meacutetiers deacutefinies selon les critegraveres dinformation de COBIT comme lindique la figure 10 La gestion opeacuterationnelle et la responsabiliteacute des controcircles applicatifs ne relegravevent pas de linformatique mais des proprieacutetaires des processus meacutetiers
De ce fait les controcircles applicatifs relegravevent dune responsabiliteacute commune de bout en bout entre meacutetiers et informatique mais la nature des responsabiliteacutes se diffeacuterencie comme suit bull La partie meacutetiers est chargeacutee minus de deacutefinir correctement les exigences de fonctionnement et de controcircle minus dutiliser les services automatiseacutes agrave bon escient bull La partie informatique est chargeacutee minus dautomatiser et de mettre en œuvre les exigences meacutetiers de fonctionnement et de controcircle minus de mettre en place des controcircles pour maintenir linteacutegriteacute des controcircles applicatifs
Par conseacutequent les processus informatiques de COBIT englobent les controcircles geacuteneacuteraux informatiques mais uniquement les aspects lieacutes au deacuteveloppement des controcircles applicatifs Les processus meacutetiers sont chargeacutes de la deacutefinition et de lexploitation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 15
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Figure 10 ndash Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcirclesmeacutetiers
Controcirclesmeacutetiers
ndash
COBIT41 Figure 10 Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Controcircles meacutetiers
Exigences de
fonctionnement
Exigences de
controcircle
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeee lllrsquorsquorsquoiiinnnfffooorrrmmmaaatttiiiqqquuueee
Controcircles geacuteneacuteraux informatiques Controcircles meacutetiers
Controcircles applicatifs
Services automatiseacutes
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
La liste suivante fournit un ensemble dobjectifs de controcircle applicatifs recommandeacutes Ils sont identifieacutes par un numeacutero CAn pour Controcircle Applicatif numeacutero n
CA1 Autorisation et preacuteparation des donneacutees source Sassurer que les documents source sont preacutepareacutes par le personnel qualifieacute et autoriseacute en respectant les proceacutedures eacutetablies en tenant compte de la seacuteparation adeacutequate des tacircches entre la geacuteneacuterationcreacuteation et la validation de ces documents La bonne conception des masques de saisie permet de reacuteduire les erreurs et omissions Deacutetecter les erreurs et les anomalies de faccedilon agrave pouvoir les signaler et les corriger
CA2 Collecte et saisie des donneacutees source Preacutevoir que la saisie des donneacutees sera effectueacutee en temps utile par le personnel autoriseacute et qualifieacute La correction et la ressaisie des donneacutees erroneacutees doivent ecirctre effectueacutees sans compromettre le niveau dorigine dautorisation des transactions Si la reconstruction des donneacutees le requiert conserver les documents source dorigine pendant un laps de temps adeacutequat
CA3 Veacuterifications dexactitude dexhaustiviteacute et dauthenticiteacute Sassurer que les transactions sont exactes complegravetes et valides Valider les donneacutees saisies et modifier ou renvoyer pour correction aussi pregraves que possible du point de creacuteation
CA4 Inteacutegriteacute et validiteacute du traitement Maintenir linteacutegriteacute et la validiteacute des donneacutees tout au long du cycle de traitement La deacutetection des transactions erroneacutees ninterrompt pas le traitement des transactions valides
CA5 Veacuterification des sorties rapprochement et traitement des erreurs Eacutetablir des proceacutedures et les responsabiliteacutes connexes pour sassurer que le traitement des donneacutees en sortie est ducircment effectueacute que ces donneacutees sont transmises au destinataire approprieacute et proteacutegeacutees lors de leur transmission que la veacuterification la deacutetection et la correction de lexactitude des donneacutees en sortie a lieu et que les informations fournies dans ces donneacutees sont utiliseacutees
CA6 Authentification et inteacutegriteacute des transactions Avant deacutechanger des donneacutees de transaction entre les applications internes et les fonctions meacutetiersfonctions opeacuterationnelles (dans lentreprise ou en dehors) veacuterifier lexactitude des destinataires lauthenticiteacute de loriginal et linteacutegriteacute du contenu Maintenir lauthenticiteacute et linteacutegriteacute lors de la transmission ou du transport
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 16
CADRE DE REacuteFEacuteRENCE Fondeacute sur la mesure
Toute entreprise a un besoin vital dappreacutehender leacutetat de ses propres systegravemes informatiques et de deacutecider quel niveau de management et de controcircle elle doit assurer Pour deacuteterminer le bon niveau le management doit se demander jusquougrave doit-on aller et les beacuteneacutefices justifientshyils les coucircts
Obtenir une vue objective du niveau de performance dune entreprise nest pas chose aiseacutee Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer ougrave elles en sont et ougrave il faut apporter des ameacuteliorations et il leur faut des outils de gestion pour surveiller ces ameacuteliorations COBIT traite ces questions en fournissant bull des modegraveles de maturiteacute pour permettre de se comparer et de deacutefinir lameacutelioration neacutecessaire des capaciteacutes bull des objectifs de performances et des meacutetriques pour les processus informatiques qui montrent jusquagrave quel point les processus permettent
datteindre les objectifs meacutetiers et les objectifs informatiques ils servent agrave mesurer la performance des processus internes selon les principes du tableau de bord eacutequilibreacute
bull des objectifs dactiviteacute pour favoriser une performance efficace des processus
MODEgraveLES DE MATURITEacute On demande de plus en plus aux directions geacuteneacuterales des entreprises publiques et priveacutees de sinterroger sur la bonne gestion de leur informatique Pour reacutepondre agrave cette attente des analyses doptimisation de rentabiliteacute concluent agrave la neacutecessiteacute dameacuteliorer cette gestion et datteindre le niveau approprieacute de gestion et de controcircle de linfrastructure informatique Comme peu dentre elles oseraient dire que ce nest pas une bonne chose elles doivent analyser leacutequilibre coucirctsbeacuteneacutefices et se poser les questions suivantes bull Que font nos confregraveresconcurrents et comment sommes-nous positionneacutes par rapport agrave eux bull Quelles sont les bonnes pratiques acceptables du marcheacute et comment nous situons-nous par rapport agrave elles bull Dapregraves ces comparaisons peut-on dire que nous en faisons assez bull Comment identifie-t-on ce quil y a agrave faire pour atteindre un niveau approprieacute de gestion et de controcircle de nos processus informatiques
Il peut ecirctre difficile dapporter des reacuteponses directes agrave ces questions La direction informatique est sans cesse agrave la recherche doutils dautoeacutevaluation et de tests comparatifs pour reacutepondre agrave la neacutecessiteacute didentifier les actions efficaces agrave entreprendre et la faccedilon de les mener efficacement Agrave partir des processus COBIT le proprieacutetaire dun processus doit ecirctre en mesure de se comparer sur une eacutechelle vis-agrave-vis de cet objectif de controcircle Ceci reacutepond agrave trois besoins 1 une mesure relative de la situation actuelle de lentreprise 2 une maniegravere efficace de deacutesigner le but agrave atteindre 3 un outil permettant de mesurer la progression vers lobjectif
Lutilisation des modegraveles de maturiteacute pour la gestion et le controcircle des processus informatiques se base sur une meacutethode deacutevaluation permettant de noter une entreprise selon un niveau de maturiteacute gradueacute de 0 agrave 5 (dInexistant agrave Optimiseacute) Cette approche est baseacutee sur le Modegravele de Maturiteacute que le Software Engineering Institute (SEI) a conccedilu pour mesurer la capaciteacute agrave deacutevelopper des logiciels Mecircme si les concepts de la meacutethode du SEI ont eacuteteacute respecteacutes la mise en œuvre de COBIT preacutesente des diffeacuterences importantes par rapport agrave la deacutemarche initiale du SEI qui eacutetait axeacutee sur les principes dingeacutenierie logicielle les entreprises sefforccedilant datteindre un niveau dexcellence dans ces domaines et leacutevaluation officielle des niveaux de maturiteacute de faccedilon agrave pouvoir certifier les deacuteveloppeurs de logiciels COBIT fournit une deacutefinition geacuteneacuterique de leacutechelle de maturiteacute COBIT qui est similaire au CMM mais interpreacuteteacutee en tenant compte des processus de gestion informatique de COBIT Un modegravele speacutecifique est fourni agrave partir de cette eacutechelle geacuteneacuterique pour chacun des 34 processus COBIT Quel que soit le modegravele les eacutechelles ne doivent pas ecirctre trop fines au risque de rendre le systegraveme difficile agrave utiliser en requeacuterant une preacutecision inutile En effet le but est geacuteneacuteralement de trouver ougrave se situent les problegravemes et comment eacutetablir des prioriteacutes pour les reacutesoudre Le but nest pas deacutevaluer le niveau dadheacutesion aux objectifs de controcircle
Les niveaux de maturiteacute sont conccedilus comme des profils de processus informatiques que lentreprise peut reconnaicirctre comme des situations existantes ou futures Ils ne sont pas conccedilus pour ecirctre utiliseacutes comme des modegraveles par seuils qui exigeraient que toutes les conditions du niveau infeacuterieur soient remplies pour acceacuteder au niveau suivant Avec les modegraveles de maturiteacute COBIT contrairement agrave la deacutemarche CMM initiale du SEI lintention nest pas de mesurer preacuteciseacutement les niveaux ni dessayer de certifier quun niveau a eacuteteacute preacuteciseacutement atteint Une eacutevaluation de maturiteacute COBIT est susceptible de geacuteneacuterer un profil dans lequel les conditions relatives agrave plusieurs niveaux de maturiteacute seront remplies comme le montre le graphique de la figure 11
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 17
ndash rsquo
ndash
COBIT41
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesenteencore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance(niveau 4) et lrsquooptimisation (niveau 5)
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesente encore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance (niveau 4) et lrsquooptimisation (niveau 5)
Figure 11 Niveau de maturiteacute possible d un processus informatique
En effet en cas deacutevaluation de la maturiteacute agrave laide des modegraveles COBIT il arrive souvent quune mise en œuvre soit en place agrave diffeacuterents niveaux mecircme si elle est incomplegravete ou insuffisante Ces atouts peuvent ecirctre mis agrave profit pour ameacuteliorer encore davantage la maturiteacute Par exemple certains eacuteleacutements du processus peuvent ecirctre bien deacutefinis et mecircme sil est incomplet il serait trompeur de dire que le processus nest pas du tout deacutefini
En utilisant les modegraveles de maturiteacute deacutefinis pour chacun des 34 processus informatiques de COBIT le management peut mettre en eacutevidence bull leacutetat actuel de lentreprise ougrave elle se situe aujourdhui bull leacutetat actuel du marcheacute la comparaison bull lambition de lentreprise ougrave elle veut se situer bull la trajectoire de croissance requise entre les situations en cours et les situations cibles
Pour exploiter facilement ces reacutesultats dans les reacuteunions de direction ougrave ils seront preacutesenteacutes comme une aide agrave la deacutecision pour des plans futurs il convient dutiliser une meacutethode de preacutesentation graphique (figure 12)
Figure 12 Repreacutesentation graphique des modegraveles de maturiteacute
IInneexxiissttaanntt IInniittiiaalliisseacuteeacute
ccaass ppaarr ccaass RReepprorodduuccttiibbllee mmaaiiss iinnttuuiittiiff
PProrocceessssuuss ddeacuteeacuteffiinnii
GGeacuteeacuterreacuteeacute eett mmeessuurarabbllee OOppttiimmiisseacuteeacute
000 111 222 333 444 555
LLEacuteEacuteGGEENNDDEE DDEESS SSYYMMBBOOLLEESS UUTTIILLIISSEacuteEacuteSS
EacuteEacutettatat actactuuelel ddee llrsquorsquoenenttrreepprriisese
MMeieilllleueurree pprratatiiqquuee dduu mmararchcheacuteeacute
SSttrratateacuteeacuteggiiee ddee llrsquorsquoenenttrrepeprriissee
LLEacuteEacuteGGEENNDDEE UUTTIILLIISSEacuteEacuteEE PPOOUURR LLEE CCLLAASSSSEEMMEENNTT
00mdashmdashLLeess pprroocesscessuuss ddee mmananagagememenentt nnee sosonntt ppasas apappplliiqquueacuteseacutes dduu ttoouutt 11mdashmdashLLeess pprroocesscessuuss ssoonntt mmiiss enen œœuuvrvree auau cascas pparar cascas etet sansanss mmeacuteeacutetthhooddee 22mdashmdashLLeess pprroocesscessuuss ssuuiivenventt uunn mmecircmecircmee mmooddegravelegravelee 33mdashmdashLLeses pprroocessucessuss ssoonntt ddooccuummenentteacuteseacutes etet cocommmmuunniiqquueacuteseacutes 44mdashmdashLLeess pprroocesscessuuss ssoonntt susurrveiveilllleacuteeacutess etet mmesuesurreacuteseacutes 55mdashmdashLLeess bboonnnneses pprraattiiqquueses sosonntt susuiivivieses etet aauuttoommaattiisseacuteeseacutees
Leacutelaboration de cette repreacutesentation graphique sinspire du modegravele de maturiteacute geacuteneacuterique preacutesenteacute dans la figure 13
COBIT est un cadre de reacutefeacuterence conccedilu pour la gestion des processus informatiques et tregraves axeacute sur le controcircle Ces eacutechelles doivent ecirctre commodes agrave utiliser et faciles agrave comprendre La question de la gestion des processus informatiques est complexe par nature et subjective on lapproche par conseacutequent mieux en favorisant une prise de conscience au moyen doutils deacutevaluation faciles agrave utiliser qui entraicircneront un large consensus et une motivation pour progresser Ces eacutevaluations peuvent se faire soit par comparaison avec les intituleacutes geacuteneacuteraux des niveaux de maturiteacute soit de faccedilon plus rigoureuse en examinant chaque proposition individuelle de ces descriptifs Dans les deux cas il est neacutecessaire dutiliser lexpertise de lentreprise pour le processus eacutevalueacute
Lavantage dune approche baseacutee sur les modegraveles de maturiteacute est quelle permet assez facilement au management de se situer lui-mecircme sur leacutechelle et dappreacutecier les moyens agrave mettre en œuvre pour ameacuteliorer les performances Leacutechelle commence par le degreacute zeacutero parce quil est tregraves possible quil nexiste aucun processus Elle est baseacutee sur une eacutechelle de maturiteacute simple qui montre comment eacutevolue un processus dinexistant (0) agrave optimiseacute (5)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 18
ndash
ndash
CADRE DE REacuteFEacuteRENCE Cependant la capaciteacute agrave geacuterer les processus est diffeacuterente de la performance des processus La capaciteacute requise deacutetermineacutee par les meacutetiers et les objectifs informatiques na pas toujours besoin decirctre appliqueacutee au mecircme niveau dans tout lenvironnement informatique cest-agrave-dire pas systeacutematiquement ou seulement agrave un nombre limiteacute de systegravemes ou duniteacutes La mesure de performance expliqueacutee dans les paragraphes qui suivent est essentielle pour deacuteterminer la veacuteritable performance de lentreprise pour ses processus informatiques
Figure 13 Modegravele de Maturiteacute Geacuteneacuterique
0 Inexistant Absence totale de processus identifiables Lrsquoentreprise nrsquoa mecircme pas pris conscience qursquoil srsquoagissait drsquoun problegraveme agrave eacutetudier
1 InitialiseacuteCas par cas On constate que lrsquoentreprise a pris conscience de lrsquoexistence du problegraveme et de la neacutecessiteacute de lrsquoeacutetudier Il nrsquoexiste toutefois aucun processus standardiseacute mais des deacutemarches dans ce sens tendent agrave ecirctre entreprises individuellement ou cas par cas Lrsquoapproche globale du management nrsquoest pas organiseacutee
2 Reproductible mais intuitif Des processus se sont deacuteveloppeacutes jusqursquoau stade ougrave des personnes diffeacuterentes exeacutecutant la mecircme tacircche utilisent des proceacutedures similaires Il nrsquoy a pas de formation organiseacutee ni de communication des proceacutedures standard et la responsabiliteacute et laisseacutee agrave lrsquoindividu On se repose beaucoup sur les connaissances individuelles drsquoougrave un risque drsquoerreurs
3 Processus deacutefini On a standardiseacute documenteacute et communiqueacute des processus via des seacuteances de formation Ces processus doivent impeacuterativement ecirctre suivis toutefois des eacutecarts seront probablement constateacutes Concernant les proceacutedures elles-mecircmes elles ne sont pas sophistiqueacutees mais formalisent des pratiques existantes
4 Geacutereacute et mesurable La direction controcircle et mesure la conformiteacute aux proceacutedures et agit lorsque certains processus semblent ne pas fonctionner correctement Les processus sont en constante ameacutelioration et correspondent agrave une bonne pratique Lrsquoautomatisation et les outils sont utiliseacutes drsquoune maniegravere limiteacutee ou partielle
5 Optimiseacute Les processus ont atteint le niveau des bonnes pratiques suite agrave une ameacutelioration constante et agrave la comparaison avec drsquoautres entreprises (Modegraveles de Maturiteacute) Lrsquoinformatique est utiliseacutee comme moyen inteacutegreacute drsquoautomatiser le flux des tacircches offrant des outils qui permettent drsquoameacuteliorer la qualiteacute et lrsquoefficaciteacute et de rendre lrsquoentreprise rapidement adaptable
Mecircme si une capaciteacute correctement mise en œuvre reacuteduit deacutejagrave les risques une entreprise a tout de mecircme besoin danalyser les controcircles neacutecessaires pour ecirctre sucircre que les risques sont limiteacutes et que la valeur est obtenue en tenant compte de lappeacutetence pour le risque et des objectifs meacutetiers Le choix de ces controcircles est faciliteacute par les objectifs de controcircle de COBIT Lannexe III propose un modegravele de maturiteacute qui illustre la maturiteacute dune entreprise en ce qui concerne la mise en place et la performance du controcircle interne Cette analyse constitue souvent une reacuteponse agrave des facteurs externes mais ideacutealement elle devrait ecirctre institueacutee et documenteacutee par les processus COBIT PO6 Faire connaicirctre les buts et les orientations du management et SE2 Surveiller et eacutevaluer le controcircle interne
Capaciteacute couverture et controcircle sont les trois dimensions de la maturiteacute dun processus comme le montre la figure 14
Figure 14 Les trois dimensions de la maturiteacute
Risque et conformiteacute
QUOI (controcircle)
100
4
3
2
1
5
0
Inducteurs primaires
Mission et objectifs
informatique
Retour sur investissements et rentabiliteacute
COMBIEN (couverture)
COMMENT (capaciteacute)
Le modegravele de maturiteacute est un moyen de mesurer le niveau de deacuteveloppement des processus de management autrement dit leur capaciteacute reacuteelle Leur niveau de deacuteveloppement ou de capaciteacute deacutepend essentiellement des objectifs informatiques et des besoins meacutetiers sous-jacents quils sont supposeacutes satisfaire La capaciteacute reacuteellement deacuteployeacutee deacutepend largement du retour quune entreprise attend de ses investissements Par exemple il y a des processus et des systegravemes strateacutegiques qui neacutecessitent une gestion de la seacutecuriteacute plus importante et plus stricte que dautres qui sont moins essentiels Dautre part le degreacute et la sophistication des controcircles agrave appliquer agrave un processus sont davantage induits par lappeacutetence pour le risque de lentreprise et par les impeacuteratifs de conformiteacute applicables
Les eacutechelles des modegraveles de maturiteacute aideront les professionnels agrave expliquer aux dirigeants ougrave se situent les points faibles de la gestion des processus informatiques et agrave deacutesigner le niveau que ceux-ci doivent atteindre Le bon niveau de maturiteacute deacutependra des objectifs meacutetiers de lentreprise de lenvironnement opeacuterationnel et des pratiques du secteur En particulier le niveau de maturiteacute de la gestion deacutependra de la deacutependance de lentreprise vis-agrave-vis de linformatique du niveau de sophistication de ses technologies et avant tout de la valeur de ses informations
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 19
COBIT41 Une entreprise deacutesireuse dameacuteliorer la gestion et le controcircle de ses processus informatiques peut trouver des reacutefeacuterences strateacutegiques en sinteacuteressant aux standards internationaux eacutemergents et aux meilleures pratiques Les pratiques eacutemergentes actuelles peuvent devenir le niveau de performance attendu de demain et par conseacutequent ecirctre utiles pour planifier les objectifs de positionnement dune entreprise dans le temps
Les modegraveles de maturiteacute sont creacuteeacutes agrave partir du modegravele qualitatif geacuteneacuteral (voir figure 13) auquel on ajoute progressivement de niveau en niveau des principes issus des attributs suivants bull sensibilisation et communication bull politiques plans et proceacutedures bull outils et automatisation bull compeacutetences et expertise bull responsabiliteacute opeacuterationnelle et responsabiliteacute finale bull deacutesignation des objectifs et meacutetriques
Le tableau des attributs de maturiteacute de la figure 15 reacutepertorie les caracteacuteristiques de la faccedilon dont les processus informatiques sont geacutereacutes et montre comment ils eacutevoluent dinexistant agrave optimiseacute On peut utiliser ces attributs pour une eacutevaluation plus complegravete pour lanalyse des eacutecarts et pour la planification des ameacuteliorations
En reacutesumeacute les modegraveles de maturiteacute proposent un profil geacuteneacuterique des eacutetapes au travers desquelles eacutevoluent les entreprises dans la gestion et le controcircle des processus informatiques Ils constituent bull un ensemble dexigences et les facteurs dapplication aux diffeacuterents niveaux de maturiteacute bull une eacutechelle qui permet de mesurer facilement les eacutecarts bull une eacutechelle qui se precircte agrave des comparaisons pragmatiques bull la base pour positionner les situations en cours et les situations cibles bull une aide pour deacuteterminer par lanalyse des eacutecarts les actions agrave entreprendre pour atteindre le niveau choisi bull pris tous ensemble une vision de la faccedilon dont linformatique est geacutereacutee dans lentreprise
Les modegraveles de maturiteacute COBIT se focalisent sur la maturiteacute mais pas neacutecessairement sur la couverture et lampleur du controcircle Ils ne constituent pas un record agrave eacutegaler ni une base pour se preacuteparer agrave une certification par petites eacutetapes avec des seuils difficiles agrave franchir Ils sont conccedilus pour ecirctre toujours applicables avec des niveaux qui deacutecrivent ce quune entreprise peut identifier comme le mieux adapteacute agrave ses processus Le juste niveau est deacutetermineacute par le type dentreprise lenvironnement et la strateacutegie
La couverture lampleur du controcircle et la faccedilon dont la capaciteacute est utiliseacutee et deacuteployeacutee constituent des deacutecisions coucirctbeacuteneacutefice Par exemple la gestion de la seacutecuriteacute agrave un eacutechelon eacuteleveacute peut navoir agrave se focaliser que sur les systegravemes de lentreprise les plus sensibles Un autre exemple serait le choix entre un examen manuel hebdomadaire et un controcircle automatiseacute permanent
Finalement mecircme si de plus hauts niveaux de maturiteacute augmentent le controcircle des processus lentreprise a toujours besoin danalyser en fonction des inducteurs de risque et de valeur quels meacutecanismes de controcircle elle doit mettre en œuvre Les objectifs meacutetiers et les objectifs informatiques geacuteneacuteriques deacutefinis dans ce cadre de reacutefeacuterence aideront agrave faire cette analyse Les meacutecanismes de controcircle sont guideacutes par les objectifs de controcircle de COBIT et sinteacuteressent en prioriteacute aux actions entreprises au cours du processus les modegraveles de maturiteacute se focalisent dabord sur lappreacuteciation de la qualiteacute de gestion dun processus Lannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lenvironnement de controcircle interne et leacutetablissement de controcircles internes dans une entreprise
On peut consideacuterer quun environnement de controcircle est bien adapteacute lorsquon a traiteacute les trois aspects de la maturiteacute capaciteacute couverture et controcircle Ameacuteliorer la maturiteacute reacuteduit les risques et ameacuteliore lefficience ce qui induit moins derreurs des processus plus preacutevisibles et une utilisation rentable des ressources
MESURE DE LA PERFORMANCE Les objectifs et les meacutetriques sont deacutefinis agrave trois niveaux dans COBIT bull les objectifs et les meacutetriques informatiques qui deacutefinissent les attentes de lentreprise vis-agrave-vis de linformatique et comment les mesurer bull les objectifs et les meacutetriques des processus qui deacutefinissent ce que le processus informatique doit fournir pour reacutepondre aux objectifs
informatiques et comment mesurer ces exigences bull les objectifs et les meacutetriques de lactiviteacute qui deacuteterminent les actions agrave entreprendre au sein du processus pour atteindre la performance
requise et comment les mesurer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 20
ndash
CA
DR
E D
E R
EacuteFEacute
RE
NC
E
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
1
2
3
4
5
Sensibilisation et communication
Politiques plans et proceacutedures Outils et automatisation Compeacutetences et expertise Responsabiliteacute opeacuterationnelle et
responsabiliteacute finale Deacutefinition des objectifs et
meacutetriques On commence agrave Lrsquoapproche par processus et les Il peut exister certains outils la On nrsquoa pas identifieacute quelles Les responsabiliteacutes opeacuterationnelles et Les objectifs ne sont pas clairs et rien reconnaicirctre la pratiques sont envisageacutees au cas par pratique se base sur les outils de compeacutetences eacutetaient neacutecessaires les responsabiliteacutes finales ne sont pas nrsquoest mesureacute neacutecessiteacute des cas bureautique standards au fonctionnement du processus deacutefinies Les gens srsquoattribuent la processus
Les processus et les politiques ne Il nrsquoy a pas drsquoapproche planifieacutee de Il nrsquoexiste pas de plan de formation proprieacuteteacute des problegravemes agrave reacutesoudre de leur propre initiative en fonction
On communique de sont pas deacutefinis lrsquoutilisation des outils et aucune formation nrsquoest des situations temps en temps sur officiellement organiseacutee ces questions On a conscience du On commence agrave utiliser des Il existe des approches communes de On a identifieacute les compeacutetences Une personne assume ses On fixe certains objectifs on mesure besoin drsquoagir processus semblables mais ils sont certains outils mais elles sont baseacutees minimales requises pour les responsabiliteacutes et en est certains flux financiers mais seul le
largement intuitifs car baseacutes sur sur des solutions deacuteveloppeacutees par domaines strateacutegiques habituellement tenue pour management est au courant On Le management lrsquoexpertise individuelle des individus cleacutes responsable (garante) mecircme si cela surveille certains secteurs isoleacutes mais communique sur les On fournit une formation en cas de nrsquoa pas eacuteteacute formellement convenu pas de faccedilon organiseacutee questions geacuteneacuterales Certains aspects des processus sont Des outils ont pu ecirctre acheteacutes chez besoin plutocirct que selon un plan Lorsque des problegravemes surviennent
reproductibles gracircce agrave lrsquoexpertise des fournisseurs mais ils ne sont approuveacute et certaines formations on ne sait plus qui est responsable et individuelle et il peut exister une sans doute pas utiliseacutes correctement informelles ont lieu ldquosur le tasrdquo une culture du blacircme a tendance agrave forme de documentation et de et sont peutshyecirctre mecircme des produits srsquoinstaller compreacutehension informelle de la imparfaitement adapteacutes politique et des proceacutedures F
igu
re 15 T
ableau
des attrib
uts d
e matu
riteacute
On a compris le besoin drsquoagir
Le management communique de faccedilon plus formelle et plus rigoureuse
On commence agrave utiliser les bonnes pratiques
On a deacutefini et documenteacute les processus les politiques et les proceacutedures pour toutes les activiteacutes cleacutes
On a deacutefini un plan drsquoutilisation et de standardisation des outils pour automatiser les processus
Les outils sont utiliseacutes pour leurs fonctions de base mais ne correspondent peutshyecirctre pas tous au plan adopteacute et ne sont peutshyecirctre pas capables de fonctionner les uns avec les autres
On a deacutefini et documenteacute les besoins en compeacutetences pour tous les secteurs
On a eacutelaboreacute un plan de formation officiel mais la formation reste baseacutee sur des initiatives individuelles
Les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et les proprieacutetaires de processus sont identifieacutes Le proprieacutetaire de processus nrsquoa vraisemblablement pas toute autoriteacute pour exercer ses responsabiliteacutes
On fixe certains objectifs drsquoefficaciteacute et on mesure cette efficaciteacute mais on ne communique pas dessus ces objectifs sont clairement relieacutes aux objectifs meacutetiers Des processus de mesures commencent agrave ecirctre utiliseacutes mais pas de faccedilon systeacutematique On adopte les ideacutees du tableau de bord eacutequilibreacute informatique et on utilise parfois lrsquoanalyse causale de maniegravere intuitive
On a pleinement compris les impeacuteratifs
On utilise des techniques abouties et des outils standards pour communiquer
Les processus sont sains et complets on applique les meilleures pratiques internes
Tous les aspects des processus sont documenteacutes et reproductibles Les politiques ont eacuteteacute approuveacutees et avaliseacutees par le management On a adopteacute des standards pour le deacuteveloppement et la gestion des processus et des proceacutedures et on les applique
Les outils sont mis en place selon un plan standardiseacute et certains fonctionnent avec drsquoautres outils dans le mecircme environnement
On utilise certains outils dans les domaines principaux pour automatiser la gestion des processus et pour surveiller les activiteacutes et les controcircles critiques
Les besoins en compeacutetences sont reacuteguliegraverement reacuteajusteacutes pour tous les secteurs on apporte des compeacutetences speacutecialiseacutees agrave tous les secteurs critiques et on encourage la certification
On applique des techniques de formation eacuteprouveacutees conformes au plan de formation et on encourage le partage des connaissances On implique tous les experts des domaines internes et on eacutevalue lrsquoefficaciteacute du plan de formation
Les responsabiliteacutes opeacuterationnelles et finales des processus sont accepteacutees et fonctionnent drsquoune faccedilon qui permet au proprieacutetaire de processus de sacquitter pleinement de ses responsabiliteacutes Il existe une culture de la reacutecompense qui motive un engagement positif dans lrsquoaction
On mesure lrsquoefficaciteacute et lrsquoefficience on communique sur ces questions qursquoon lie aux objectifs meacutetiers et au plan informatique strateacutegique On met en œuvre le tableau de bord eacutequilibreacute informatique dans certains secteurs sauf dans certains cas connus du management et on est en train de standardiser lrsquoanalyse causale Lrsquoameacutelioration continue commence agrave exister
On comprend tout agrave On applique les meilleures pratiques On utilise des progiciels standardiseacutes Lrsquoentreprise encourage Les proprieacutetaires de processus ont le Il existe un systegraveme de mesure de la fait les impeacuteratifs et on et standards externes dans lrsquoensemble de lrsquoentreprise formellement lrsquoameacutelioration pouvoir de prendre des deacutecisions et performance inteacutegreacute qui lie la anticipe sur les continue des compeacutetences selon drsquoagir Le fait drsquoaccepter des performance de lrsquoinformatique aux eacutevolutions La documentation des processus a
eacutevolueacute en workflow automatiseacute On a Les outils sont pleinement inteacutegreacutes entre eux pour supporter le
des objectifs personnels et drsquoentreprise clairement deacutefinis
responsabiliteacutes a eacuteteacute deacuteployeacute de faccedilon coheacuterente agrave tous les eacutechelons
objectifs meacutetiers par lrsquoapplication geacuteneacuterale du tableau de bord eacutequilibreacute
Il existe une standardiseacute et inteacutegreacute les processus processus de bout en bout de lrsquoentreprise informatique Le management prend communication proactive sur les tendances du moment on applique des techniques eacuteprouveacutees
les politiques et les proceacutedures pour permettre une gestion et des ameacuteliorations de tous les maillons de la chaicircne
On utilise des outils pour favoriser lrsquoameacutelioration des processus et pour deacutetecter automatiquement les cas drsquoexception au controcircle
La formation et lrsquoenseignement sappuient sur les meilleures pratiques externes et utilisent des concepts et des techniques de pointe Le partage des
systeacutematiquement note des exceptions et on applique lrsquoanalyse causale Lameacutelioration continue fait deacutesormais partie de la culture drsquoentreprise
et des outils inteacutegreacutes connaissances est une culture pour la communication drsquoentreprise et on deacuteploie des
systegravemes agrave base de connaissances On srsquoappuie sur lrsquoexpeacuterience drsquoexperts externes et drsquoentreprises leaders de la branche
21
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar un accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
ndash rsquo
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Figure 16 ndash Exemple de relation entre les objectifs
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
ndash
COBIT41 Les objectifs sont deacutefinis dans le sens descendant en ce sens que les objectifs meacutetiers deacutetermineront un certain nombre dobjectifs informatiques pour favoriser leur reacutealisation Un objectif informatique est atteint par un processus ou par linteraction de diffeacuterents processus Par conseacutequent les objectifs informatiques aident agrave deacutefinir les diffeacuterents objectifs de processus Dautre part chaque objectif de processus requiert un certain nombre dactiviteacutes eacutetablissant ainsi les objectifs de lactiviteacute La figure 16 fournit des exemples de liens entre les objectifs meacutetiers informatiques des processus et de lactiviteacute
Figure 16 Exemple de relation entre les objectifs
OOObbbjjjeeeccctttiiifff mmmeacuteeacuteeacutetttiiieeerrr
Maintenir la reacuteputation
et le leadership de lrsquorsquorsquorsquoentreprise
Srsquorsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
OOObbbjjjeeeccctttiiifff aaaccctttiiivvviiittteacuteeacuteeacute
Les termes ICO (indicateurs cleacutes dobjectif) et ICP (indicateurs cleacutes de performance) utiliseacutes dans les preacuteceacutedentes versions de COBIT ont eacuteteacute remplaceacutes par deux types de meacutetriques bull Les mesures de reacutesultats (anciens ICO) indiquent si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees quapregraves le reacutesultat et sont
correspondent donc agrave des indicateurs a posteriori bull Les indicateurs de performance (anciens ICP) indiquent si les objectifs ont des chances decirctre atteints Ils peuvent ecirctre mesureacutes avant la
manifestation du reacutesultat et correspondent donc agrave des indicateurs a priori
La figure 17 fournit des mesures de reacutesultats ou dobjectifs possibles pour lexemple utiliseacute
Figure 17 Mesures de reacutesultats possibles pour l exemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
Nombre drsquorsquorsquoincidents qui ont mis
lrsquorsquorsquoentreprise en difficulteacute vis---agrave---vis
des tiers
MMeessuurree ddee rreacuteeacutessuullttaatt
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
OObbjjeeccttiiff aaccttiivviitteacuteeacute
Nombre drsquorsquorsquoincidents informatiques reacuteels
qui ont eu un impact sur lrsquorsquorsquoactiviteacute
de lrsquorsquorsquoentreprise
MMeessuurree ddee rreacuteeacutessuullttaatt
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par un accegraves non autoriseacute
MMeessuurree ddee rreacuteeacutessuullttaatt
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee rreacuteeacutessuullttaatt
Les mesures de reacutesultats du niveau infeacuterieur deviennent les indicateurs de performance du niveau supeacuterieur Comme lillustre lexemple de la figure 16 une mesure de reacutesultat indiquant que la deacutetection et la reacutesolution dun accegraves non autoriseacute sont en bonne voie reacutevegravele eacutegalement que les services informatiques seront tregraves probablement capables de reacutesister aux attaques Ainsi la mesure de reacutesultat est devenue un indicateur de performance pour lobjectif de niveau supeacuterieur La figure 18 montre comment les mesures de reacutesultats deviennent des mesures de performance dans lexemple employeacute
Les mesures de reacutesultats deacutefinissent des indicateurs qui apregraves les faits reacutevegravelent agrave la direction si une activiteacute un processus ou une fonction informatique a atteint ses objectifs Les mesures de reacutesultats des fonctions informatiques sont souvent exprimeacutees en termes de critegraveres dinformation bull Disponibiliteacute des informations requises pour reacutepondre aux besoins meacutetiers de lentreprise bull Absence de risques vis-agrave-vis de linteacutegriteacute et la confidentialiteacute bull Rentabiliteacute des processus et des opeacuterations bull Confirmation de la fiabiliteacute de lefficaciteacute et de la conformiteacute
Les indicateurs de performance deacutefinissent les mesures qui deacuteterminent agrave quel point la performance de lactiviteacute de la fonction informatique ou du processus informatique lui donne des chances datteindre les objectifs Ce sont des indicateurs essentiels pour savoir si un objectif a des chances decirctre atteint ou non conditionnant ainsi les objectifs du niveau supeacuterieur Ils mesurent geacuteneacuteralement la disponibiliteacute des capaciteacutes des pratiques et des compeacutetences approprieacutees et le reacutesultat des activiteacutes sous-jacentes Par exemple un service fourni par les SI est un objectif pour les SI mais un indicateur de performance et une compeacutetence pour lentreprise Cest la raison pour laquelle les indicateurs de performance sont parfois deacutesigneacutes sous le nom dinducteurs de performance notamment dans les tableaux de bord eacutequilibreacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 22
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar des accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
ndash
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave l infrastructure
Nombre d incidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
Freacutequence des analyses du type d incidents de seacutecuriteacute agrave surveiller
Srsquoassurer que les services informatiques sont capables de reacutesister agrave des attaques et drsquoen surmonter les effets
Nombre drsquoincidents informatiques reacuteels qui ont eu un impact sur lrsquoactiviteacute de lrsquoentreprise
Maintenir la reacuteputation et le leadership de lrsquoentreprise
Nombre drsquoincidents qui ont mis lrsquoentreprise en
difficulteacute vis agrave vis des tiers
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
rsquo
rsquo
rsquo
rsquo rsquo
rsquo
rsquo rsquo
ndash
CADRE DE REacuteFEacuteRENCE Figure 18 Inducteurs de performance possibles pour lrsquoexemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
Nombre drsquorsquorsquoincidents informatiques reacuteels
ayant des conseacutequences
pour lrsquorsquorsquoentreprise
MMeessuurree ddee ppeerrffoorrmmaannccee
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par des accegraves non autoriseacute
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee ppeerrffoorrmmaannccee MMeessuurree ddee ppeerrffoorrmmaannccee
iiinnnddduuuiiittt
iiinnnddduuuiiittt
iiinnnddduuuiiittt
Par conseacutequent les meacutetriques fournies constituent une mesure des reacutesultats de la fonction informatique du processus informatique ou de lobjectif dactiviteacute quelles eacutevaluent ainsi quun indicateur de performance induisant lobjectif de niveau supeacuterieur en matiegravere de fonction informatique de processus informatique ou dactiviteacute
La figure 19 illustre les relations entre les objectifs meacutetiers informatiques des processus et de lactiviteacute et les diffeacuterentes meacutetriques La deacuteclinaison des objectifs est illustreacutee den haut agrave gauche agrave en haut agrave droite Sous chaque objectif apparaicirct la mesure de reacutesultat de lobjectif La petite flegraveche indique que la mecircme meacutetrique est un indicateur de performance pour lobjectif de niveau supeacuterieur
Figure 19 Relations entre processus objectifs et meacutetriques (DS5)
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave lrsquorsquoinfrastructure
eesstt mmeessuurreacuteeacute ppaarr
Nombre drsquorsquoincidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
oobbjjeeccttiiff pprroocceessssuuss
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
eesstt mmeessuurreacuteeacute ppaarr
Freacutequence des analyses du type drsquorsquoincidents de seacutecuriteacute agrave surveiller
oobbjjeeccttiiff aaccttiivviitteacuteeacute
S assurer que les services informatiques sont capables de reacutesister agrave des attaques et d en surmonter les effets
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents informatiques reacuteels qui ont eu un impact sur l activiteacute de l entreprise
oobbjjeeccttiiff iinnffoorrmmaattiiqquuee
Maintenir la reacuteputation et le leadership de l entreprise
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents qui ont mis l entreprise en
difficulteacute vis agrave vis des tiers
oobbjjeeccttiiff mmeacuteeacutettiieerr
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
Lexemple fourni est tireacute de DS5 Assurer la seacutecuriteacute des systegravemes COBIT fournit uniquement des meacutetriques jusquau reacutesultat des objectifs informatiques comme lindique la deacutelimitation en pointilleacutes Mecircme sil sagit eacutegalement dindicateurs de performance pour les objectifs meacutetiers des SI COBIT ne fournit pas de mesures de reacutesultat des objectifs meacutetiers
Les objectifs meacutetiers et les objectifs informatiques utiliseacutes dans la section des objectifs et meacutetriques de COBIT ainsi que les relations entre eux sont fournis en Annexe I Pour chaque processus informatique de COBIT les objectifs et les meacutetriques sont preacutesenteacutes comme lillustre la figure 20
Les meacutetriques ont eacuteteacute mises au point en tenant compte des caracteacuteristiques suivantes bull un ratio perspicaciteacuteeffort eacuteleveacute (c-agrave-d vision de la performance et du succegraves des objectifs par rapport agrave leffort pour les atteindre) bull comparables en interne (par ex pourcentage par rapport agrave une base ou agrave des chiffres dans le temps) bull comparables en externe quels que soient la taille ou le secteur dactiviteacute bull quelques bonnes meacutetriques (eacuteventuellement mecircme une seule tregraves bonne sur laquelle agissent plusieurs paramegravetres) sont preacutefeacuterables agrave une
longue liste de mauvaises meacutetriques bull des mesures faciles agrave effectuer qui ne doivent pas ecirctre confondues avec les cibles agrave atteindre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 23
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
Objectifs meacutetiersCritegraveres
drsquoinformation
Ressourcesinformatiques
Processusinformatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesuresde reacutesultat
rsquo
COBIT41 Figure 20 ndash Preacutesentation des objectifs et des meacutetriques
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
ddeacuteeacuteffiinniitt ddeacuteeacuteffiinniitt
mmeessuurree mmeessuurree mmeessuurree
iinndduuiitt
iinndduuiitt
Le modegravele du cadre de reacutefeacuterence COBIT
Le cadre de reacutefeacuterence COBIT par conseacutequent lie les exigences dinformation et de gouvernance meacutetiers aux objectifs de linformatique Le modegravele de processus COBIT permet aux activiteacutes informatiques et aux ressources quelles utilisent decirctre correctement geacutereacutees et controcircleacutees sur la base des objectifs de controcircle de COBIT et decirctre aligneacutees et surveilleacutees en utilisant les objectifs et meacutetriques de COBIT comme lillustre la figure 21
Figure 21 ndash COBIT Gestion Controcircle Alignement et Surveillance
Objectifs meacutetiers Critegraveres
d information
Ressources informatiques
Processus informatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesures de reacutesultat
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 24
ndash
Fiabiliteacute
Efficac
iteacute
Efficience
Confidentia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
DOMAINES
ACTIVITEacuteS
PROCESSUS
CADRE DE REacuteFEacuteRENCE En reacutesumeacute les ressources informatiques sont geacutereacutees par des processus informatiques pour atteindre les objectifs informatiques qui reacutepondent aux exigences meacutetiers Cest le principe de base du cadre de reacutefeacuterence COBIT comme lillustre le cube COBIT (figure 22)
Figure 22 Le cube COBIT
Efficac
iteacute
Efficience
Confiden
DOMAINES
ACTIVITEacuteSPPrroocceessssuuss iinnffoorrmm
aattiiqquueess
PROCESSUS
Fiabiliteacutetia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
RReessssoouurrcceess iinnffoorrmmaattiiqquueess
EExxiiggeenncceess mmeacuteeacutettiieerrss
On peut repreacutesenter plus en deacutetail le cadre de reacutefeacuterence geacuteneacuteral de COBIT par le graphique de la figure 23 le modegravele COBIT eacutetant diviseacute en 4 domaines et en 34 processus geacuteneacuteriques qui gegraverent les ressources informatiques pour fournir linformation agrave lentreprise en fonction des exigences meacutetiers et de celles de la gouvernance
Pourquoi COBIT est largement reconnu
COBIT se base sur lanalyse et lharmonisation des standards informatiques existants comme sur les bonnes pratiques et se conforme aux principes de gouvernance geacuteneacuteralement accepteacutes Il considegravere les exigences meacutetiers au niveau le plus geacuteneacuteral et couvre lensemble des activiteacutes informatiques en se concentrant sur ce qui doit ecirctre accompli plutocirct que sur la faccedilon de reacuteussir une gouvernance une gestion et un controcircle efficaces des activiteacutes Il agit donc comme un inteacutegrateur des pratiques de gouvernance des SI et sadresse aux directions geacuteneacuterales au management des meacutetiers et de linformatique aux professionnels de la gouvernance de lassurance et de la seacutecuriteacute comme agrave ceux de laudit et du controcircle informatique Il est conccedilu pour ecirctre compleacutementaire dautres standards et des bonnes pratiques et pour ecirctre utiliseacute conjointement avec eux
La mise en place des bonnes pratiques doit ecirctre coheacuterente avec la gouvernance de lentreprise et avec le cadre de controcircle approprieacutee agrave lentreprise et inteacutegreacutee aux autres meacutethodes et pratiques utiliseacutees Les standards et les bonnes pratiques ne sont pas la panaceacutee Leur efficaciteacute deacutepend de la faccedilon dont ils ont eacuteteacute mis en œuvre et dont ils sont tenus agrave jour Ils sont plus utiles lorsquon les applique comme un ensemble de principes et comme point de deacutepart pour leacutelaboration de proceacutedures speacutecifiques sur mesure Pour eacuteviter que les pratiques restent au niveau des bonnes intentions le management et le personnel doivent comprendre quoi faire comment le faire et pourquoi cest important
Pour reacuteussir lalignement des bonnes pratiques sur les exigences meacutetiers il est recommandeacute dutiliser COBIT au niveau le plus geacuteneacuteral ce qui fournira un cadre de controcircle global baseacute sur un modegravele de processus informatiques geacuteneacuteriques qui convient habituellement agrave toutes les entreprises Les pratiques speacutecifiques et les standards qui inteacuteressent des domaines particuliers peuvent ecirctre mis en regard du cadre de reacutefeacuterence COBIT fournissant ainsi un ensemble hieacuterarchiseacute de guides
COBIT concerne diffeacuterents types dutilisateurs bull les directions geacuteneacuterales pour que linvestissement informatique produise de la valeur et pour trouver le bon eacutequilibre entre risques et
investissements en controcircles dans un environnement informatique souvent impreacutevisible bull les directions meacutetiers pour obtenir des assurances sur la gestion et le controcircle des services informatiques fournis en interne ou par des
tiers bull les directions informatiques pour fournir les services informatiques dont les meacutetiers ont besoin pour reacutepondre agrave la strateacutegie de
lentreprise et pour controcircler et bien geacuterer ces services bull les auditeurs pour justifier leurs opinions etou donner des conseils au management sur les dispositifs de controcircle interne
COBIT a eacuteteacute deacuteveloppeacute et est maintenu agrave jour par un institut indeacutependant et sans but lucratif puisant dans lexpertise des membres de ses associations affilieacutees des experts du monde des affaires et des professionnels du controcircle et de la seacutecuriteacute Son contenu est baseacute sur une recherche permanente des bonnes pratiques de linformatique et il est continuellement mis agrave jour offrant ainsi un objectif et des ressources pratiques agrave tous les types dutilisateurs
COBIT est axeacute sur les objectifs et sur la perspective de la gouvernance des SI Il sassure que son cadre de reacutefeacuterence en englobe bien tous les aspects en accord avec les principes de la gouvernance dentreprise et par conseacutequent quil peut ecirctre accepteacute par les administrateurs dirigeants auditeurs et reacutegulateurs Dans lAnnexe II un tableau montre comment les objectifs de controcircle de COBIT se relient aux cinq domaines de la gouvernance des SI et aux activiteacutes de controcircle du COSO
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 25
ndash
Mesure de la performance
Gestion des ressources
Gestiondes risques
Apportde valeur
Alignementstrateacutegique
Modegravelesde maturiteacute
PratiquesMeacutetriquesObjectifs
ndash
bullbullbullbull
ApplicationsInformationsInfrastructuresPersonnes
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SE 2 Surve er et eacuteva uer e controcirc e nterneSE 3 S assurer de a conform teacute aux ob gat ons externesSE 4 Mettre en p ace une gouvernance des SI
SE 1 Surve er et eacuteva uer a performance des SI
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
RESSOURCESINFORMATIQUES
bull Efficience
bull Inteacutegriteacutebull Disponibiliteacutebull Conformiteacutebull Fiabiliteacute
Confidentialiteacutebull
Efficaciteacutebull
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRESDrsquoINFORMATION
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
COBIT
CRITEgraveRESDrsquoINFORMATIONrsquo
COBIT41 Figure 23 Le Cadre de reacutefeacuterence geacuteneacuteral de COBIT
bullbull bullbull bullbull bullbull
AAAppppppllliiicccaaatttiiiooonnnsss IIInnnfffooorrrmmmaaatttiiiooonnnsss IIInnnfffrrraaassstttrrruuuccctttuuurrreeesss PPPeeerrrsssooonnnnnneeesss
DS 1 Deacutefiiiiniiiir et geacuterer lllles niiiiveaux de serviiiice
DS 3 Geacuterer lllla performance et lllla capaciiiiteacute
DS 5 Assurer lllla seacutecuriiiiteacute des systegravemes
DS 7 Instruiiiire et former lllles utiiiilllliiiisateurs
DS 9 Geacuterer lllla confiiiiguratiiiion
DS 11 Geacuterer lllles donneacutees
DS 13 Geacuterer llllrsquorsquorsquorsquoexplllloiiiitatiiiion
DS 2 Geacuterer lllles serviiiices tiiiiers
DS 4 Assurer un serviiiice contiiiinu
DS 6 Identiiiifiiiier et iiiimputer lllles coucircts
DS 8 Geacuterer lllle serviiiice drsquorsquorsquorsquoassiiiistance clllliiiient et lllles iiiinciiiidents
DS 10 Geacuterer lllles probllllegravemes
DS 12 Geacuterer llllrsquorsquorsquorsquoenviiiironnement physiiiique
AI 1 Trouver des solllutiiions iiinformatiiiques
AI 3 Acqueacuteriiir une iiinfrastructure techniiique et en assurer llla maiiintenance
AI 7 Installllller et vallliiider llles solllutiiions et llles modiiifiiicatiiions
AI 4 Faciiillliiiter llle fonctiiionnement et lllrsquorsquorsquoutiiillliiisatiiion
AI 6 Geacuterer llles changements
AI 2 Acqueacuteriiir des appllliiicatiiions et en assurer llla maiiintenance
AI 5 Acqueacuteriiir des ressources iiinformatiiiques
PO 1 Deacutefiiiniiir un plllan iiinformatiiique strateacutegiiique PO 2 Deacutefiiiniiir lllrsquorsquorsquoarchiiitecture de lllrsquorsquorsquoiiinformatiiion PO 3 Deacutetermiiiner lllrsquorsquorsquooriiientatiiion technolllogiiique PO 4 Deacutefiiiniiir llles processus lllrsquorsquorsquoorganiiisatiiion et llles relllatiiions de travaiiilll PO 5 Geacuterer llles iiinvestiiissements iiinformatiiiques PO 6 Faiiire connaicirctre llles buts et llles oriiientatiiions du management PO 7 Geacuterer llles ressources humaiiines de lllrsquorsquorsquoiiinformatiiique
PO 9 Eacutevallluer et geacuterer llles riiisques PO 10 Geacuterer llles projjjets
PO 8 Geacuterer llla quallliiiteacute
SE 2 Surveiillller et eacutevalluer lle controcirclle iinterne SE 3 Srsquorsquoassurer de lla conformiiteacute aux oblliigatiions externes SE 4 Mettre en pllace une gouvernance des SI
SE 1 Surveiillller et eacutevalluer lla performance des SI
SURVEILLER ET EVALUER
PLANIFIER ET ORGANISER
DEacuteLIVRER ET SUPPORTER
ACQUEacuteRIR ET IMPLEacuteMENTER
RESSOURCES INFORMATIQUES
bullbullbull EEEffffffiiiccciiieeennnccceee
bullbullbull IIInnnttteacuteeacuteeacutegggrrriiittteacuteeacuteeacute bullbullbull DDDiiissspppooonnniiibbbiiillliiittteacuteeacuteeacute bullbullbull CCCooonnnfffooorrrmmmiiittteacuteeacuteeacute bullbullbull FFFiiiaaabbbiiillliiittteacuteeacuteeacute
Cbullbullbull CCooonnnfffiiidddeeennntttiiiaaallliiittteacuteeacuteeacute
Ebullbullbull EEffffffiiicccaaaccciiittteacuteeacuteeacute
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRES D INFORMATION
La figure 24 preacutesente les relations entre les diffeacuterents eacuteleacutements du cadre de reacutefeacuterence de COBIT et les domaines daction de la gouvernance des SI
Figure 24 Cadre de reacutefeacuterence COBIT et domaines de gouvernance des SI
SSPPPPMesure de la performance
PPPPSSGestion des ressources
SSPPSSGestion des risques
PPSSPPApport de valeur
PPPPAlignement strateacutegique
Modegraveles de maturiteacute
PratiquesMeacutetriquesObjectifs
PP == iinndduucctteeuurr PPrriimmaaiirree SS == iinndduucctteeuurr SSeeccoonnddaaiirree
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 26
ndash
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
CADRE DE REacuteFEacuteRENCE
COMMENT UTILISER CE LIVRE
Navigation dans le cadre de reacutefeacuterence COBIT On trouvera une description de chacun des processus informatiques de COBIT ainsi que des objectifs cleacutes et des meacutetriques dans cette preacutesentation en cascade (figure 25)
Figure 25 Navigation dans COBIT
Pour chaque processus informatique les objectifs de controcircle sont preacutesenteacutes comme les actions geacuteneacuteriques des bonnes pratiques de gestion minimum neacutecessaires pour que le processus soit sous controcircle
Le controcircle du processus informatique
nom du processus
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
liste des principaux objectifs meacutetiers
en se concentrant sur
liste des principaux objectifs du processus
atteint son objectif gracircce agrave
des objectifs lieacutes agrave lrsquoactiviteacute
et est mesureacute par
des meacutetriques cleacutes
EEffffiiccaa
cciitteacuteeacute
IInntteacuteeacute
ggrriitteacuteeacute
CCoonnffiidd
eennttiiaa
lliitteacuteeacute
EEffffiicciieennccee
DDiissppoonn
iibbiilliitt
eacuteeacute
CCoonnffoo
rrmmiitteacuteeacute
FFiiaabb
iilliitteacuteeacute
AApppplliiccaattiioo
nnss
PPeerrssoonnnneess
IInnffoorrmmaattiioo
nnss
IInnffrraassttrr
uuccttuurreess
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SSSeeecccooonnndddaaaiiirrreeePPPrrriiimmmaaaiiirrreee
Preacutesentation des composants essentiels de COBIT
Le cadre de reacutefeacuterence COBIT est constitueacute dun certain nombre de composants principaux que lon retrouve dans le reste de cette publication et qui sont organiseacutes en 34 processus offrant ainsi une image complegravete de la faccedilon de controcircler de geacuterer et de mesurer chacun dentre eux Chaque processus est deacutetailleacute en quatre sections et chaque section occupe le plus souvent une page bull La section 1 (figure 25) contient une description du processus qui reacutesume ses objectifs la description du processus eacutetant preacutesenteacutee en
eacuteleacutements successivement deacutecaleacutes (en cascade) Cette page montre aussi sous forme scheacutematique quels sont les critegraveres dinformation les ressources informatiques et les domaines de la gouvernance des SI qui concernent ce processus avec la preacutecision P pour primaire ou S pour secondaire
bull La section 2 contient les objectifs de controcircle pour ce processus bull La section 3 contient un tableau des eacuteleacutements en entreacutee (entreacutees) et un autre des eacuteleacutements en sortie (sorties) du processus le tableau RACI
et un dernier tableau qui rapproche les objectifs et les meacutetriques bull La section 4 contient le modegravele de maturiteacute pour ce processus
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 27
COBIT41 On peut preacutesenter ainsi les eacuteleacutements qui conditionnent la performance du processus bull Les entreacutees du processus sont ce dont le proprieacutetaire du processus a besoin que les autres lui fournissent bull La description du processus et les objectifs de controcircle deacutetailleacutes preacutesentent ce que le proprieacutetaire du processus doit faire bull Les sorties du processus sont ce que le proprieacutetaire du processus doit livrer bull La partie objectifs et meacutetriques montre comment il faut mesurer le processus bull Le tableau RACI preacutecise ce qui doit ecirctre deacuteleacutegueacute et agrave qui bull Le modegravele de maturiteacute montre ce quil faut faire pour progresser
Les rocircles dans le tableau RACI sont deacutesigneacutes pour tous les processus par les expressions bull Directeur geacuteneacuteral (DG) bull Directeur financier (DF) bull Direction meacutetier bull Directeur informatique (DSI) bull Proprieacutetaire de processus meacutetier bull Responsable de lexploitation bull Responsable de larchitecture bull Responsable des deacuteveloppements bull Responsable administratif de linformatique (dans les grandes entreprises le responsable de fonctions telles que ressources humaines
budget ou controcircle interne) bull Responsable de la gestion des projets (PMO Project Management Officer) ou fonction de gestion de projet bull Conformiteacute audit risque et seacutecuriteacute (personnes qui ont des responsabiliteacutes de controcircle mais pas de responsabiliteacutes opeacuterationnelles
informatiques)
Certains processus speacutecifiques ont un rocircle speacutecialiseacute suppleacutementaire propre au processus par ex Responsable service gestion des incidents pour le processus DS8
Il faut bien noter que mecircme si le preacutesent contenu a eacuteteacute collecteacute aupregraves de centaines dexperts selon des recherches et des veacuterifications rigoureuses les entreacutees sorties responsabiliteacutes mesures et objectifs sont des exemples et ne preacutetendent constituer ni des prescriptions ni une liste exhaustive Ils proposent une base de connaissance et dexpertise dans laquelle chaque entreprise doit seacutelectionner ce qui sera efficace et efficient pour son activiteacute en fonction de sa strateacutegie de ses objectifs et de ses politiques
Utilisateurs des composants de COBIT
Les dirigeants peuvent utiliser les supports COBIT pour eacutevaluer les processus informatiques agrave laide des objectifs meacutetier et des objectifs informatiques deacutecrits en Annexe I afin de clarifier les objectifs des processus informatiques et les modegraveles de maturiteacute des processus pour eacutevaluer les performances reacuteelles
Les responsables de la mise en œuvre et les auditeurs peuvent identifier les exigences de controcircle applicables agrave partir des objectifs de controcircle et les responsabiliteacutes agrave partir des activiteacutes et des tableaux RACI associeacutes
Tous les utilisateurs potentiels peuvent tirer parti du contenu COBIT et lutiliser dans le cadre dune meacutethode globale de gestion et de gouvernance des SI conjointement agrave dautres normes plus deacutetailleacutees telles que bull ITIL pour la prestation de services bull CMM pour la fourniture de solutions bull ISO 17799 pour la seacutecuriteacute de linformation bull PMBOK ou PRINCE2 pour la gestion de projets
Annexes
On trouvera agrave la fin du livre les sections de reacutefeacuterence suppleacutementaires suivantes I Tableaux eacutetablissant les liens entre les objectifs et les processus (3 tableaux) II Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT III Modegravele de maturiteacute pour le controcircle interne IV Documents de reacutefeacuterence de COBIT 41 V Correspondance entre COBIT 3e eacutedition et COBIT 41 VI Approche recherche et deacuteveloppement VII Glossaire VIII COBIT et produits de la famille COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 28
PLANIFIER ET ORGANISER
PO1 Deacutefinir un plan informatique strateacutegique PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation PO3 Deacuteterminer lrsquoorientation technologique PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail PO5 Geacuterer les investissements informatiques PO6 Faire connaicirctre les buts et les orientations du management PO7 Geacuterer les ressources humaines de lrsquoinformatique PO8 Geacuterer la qualiteacute PO9 Eacutevaluer et geacuterer les risques PO10 Geacuterer les projets
PL
AN
IFIE
R E
T
OR
GA
NIS
ER
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
DESCRIPTION DU PROCESSUS
PO1 Deacutefinir un plan informatique strateacutegique
Un plan de strateacutegie informatique est neacutecessaire pour geacuterer et orienter toutes les ressources informatiques vers les prioriteacutes strateacutegiques de lrsquoentreprise La DSI et les parties prenantes de lrsquoentreprise ont la responsabiliteacute de srsquoassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services Le plan strateacutegique doit permettre aux principales parties prenantes drsquoameacuteliorer leur compreacutehension des potentialiteacutes et des limites des technologies de lrsquoinformation (TI) drsquoeacutevaluer la performance actuelle drsquoidentifier les besoins en capaciteacute et en ressources humaines et de les eacuteclairer sur le niveau drsquoinvestissement neacutecessaire La strateacutegie et les prioriteacutes de lrsquoentreprise doivent se refleacuteter dans les portefeuilles de projets et doivent ecirctre mises en œuvre par le(s) plan(s) tactique(s) des SI qui preacutecise(nt) succintement les objectifs les plans et les tacircches et qui sont compris et accepteacutes agrave la fois par les meacutetiers et lrsquoinformatique
Le controcircle du processus informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Deacutefinir un plan informatique strateacutegique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices des coucircts et des risques
en se concentrant sur
la convergence du management de lrsquoentreprise et du management de lrsquoinformatique dans la traduction des exigences des meacutetiers en offres de services et sur le deacuteveloppement de strateacutegies pour fournir ces services en toute transparence et efficaciteacute
atteint son objectif en
bull travaillant avec les meacutetiers et la direction geacuteneacuterale pour aligner la planification strateacutegique des SI avec les besoins actuels et futurs de lrsquoentreprise
bull ayant un bonne connaissance des capaciteacutes actuelles des technologies de lrsquoinformation bull fournissant un scheacutema des prioriteacutes agrave appliquer aux objectifs des meacutetiers qui quantifie les exigences
des meacutetiers
et est mesureacute par
bull le pourcentage des objectifs informatiques du plan informatique strateacutegique qui apporte un soutien au plan strateacutegique des meacutetiers
bull le pourcentage de projets informatiques dans le portefeuille de projets qui deacutecoule directement du plan tactique des SI
bull le deacutelai entre les mises agrave jour du plan strateacutegique des SI et celles du plan tactique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 29
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
OBJECTIFS DE CONTROcircLE
PO1 Deacutefinir un plan informatique strateacutegique
PO11 Gestion de la valeur des SI Travailler avec les meacutetiers pour srsquoassurer que le portefeuille drsquoinvestissements informatiques de lrsquoentreprise contient des programmes ou projets dont les analyses de rentabiliteacute sont solides Reconnaicirctre qursquoil y a des investissements obligatoires indispensables et discreacutetionnaires qui diffegraverent en complexiteacute et en degreacute de liberteacute pour ce qui est de lrsquoattribution des creacutedits Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes au plus tocirct pour tout eacutecart par rapport au plan par exemple en ce qui concerne les coucircts les deacutelais et les fonctionnaliteacutes susceptible drsquoavoir des conseacutequences sur les reacutesultats attendus des programmes Les services informatiques doivent ecirctre rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) eacutequitables et applicables La responsabiliteacute finale de lrsquoobtention des beacuteneacutefices et du controcircle des coucircts est clairement assigneacutee et superviseacutee Eacutetablir une eacutevaluation juste transparente reproductible et comparable des analyses de rentabiliteacute qui tient compte de la valeur financiegravere du risque de ne pas fournir une capaciteacute et de ne pas reacutealiser les beacuteneacutefices attendus
PO12 Alignement meacutetiers-informatique Instaurer des processus de formation bi-directionnelle et drsquoengagement reacuteciproque dans le plan strateacutegique pour arriver agrave un alignement et une inteacutegration de lrsquoinformatique et des meacutetiers Trouver un compromis entre les impeacuteratifs meacutetiers et ceux de lrsquoinformatique de faccedilon agrave ce que les prioriteacutes fassent lrsquoobjet drsquoun agreacutement mutuel
PO13 Eacutevaluation de la capaciteacute et de la performance actuelle Eacutevaluer la capaciteacute et la performance actuelle de la configuration et le servi fourni de faccedilon agrave constituer une base drsquoeacutevaluation de besoins agrave venir Deacutefinir la performance en termes de contribution de lrsquoinformatique aux objectifs des meacutetiers de fonctionnaliteacutes de stabiliteacute de complexiteacute de coucircts de forces et de faiblesses
PO14 Plan informatique strateacutegique Creacuteer un plan strateacutegique qui deacutefinit en coopeacuteration avec les parties prenantes comment les objectifs de lrsquoinformatique vont contribuer aux objectifs strateacutegiques de lrsquoentreprise et aux coucircts et aux risques qui leur sont lieacutes Il doit inclure les programmes drsquoinvestissements informatiques les services et les actifs informatiques Il doit deacutefinir comment les objectifs seront atteints les meacutetriques agrave retenir et les proceacutedures permettant drsquoobtenir un aval formel des parties prenantes Le plan informatique strateacutegique doit couvrir les budgets drsquoinvestissement et de fonctionnement les sources de financement la strateacutegie de fourniture la strateacutegie drsquoachat et les exigences leacutegales et reacuteglementaires Le plan strateacutegique doit ecirctre suffisamment deacutetailleacute pour permettre de deacutefinir des plans informatiques tactiques
PO15 Plans informatiques tactiques Creacuteer un portefeuille de plans informatiques tactiques qui deacutecoule du plan informatique strateacutegique Ces plans tactiques doivent contenir les programmes drsquoinvestissements informatiques les services et les actifs informatiques Ces plans tactiques doivent deacutecrire les initiatives informatiques neacutecessaires des besoins en ressources et comment lrsquoutilisation des ressources et la reacutealisation de beacuteneacutefices seront surveilleacutees et geacutereacutees Les plans tactiques doivent ecirctre suffisamment deacutetailleacutes pour permettre de deacutefinir des plans de projets Geacuterer activement les plans tactiques informatiques et les initiatives au moyen de lrsquoanalyse de projets et des portefeuilles de services
PO16 Gestion du portefeuille informatique Geacuterer activement avec les meacutetiers le portefeuille des programmes dinvestissements informatiques qui sont neacutecessaires pour atteindre les objectifs meacutetiers strateacutegiques speacutecifiques cela consiste agrave identifier deacutefinir eacutevaluer seacutelectionner initier et controcircler ces programmes et agrave eacutetablir leurs prioriteacutes respectives Cela inclut de clarifier les reacutesultats meacutetiers deacutesireacutes de srsquoassurer que les objectifs des programmes favorisent lrsquoobtention de ces reacutesultats de comprendre lrsquoampleur des efforts neacutecessaires pour les obtenir drsquoaffecter clairement la responsabiliteacute finale et de deacutefinir les mesures de soutien de deacutefinir les projets qui font partie des programmes drsquoallouer les ressources et les financements de deacuteleacuteguer lrsquoautoriteacute et de commander les projets neacutecessaires au moment du lancement des programmes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 30
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
GUIDE DE MANAGEMENT
PO1 Deacutefinir un plan informatique strateacutegique
De Entreacutees PO5 Rapports coucirctsbeacuteneacutefices PO9 Eacutevaluation des risques PO10 Portefeuille actualiseacute des projets DS1 Besoins de services nouveauxactualiseacutes
portefeuille actualiseacute des services
Strateacutegie drsquoentreprise et prioriteacutes Portefeuille de programmes SE1 Entreacutee de la performance dans le planning SI SE4 Etat de situation de la gouvernance des SI
orientation strateacutegique de lrsquoentreprise pour les SI
Sorties Vers Plan informatique strateacutegique PO2hellipPO6 PO8 PO9 AI1 DS1 Plan informatique tactique PO2hellipPO6 PO9 AI1 DS1 Portefeuille de projets PO5 PO6 PO10 AI6 Portefeuille de services PO5 PO6 PO9 DS1 Strateacutegie de fourniture DS2 Strateacutegie drsquoachats AI5
Entreacutees externes agrave COBIT
Lier objectifs meacutetiers et objectifs informatiques C I AR R C
Identifier les deacutependances critiques et les performances actuelles C C R AR C C C C C C
Construire un plan informatique strateacutegique A C C R I C C C C I C
Eacutelaborer des plans informatiques tactiques C I A C C C C C R I
Analyser les portefeuilles de programmes et geacuterer les portefeuilles de projets et de services C I I A R R C R C C I
FonctionsDG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration
induit
induit
Meacutetriq
ues
bull Degreacute drsquoapprobation des plans informatiques strateacutegiquestactiques par les proprieacutetaires meacutetiers bull Degreacute de conformiteacute avec les exigences des meacutetiers et de gouvernance bull Niveau de satisfaction de lrsquoentreprise sur lrsquoeacutetat en cours du portefeuille drsquoapplications et de projets (nombre ampleur etc)
bull Pourcentage drsquoobjectifs informatiques dans le plan strateacutegique SI qui soutiennent le plan strateacutegique meacutetiers bull Pourcentage drsquoinitiatives informatiques dans le plan tactique SI qui soutiennent le plan tactique meacutetiers bull Pourcentage de projets informatiques dans le portefeuille de projets qursquoon peut directement relier au plan tactique SI
bull Deacutelai de mise agrave jour entre plan strateacutegique et tactique drsquoentreprise et plan strateacutegique et tactique SI bull Pourcentage de reacuteunions sur la planification strateacutegiquetactique SI ougrave des repreacutesentants meacutetiers ont activement participeacute bull Deacutelai entre la mise agrave jour du plan strateacutegique SI et la mise agrave jour des plans tactiques SI bull Pourcentage de plans tactiques SI qui se conforment aux structurescontenus preacutedeacutefinis de ces plans bull Pourcentage drsquoinitiativesprojets SI deacutefendus par les proprieacutetaires meacutetiers
Processus
bull Deacutefinir comment les exigences des meacutetiers se traduisent en offres de services bull Deacutefinir la strateacutegie pour fournir les offres de services bull Contribuer agrave la gestion du portefeuille des investissements de lrsquoentreprise agrave composantes informatiques bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique
Activiteacutes
bull Srsquoimpliquer avec les directions opeacuterationnelles et geacuteneacuterales dans lrsquoalignement des plans strateacutegiques informatiques avec les exigences des meacutetiers actuelles et futures bull Comprendre les capaciteacutes actuelles des TI bull Traduire les plans de strateacutegie informatique en plans tactiques bull Proposer un scheacutema de prioriteacutes pour les objectifs meacutetiers qui quantifie les exigences des meacutetiers
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 31
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
MODEgraveLE DE MATURITEacute
PO1 Deacutefinir un plan informatique strateacutegique
La gestion du processus Deacutefinir un plan informatique strateacutegique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices coucircts et risques est
0 Inexistante quand
Il ny a pas de planification informatique strateacutegique Le management na pas conscience quun plan informatique strateacutegique est neacutecessaire agrave la reacutealisation des objectifs de lentreprise
1 Initialiseacutee au cas par cas quand
Le management connaicirct le besoin drsquoun plan informatique strateacutegique La planification informatique srsquoeffectue au cas par cas en reacuteponse agrave des exigences meacutetiers speacutecifiques La planification informatique strateacutegique fait lrsquoobjet de discussions occasionnelles aux reacuteunions de la DSI Lalignement des exigences meacutetiers des applications et de lrsquoinformatique se fait dune faccedilon reacuteactive plus que par une strateacutegie geacuteneacuterale de lentreprise La position strateacutegique par rapport au risque est deacutetermineacutee de faccedilon informelle projet par projet
2 Reproductible mais intuitive quand
Le plan strateacutegique informatique nest partageacute avec la direction de lentreprise quen reacuteponse agrave des besoins speacutecifiques On met agrave jour les plans informatiques en reacuteponse agrave des demandes du management On prend les deacutecisions projet par projet sans coheacuterence avec une strateacutegie globale drsquoentreprise On connaicirct intuitivement les risques et les avantages des principales deacutecisions strateacutegiques pour les utilisateurs
3 Deacutefinie quand
Une politique deacutefinit quand et comment reacutealiser le plan informatique strateacutegique Ce dernier adopte une approche structureacutee qui est documenteacutee et connue de tout le personnel Le processus de planification informatique est raisonnablement conccedilu et garantit une bonne probabiliteacute de reacutealisation dun plan approprieacute Toutefois la mise en œuvre du processus est laisseacutee agrave linitiative de responsables individuels et aucune proceacutedure dexamen de ce processus nest preacutevue La strateacutegie informatique globale inclut une deacutefinition coheacuterente des risques accepteacutes par lentreprise et preacutecise si elle se voit en position dinnovateur ou de suiveur Les strateacutegies informatiques en matiegravere de finances de techniques et de ressources humaines influencent de plus en plus lacquisition de nouveaux produits et de nouvelles technologies La planification informatique strateacutegique fait lrsquoobjet de discussions aux reacuteunions de la direction de lrsquoentreprise
4 Geacutereacutee et mesurable quand
La planification informatique strateacutegique est une pratique standard et le management signale les anomalies Elle correspond agrave une fonction de management comportant des responsabiliteacutes de cadre supeacuterieur Le management est capable de surveiller le processus de planification informatique strateacutegique de prendre des deacutecisions eacutetayeacutees en se basant sur lui et de mesurer son efficaciteacute Il existe agrave la fois des plans informatiques agrave court et long terme qui sont diffuseacutes agrave tous les eacutechelons de lentreprise avec des mises agrave jour lorsque cest neacutecessaire La strateacutegie informatique et la strateacutegie globale de lentreprise sont de mieux en mieux coordonneacutees gracircce agrave lutilisation de processus meacutetiers et de capaciteacutes qui ajoutent de la valeur et gracircce agrave la mise en œuvre dapplications et de technologies qui induisent la reacute-ingeacutenierie des processus meacutetiers Il existe un processus bien deacutefini assurant une bonne reacutepartition entre les ressources internes et externes neacutecessaires au deacuteveloppement et agrave lexploitation des systegravemes
5 Optimiseacutee quand
Le plan informatique strateacutegique est un processus documenteacute et vivant toujours pris en compte dans la deacutefinition des objectifs meacutetiers la valeur apporteacutee par les investissements informatiques est patente Les consideacuterations risquevaleur ajouteacutee sont continuellement actualiseacutees dans le processus de planification informatique strateacutegique On deacuteveloppe et on actualise en permanence des plans informatiques agrave long terme reacutealistes pour refleacuteter leacutevolution des technologies et des activiteacutes de lentreprise On utilise des tests comparatifs avec les normes reconnues et fiables des meacutetiers et on les integravegre au processus drsquoeacutelaboration de la strateacutegie Le plan informatique strateacutegique tient compte de la faccedilon dont lrsquoeacutevolution des nouvelles technologies peut induire de nouvelles capaciteacutes meacutetiers et ameacuteliorer lrsquoavantage compeacutetitif de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 32
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
DESCRIPTION DU PROCESSUS
PO2 Deacutefinir larchitecture de lrsquoinformation
Les responsables des systegravemes informatiques doivent creacuteer et mettre reacuteguliegraverement agrave jour un modegravele drsquoinformation de lrsquoentreprise et deacuteterminer quels sont les systegravemes approprieacutes susceptibles drsquooptimiser lrsquoutilisation de cette information Cela comprend lrsquoeacutelaboration drsquoun dictionnaire des donneacutees de lrsquoentreprise des regravegles de syntaxe de donneacutees propres agrave lrsquoentreprise drsquoun systegraveme de classification des donneacutees et de niveaux de seacutecuriteacute En assurant une information fiable et sucircre ce processus ameacuteliore la gestion de la prise de deacutecision et permet de rationaliser les ressources informatiques pour ecirctre en phase avec les strateacutegies de lrsquoentreprise Ce processus informatique est aussi neacutecessaire pour eacutetendre le champ de la responsabiliteacute de lrsquointeacutegriteacute et de la seacutecuriteacute des donneacutees et pour ameacuteliorer lrsquoefficaciteacute et le controcircle du partage de lrsquoinformation entre les applications et les diffeacuterents deacutepartements de lrsquoentreprise
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PS PS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacutefinir larchitecture de lrsquoinformation
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers
en se concentrant sur
la constitution drsquoun modegravele de donneacutees de lrsquoentreprise inteacutegrant un systegraveme de classification des informations pour assurer lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees
atteint son objectif en
bull garantissant lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull attribuant la proprieacuteteacute des donneacutees bull classant lrsquoinformation selon un systegraveme de classification approuveacute
et est mesureacute par
bull le pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes bull le pourcentage drsquoapplications qui ne se conforment pas agrave la meacutethodologie drsquoarchitecture
de lrsquoinformation de lrsquoentreprise bull la freacutequence des activiteacutes de validation des donneacutees
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 33
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
OBJECTIFS DE CONTROcircLE
PO2 Deacutefinir larchitecture de lrsquoinformation
PO21 Modegravele darchitecture de linformation de lrsquoentreprise Eacutetablir et tenir agrave jour un modegravele drsquoinformation de lrsquoentreprise pour faciliter le deacuteveloppement drsquoapplications et les activiteacutes drsquoaide agrave la deacutecision conforme aux plans informatiques deacutecrits dans PO1 Ce modegravele doit permettre drsquooptimiser la creacuteation lrsquoutilisation et le partage de lrsquoinformation dans lrsquoentreprise et drsquoen maintenir lrsquointeacutegriteacute la flexibiliteacute la fonctionnaliteacute la rentabiliteacute la disponibiliteacute en temps opportun la seacutecuriteacute et la reacutesistance aux pannes
PO22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise Maintenir opeacuterationnel un dictionnaire des donneacutees qui utilise les regravegles de syntaxe des donneacutees de lentreprise Ce dictionnaire doit faciliter le partage drsquoeacuteleacutements de donneacutees par les applications et les systegravemes favoriser la compreacutehension commune des donneacutees entre lrsquoinformatique et les utilisateurs meacutetiers et eacuteviter la creacuteation drsquoeacuteleacutements de donneacutees incompatibles
PO23 Systegraveme de classification des donneacutees Eacutetablir un systegraveme de classification baseacute sur les dimensions critiques et sensibles des donneacutees (par ex publiques confidentielles secregravetes) qui srsquoapplique agrave toute lrsquoentreprise Ce systegraveme doit comprendre les deacutetails sur la proprieacuteteacute des donneacutees la deacutefinition des niveaux de seacutecuriteacute et des controcircles de protection approprieacutes une bregraveve description des regravegles de conservation et de destruction des donneacutees et de leurs dimensions critiques et sensibles Il doit ecirctre utiliseacute comme base pour les controcircles comme les controcircles drsquoaccegraves drsquoarchivage ou de cryptage
PO24 Gestion de lrsquointeacutegriteacute Deacutefinir et mettre en place des proceacutedures qui assurent lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees conserveacutees sous forme eacutelectronique comme les bases de donneacutees les entrepocircts de donneacutees et les archives de donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 34
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
GUIDE DE MANAGEMENT
PO2 Deacutefinir larchitecture de lrsquoinformation
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
AI1 Eacutetude de faisabiliteacute shy exigences des meacutetiers
AI7 Revue postshydeacutemarrage
DS3 Informations sur la performance et la capaciteacute
SE1 Entreacutee de la performance dans le planning SI
Sorties Vers Systegraveme de classification de donneacutees AI2 Plan optimiseacute des systegravemes meacutetiers PO3 AI2 Dictionnaire de donneacutees AI2 DS11 Architecture de linformation PO3 DS5 Classifications attribueacutees aux donneacutees DS1 DS4 DS5 DS11 DS12 Proceacutedures et outils de classification Sorties externes agrave CobiT
Creacuteer et maintenir le modegravele drsquoinformation de lrsquoentreprise ou du groupe C I A C R C C C
Creacuteer et maintenir le(s) dictionnaire(s) de donneacutees de lrsquoentreprise ou du groupe I C AR R C
Eacutelaborer et maintenir le systegraveme de classification de donneacutees I C A C C I C C R
Fournir aux proprieacutetaires de donneacutees les proceacutedures et les outils neacutecessaires aux systegravemes de classification des donneacutees
I C A C C I C C R
Utiliser le modegravele drsquoinformation le dictionnaire de donneacutees et le systegraveme de classification pour planifier des systegravemes informatiques meacutetiers optimiseacutes
C C I A C R C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Assurer une inteacutegration en douceur des applications dans les processus meacutetiers bull Reacuteagir aux exigences des meacutetiers en fonction de la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Eacutetablir un modegravele des donneacutees de lrsquoentreprise bull Reacuteduire la redondance des donneacutees bull Soutenir une gestion efficace de lrsquoinformation
deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de satisfaction des utilisateurs du modegravele drsquoinformation (par ex le dictionnaire de donneacutees est-il facile agrave utiliser ) bull Pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes
bull Pourcentage drsquoeacuteleacutements de donneacutees qui ne font pas partie du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements non conformes au systegraveme de classification des donneacutees bull Pourcentage drsquoapplications non conformes aux architectures de lrsquoinformation
bull Freacutequence drsquoactualisation du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements de donneacutees qui nrsquoont pas de proprieacutetaire bull Freacutequence des activiteacutes de validation des donneacutees bull Niveau de participation des utilisateurs
Activiteacutes
bull Assurer lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull Attribuer la proprieacuteteacute des donneacutees bull Classer lrsquoinformation selon un systegraveme de classification approuveacute bull Assurer la coheacuterence entre les composants de lrsquoinfrastructure informatique (par ex architecture de lrsquoinformation dictionnaires de donneacutees applications systegravemes de classification et niveaux de seacutecuriteacute) bull Maintenir lrsquointeacutegriteacute des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 35
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
MODEgraveLE DE MATURITEacute
PO2 Deacutefinir larchitecture de lrsquoinformation
La gestion du processus Deacutefinir lrsquoarchitecture de lrsquoinformation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance de larchitecture de linformation pour lentreprise Les connaissances les compeacutetences et les responsabiliteacutes neacutecessaires pour mettre en place cette architecture nexistent pas dans lentreprise
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune architecture de lrsquoinformation Lrsquoeacutelaboration de certains composants drsquoune architecture de lrsquoinformation a lieu au cas par cas Les deacutefinitions concernent les donneacutees plutocirct que les informations et viennent des logiciels applicatifs disponibles sur le marcheacute La communication sur le besoin dune architecture de linformation se fait au hasard sans coheacuterence
2 Reproductible mais intuitive quand
Un processus drsquoarchitecture de lrsquoinformation se fait jour et diffeacuterentes personnes dans lentreprise suivent des proceacutedures semblables bien qursquoinformelles et intuitives Les personnels acquiegraverent leurs compeacutetences en architecture de lrsquoinformation par la pratique et par la mise en œuvre de techniques reacutepeacutetitives La neacutecessiteacute tactique est agrave lorigine de la creacuteation de certains composants dune architecture de linformation
3 Deacutefinie quand
Limportance de larchitecture de linformation est comprise et accepteacutee et lrsquoon sait clairement qui est responsable de sa mise en place On a standardiseacute et documenteacute des proceacutedures outils et techniques lieacutes agrave cette architecture ils sont encore simples et font partie dactiviteacutes de formation informelles On a deacutefini certaines politiques de base sur cette question en fonction de certaines neacutecessiteacutes strateacutegiques mais la conformiteacute avec les politiques standards et outils nrsquoest pas systeacutematiquement respecteacutee On trouve une fonction dadministration des donneacutees formellement deacutefinie qui met en place des standards agrave leacutechelle de lentreprise et qui commence agrave faire des rapports sur la mise agrave disposition et lutilisation de larchitecture de linformation On commence agrave employer des outils automatiseacutes mais les processus et les regravegles utiliseacutes sont deacutefinis par les offres commerciales de logiciels de bases de donneacutees Un plan de formation formel a eacuteteacute eacutelaboreacute mais les formations formelles sont encore baseacutees sur lrsquoinitiative individuelle
4 Geacutereacutee et mesurable quand
Des meacutethodes et des techniques preacutecises soutiennent pleinement le deacuteveloppement et la mise en œuvre de larchitecture de linformation On rend compte des performances du processus de deacuteveloppement de larchitecture de linformation et on mesure ses reacutesultats Des outils automatiques dassistance sont largement reacutepandus mais pas encore inteacutegreacutes On a identifieacute les principaux eacuteleacutements agrave mesurer et un systegraveme de mesure est en place Le processus de deacutefinition de larchitecture de linformation est proactif et conccedilu pour faire face aux besoins futurs de lentreprise Le personnel chargeacute de ladministration des donneacutees simplique activement dans tous les efforts de deacuteveloppement des applications pour en assurer la coheacuterence Un reacutefeacuterentiel central automatiseacute est pleinement opeacuterationnel On utilise des modegraveles de donneacutees plus complexes pour beacuteneacuteficier des informations contenues des bases de donneacutees Les systegravemes dinformation agrave lusage du management (EIS) et les systegravemes daide agrave la deacutecision utilisent pleinement les informations disponibles
5 Optimiseacutee quand
Lrsquoarchitecture de lrsquoinformation est systeacutematiquement utiliseacutee agrave tous les niveaux On met en permanence lrsquoaccent sur la valeur de lrsquoarchitecture de lrsquoinformation pour lrsquoentreprise Les informaticiens ont les connaissances et les compeacutetences neacutecessaires pour deacutevelopper et assurer la maintenance dune architecture de linformation robuste et reacuteactive qui srsquointeacuteresse agrave tous les besoins de lentreprise On utilise systeacutematiquement et abondamment linformation fournie On utilise largement les meilleures pratiques de la profession en matiegravere de deacuteveloppement et de maintenance de larchitecture de linformation y compris un processus dameacutelioration permanente On a deacutefini une strateacutegie de mobilisation des informations en utilisant les technologies dentrepocircts de donneacutees et doutils dexploration des donneacutees (data mining) Larchitecture de linformation sameacuteliore sans cesse et elle prend en compte les informations non traditionnelles sur les processus les organisations et les systegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 36
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
DESCRIPTION DU PROCESSUS
PO3 Deacuteterminer lorientation technologique
Le SI deacutetermine lrsquoorientation technologique susceptible de favoriser lrsquoactiviteacute de lrsquoentreprise Cela exige la creacuteation et la maintenance dun plan dinfrastructure technologique et drsquoun comiteacute architecture des TI qui fixe et gegravere les attentes clairement exprimeacutees et reacutealistes de ce que la technologie peut offrir en termes de produits services et meacutecanismes de livraison Ce plan est reacuteguliegraverement actualiseacute et comprend des aspects comme lrsquoarchitecture lrsquoorientation technologique les plans drsquoacquisition les standards les strateacutegies de migration et les impreacutevus Cela permet de reacuteagir en temps utile aux modifications de lrsquoenvironnement concurrentiel cela permet aussi des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacuteterminer lorientation technologique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise
en se concentrant sur
la deacutefinition et la mise en place drsquoun plan drsquoinfrastructure informatique drsquoune architecture et de standards qui savent identifier et mettre agrave profit les opportuniteacutes technologiques
atteint son objectif en
bull mettant en place un forum destineacute agrave conseiller lrsquoarchitecture et agrave veacuterifier la conformiteacute bull mettant en place un plan drsquoinfrastructure technologique qui trouve le bon eacutequilibre entre coucircts
risques et besoins bull deacutefinissant les standards drsquoinfrastructure technologique en fonction des besoins de lrsquoarchitecture
informatique
et est mesureacute par
bull le nombre et le type drsquoeacutecarts par rapport au plan drsquoinfrastructure technologique bull la freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technologique bull le nombre de plates-formes technologiques par service dans lrsquoentreprise
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 37
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
OBJECTIFS DE CONTROcircLE
PO3 Deacuteterminer lorientation technologique
PO31 Planification de lrsquoorientation technologique Analyser les technologies existantes et eacutemergentes et deacutecider quelle orientation technologique sera la plus favorable pour reacutepondre agrave la strateacutegie informatique et pour lrsquoarchitecture des systegravemes de lrsquoentreprise Deacutesigner aussi dans le plan les technologies qui permettront de creacuteer des opportuniteacutes pour lrsquoactiviteacute de lrsquoentreprise Entre autres composantes de lrsquoinfrastructure le plan doit prendre en compte lrsquoarchitecture des systegravemes lrsquoorientation technologique les strateacutegies de migration et les impreacutevus
PO32 Plan dinfrastructure technologique Creacuteer et maintenir un plan drsquoinfrastructure technologique en phase avec les plans strateacutegiques et tactiques des SI Ce plan doit se baser sur les orientations technologiques et comporter une gestion des impreacutevus et des orientations pour lrsquoacquisition de ressources informatiques Il doit prendre en compte les modifications de lrsquoenvironnement concurrentiel des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
PO33 Surveillance de lrsquoeacutevolution des tendances et de la reacuteglementation Mettre en place un processus pour surveiller les tendances de lrsquoenvironnement du secteur drsquoactiviteacute de la profession de lrsquoenvironnement informatique leacutegal et reacuteglementaire Introduire les conseacutequences de ces tendances dans le deacuteveloppement du plan drsquoinfrastructure technologique des SI
PO34 Standards informatiques Pour proposer des solutions informatiques efficaces et sucircres agrave lrsquoensemble de lrsquoentreprise constituer un forum informatique pour donner des lignes directrices en technologie de lrsquoinformation des avis sur les produits drsquoinfrastructure et des conseils sur le choix technologique mesurer la conformiteacute par rapport agrave ces standards et agrave ces lignes directrices Ce forum doit piloter les standards et les pratiques informatiques en fonction de leur pertinence vis-agrave-vis de lrsquoactiviteacute de lrsquoentreprise des risques et de leur conformiteacute aux exigences externes
PO35 Comiteacute drsquoarchitecture technologique Creacuteer un comiteacute architecture des TI pour fournir les lignes directrices de cette architecture et les conseils pour leur application et pour en veacuterifier la conformiteacute Ce comiteacute doit piloter la conception de lrsquoarchitecture des TI en srsquoassurant qursquoelle favorise la strateacutegie de lrsquoentreprise et qursquoelle prend en compte les impeacuteratifs de conformiteacute et de continuiteacute Ceci est relieacute au processus PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 38
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
GUIDE DE MANAGEMENT
PO3 Deacuteterminer lorientation technologique
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
PO2 Plan optimiseacute des systegravemes meacutetiers architecture de linformation
AI3 Mises agrave jour des standards techniques
DS3 Information sur la performance et la capaciteacute
Sorties Vers Opportuniteacutes technologiques AI3 Standards techniques AI1 AI3 AI7 DS5 Mises agrave niveau reacuteguliegraveres de lrsquoeacutetat de la technologie AI1 AI2 AI3 Plan dinfrastructure technique AI3 Besoins en infrastructure PO5
Creacuteer et maintenir agrave niveau un plan drsquoinfrastructure technique I I A C R C C C
Creacuteer et maintenir agrave niveau des standards techniques A C R C I I I
Publier les standards techniques I I A I R I I I I
Surveiller lrsquoeacutevolution de la technologie I I A C R C C C
Deacutefinir lrsquoutilisation (future) (strateacutegique) des nouvelles technologies C C A C R C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Informatique Activiteacutes
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
deacutefinit deacutefinit
bull Deacutefinir les standards drsquoinfrastructure technique en fonction des besoins de lrsquoarchitecture informatique bull Mettre en place un plan drsquoinfrastructure technique qui trouve le bon eacutequilibre entre coucircts risques et besoins bull Mettre en place un forum destineacute agrave conseiller sur lrsquoarchitecture et agrave veacuterifier la conformiteacute
mesure induit mesure
induit mesure
bull Pourcentage drsquoeacuteleacutements non conformes aux standards techniques bull Nb de plates-formes techniques diffeacuterentes par service dans lrsquoentreprise
bull Freacutequence des reacuteunions du forum sur la technologie bull Freacutequence des reacuteunions du comiteacute drsquoarchitecture technique bull Freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technique
Meacutetriq
ues
bull Nb et type drsquoeacutecarts par rapport au plan drsquoinfrastructure technique
Processus
bull Identifier et mettre agrave profit les opportuniteacutes technologiques bull Deacutevelopper et mettre en place un plan dinfrastructure technique bull Deacutefinir les standards drsquoarchitecture et de technologie pour lrsquoinfrastructure informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 39
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
MODEgraveLE DE MATURITEacute
PO3 Deacuteterminer lorientation technologique
La gestion du processus Deacuteterminer lorientation technologique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance dun plan dinfrastructure technique pour lentreprise Les connaissances et compeacutetences neacutecessaires pour deacutevelopper un tel plan nexistent pas Personne ne reacutealise quil est essentiel de preacutevoir des changements technologiques pour affecter les ressources de maniegravere efficace
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de planifier lrsquoarchitecture technique Le deacuteveloppement de composants informatiques et la mise en place de nouvelles technologies se font isoleacutement au cas par cas Lapproche de la planification de lrsquoinfrastructure est reacuteactive et pousseacutee par les besoins opeacuterationnels Les choix techniques sont dicteacutes par les plans produits souvent contradictoires des fournisseurs de mateacuteriels de systegravemes et de progiciels Il y a peu de communication sur limpact potentiel des changements technologiques
2 Reproductible mais intuitive quand
On communique sur le besoin et lrsquoimportance drsquoune planification technologique La planification reste tactique et orienteacutee vers la recherche de solutions techniques agrave des problegravemes techniques plutocirct que vers lutilisation de lrsquoinformatique pour reacutepondre aux besoins de lentreprise Leacutevaluation des changements technologiques est laisseacutee agrave des personnes diffeacuterentes qui suivent des processus intuitifs mais similaires Les personnels acquiegraverent leurs compeacutetences en planification technologique par la pratique et par la mise en œuvre reacutepeacutetitive de techniques On voit eacutemerger des techniques et des normes communes pour le deacuteveloppement de composants dinfrastructure
3 Deacutefinie quand
Le management a conscience de limportance du plan dinfrastructure technique Le processus de son deacuteveloppement est raisonnablement sain et en coheacuterence avec le plan strateacutegique informatique Il existe un plan dinfrastructure technique deacutefini documenteacute et bien diffuseacute mais il nest pas toujours respecteacute Les orientations de ce plan montrent quels sont les domaines technologiques ougrave lentreprise souhaite ecirctre en pointe et ceux qui ont une moindre prioriteacute en fonction des risques et de la strateacutegie geacuteneacuterale de lrsquoentreprise Les fournisseurs principaux sont choisis en fonction de ladeacutequation de leurs projets deacutevolution technologiques et de leurs politiques produits agrave long terme avec les orientations de lentreprise Il existe un programme formel de formation et de reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Le management assure le deacuteveloppement et la maintenance du plan dinfrastructure technique Leacutequipe informatique a les connaissances et les compeacutetences neacutecessaires pour deacutevelopper un plan dinfrastructure technique Limpact potentiel de leacutevolution des technologies et des technologies nouvelles est pris en compte Le management peut mettre en eacutevidence les eacutecarts par rapport au plan et anticiper les problegravemes On a deacutesigneacute des responsables du deacuteveloppement et de la maintenance dun plan dinfrastructure technique Le processus de deacuteveloppement du plan drsquoinfrastructure technique est eacutelaboreacute et reacuteactif aux changements Les bonnes pratiques internes ont eacuteteacute inteacutegreacutees au processus La strateacutegie des ressources humaines est en adeacutequation avec les orientations technologiques pour faire en sorte que les informaticiens soient en mesure de faire face aux changements technologiques On a deacutefini des plans de migration pour lintroduction de nouvelles technologies Lexternalisation et le partenariat sont mis en œuvre pour acceacuteder aux connaissances et compeacutetences neacutecessaires Le management a analyseacute lrsquoacceptation du risque vis-agrave-vis de lutilisation audacieuse ou au contraire prudente des technologies lorsquil sagit de creacuteer de nouvelles opportuniteacutes professionnelles ou dameacuteliorer lefficaciteacute opeacuterationnelle
5 Optimiseacutee quand
Une eacutequipe de recherche eacutevalue les technologies nouvelles ou en eacutevolution et compare les pratiques de lentreprise aux normes de la profession Les orientations du plan drsquoinfrastructure technique sont deacutefinies par rapport aux standards et deacuteveloppements internationaux et ceux de la branche et non en fonction des technologies proposeacutees par les fournisseurs Les conseacutequences potentielles de changements technologiques sont analyseacutees au niveau du management Les dirigeants approuvent formellement les orientations technologiques nouvelles et les eacutevolutions Lrsquoentreprise a un plan dinfrastructure technique qui correspond agrave ses besoins qui est robuste reacuteactif et susceptible de sadapter agrave des modifications de lenvironnement des meacutetiers On applique un processus continu drsquoameacutelioration du plan drsquoinfrastructure technique Les orientations technologiques sont largement inspireacutees des meilleures pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 40
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
DESCRIPTION DU PROCESSUS
PO4 Deacutefinir les processus lorganisation et les relations de travail
On deacutefinit lrsquoorganisation de lrsquoinformatique en prenant en compte les besoins en personnel et en compeacutetences en preacutevoyant les fonctions les rocircles et les responsabiliteacutes la supervision lrsquoautoriteacute et en sachant qui rend des comptes agrave qui Cette organisation fait partie drsquoun cadre de reacutefeacuterence de processus informatiques qui assure la transparence et le controcircle ainsi que lrsquoimplication de la direction geacuteneacuterale et de la direction opeacuterationnelle Un comiteacute Strateacutegie assure la supervision des SI pour le compte du Conseil drsquoAdministration (CA) et un ou plusieurs comiteacute(s) de pilotage auxquel(s) participent les responsables des meacutetiers et les responsables de lrsquoinformatique deacuteterminent les prioriteacutes relatives aux ressources informatiques en fonction des besoins des meacutetiers Les processus les politiques et les proceacutedures administratives sont en place pour toutes les fonctions en apportant une attention particuliegravere au controcircle agrave lrsquoassurance qualiteacute agrave la gestion du risque agrave la proprieacuteteacute des donneacutees et des systegravemes et agrave la seacuteparation des tacircches Pour assurer leur soutien aux exigences des meacutetiers en temps voulu lrsquoinformatique doit ecirctre impliqueacutee dans les processus de deacutecisions en cause
Le controcircle du processus informatique
Deacutefinir les processus lrsquoorganisation et les relations de travail
qui reacutepondent agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents
en se concentrant sur
des structures organisationnelles informatiques transparentes flexibles et reacuteactives des processus informatiques attribueacutes agrave des proprieacutetaires avec des rocircles et des responsabiliteacutes inteacutegreacutes aux processus meacutetiers et aux processus de deacutecision
atteint son objectif en
bull deacutefinissant un cadre de reacutefeacuterence de processus informatiques bull mettant en place les entiteacutes et les structures organisationnelles approprieacutees bull deacutefinissant les rocircles et les responsabiliteacutes
et est mesureacute par
bull le pourcentage de rocircles dont la position et lrsquoautoriteacute sont deacutecrits en deacutetail bull le nombre drsquouniteacutes meacutetiersprocessus qui ne sont pas pris en compte par lrsquoorganisation
informatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull le nombre dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation informatique
et qui ne sont pas approuveacutees ou pas conformes aux standards organisationnels deacutefinis par lrsquoinformatique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 41
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
OBJECTIFS DE CONTROcircLE
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO41 Cadre de reacutefeacuterence des processus informatiques Deacutefinir un cadre de reacutefeacuterence des processus pour mettre en œuvre le plan strateacutegique des SI Ce cadre doit deacutefinir la structure des processus informatiques et leurs liens (ex geacuterer les lacunes et les recouvrements entre processus) la proprieacuteteacute la maturiteacute la mesure de la performance lrsquoameacutelioration la conformiteacute les objectifs qualiteacute et les plans pour les faire aboutir Il doit organiser lrsquointeacutegration des processus speacutecifiques aux SI la gestion du portefeuille de lrsquoentreprise les processus meacutetiers et les processus de modification de lrsquoactiviteacute de lrsquoentreprise Le cadre de reacutefeacuterence des processus informatiques doit ecirctre inteacutegreacute agrave un systegraveme de gestion de la qualiteacute et au cadre de controcircle interne
PO42 Comiteacute strateacutegique informatique Mettre en place un Comiteacute strateacutegique informatique au niveau du conseil drsquoadministration Ce comiteacute doit srsquoassurer que la gouvernance des SI eacuteleacutement de la gouvernance drsquoentreprise est bien traiteacutee donne des avis sur les orientations strateacutegiques et passe en revue les investissements majeurs pour le compte du conseil drsquoadministration
PO43 Comiteacute de pilotage informatique Mettre en place un comiteacute de pilotage informatique (ou eacutequivalent) composeacute de cadres exeacutecutifs meacutetiers et informatiques pour bull Deacuteterminer les prioriteacutes des programmes drsquoinvestissements informatiques en accord avec la strateacutegie et les prioriteacutes des meacutetiers de
lrsquoentreprise bull Assurer un suivi des projets et reacutesoudre les conflits de ressources bull Surveiller les niveaux et lrsquoameacutelioration des services
PO44 Position de la fonction informatique au sein de lentreprise Positionner la fonction informatique dans la structure globale de lrsquoentreprise selon un modegravele lieacute agrave lrsquoimportance des technologies de lrsquoinformation dans lrsquoentreprise en tenant en particulier compte de leur dimension critique pour la strateacutegie des meacutetiers et du niveau de deacutependance opeacuterationnelle vis-agrave-vis drsquoelles Le niveau hieacuterarchique du DSI doit ecirctre proportionnel agrave lrsquoimportance des SI dans lrsquoentreprise
PO45 Structure du service informatique Mettre en place une structure interne et externe drsquoorganisation de lrsquoinformatique qui reflegravete les exigences des meacutetiers En outre mettre en place un processus pour reacuteviser peacuteriodiquement la structure organisationnelle des SI de faccedilon agrave ajuster les besoins en personnel et les strateacutegies de recrutement pour faire face aux objectifs des meacutetiers deacutefinis et aux changements qui se produisent
PO46 Eacutetablissement des rocircles et responsabiliteacutes Eacutetablir et communiquer les rocircles et les responsabiliteacutes du personnel de lrsquoinformatique et des utilisateurs finaux Ils deacutefinissent lautoriteacute le niveau de responsabiliteacute et drsquoapprobation de chacun pour reacutepondre aux besoins de lrsquoentreprise
PO47 Responsabiliteacute de lassurance qualiteacute informatique Attribuer la responsabiliteacute de la performance de la fonction assurance qualiteacute et doter la fonction assurance qualiteacute des systegravemes drsquoassurance qualiteacute des compeacutetences en controcircle et en communication approprieacutes La position au sein de lrsquoentreprise les responsabiliteacutes et la dimension du groupe assurance qualiteacute doivent reacutepondre aux besoins de lentreprise
PO48 Responsabiliteacute des risques de la seacutecuriteacute et de la conformiteacute Situer la proprieacuteteacute et la responsabiliteacute des risques lieacutes aux SI dans lrsquoentreprise au niveau de management approprieacute Deacutefinir et attribuer les rocircles cruciaux de gestion des risques informatiques en y incluant les responsabiliteacutes speacutecifiques de la seacutecuriteacute de lrsquoinformation de la seacutecuriteacute physique et de la conformiteacute Situer la responsabiliteacute de la gestion de la seacutecuriteacute au niveau de lrsquoentreprise de faccedilon agrave ce qursquoelle soit concerneacutee par les questions qui touchent lrsquoensemble de lrsquoentreprise On peut avoir besoin drsquoattribuer des responsabiliteacutes suppleacutementaires de gestion de la seacutecuriteacute agrave certains niveaux des SI pour faire face agrave des problegravemes de seacutecuriteacute speacutecifiques Obtenir des orientations de la part du management sur lrsquoappeacutetence pour le risque et sur lrsquoapprobation de tout risque informatique reacutesiduel
PO49 Proprieacuteteacute des donneacutees et du systegraveme Doter lrsquoentreprise de proceacutedures et drsquooutils qui lui permettent de faire face agrave ses responsabiliteacutes de proprieacutetaire des donneacutees et des systegravemes drsquoinformation Les proprieacutetaires doivent prendre les deacutecisions concernant la classification de lrsquoinformation et la protection de cette information en fonction de cette classification
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 42
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
PO410 Supervision Mettre en place des pratiques adeacutequates de supervision dans la fonction informatique pour srsquoassurer que les rocircles et les responsabiliteacutes sont bien exerceacutes pour eacutevaluer si le personnel possegravede suffisamment dautoriteacute et de ressources pour accomplir ses tacircches et responsabiliteacutes et pour proceacuteder de maniegravere geacuteneacuterale agrave la reacutevision des indicateurs cleacutes de performance
PO411 Seacuteparation des tacircches Mettre en place une seacuteparation des rocircles et des responsabiliteacutes qui reacuteduisent la possibiliteacute quun seul individu puisse deacutetourner un processus critique Le management doit srsquoassurer que le personnel nrsquoeffectue que les tacircches autoriseacutees relevant de sa fonction et de ses attributions
PO412 Recrutement informatique Eacutevaluer reacuteguliegraverement les besoins en personnel ou agrave lrsquooccasion de changements majeurs au sein de lrsquoentreprise au niveau meacutetiers ou informatique pour srsquoassurer que la fonction informatique a un nombre suffisant de collaborateurs pour apporter le support adeacutequat et approprieacute aux attentes et objectifs des meacutetiers
PO413 Personnel informatique cleacute Recenser et identifier les personnels cleacutes (par ex les remplaccedilants ou les renforts) et limiter la deacutependance vis-agrave-vis de personnes uniques en charge drsquoune fonction critique
PO414 Proceacutedures et regravegles applicables au personnel sous contrat Srsquoassurer que les consultants et le personnel sous contrat qui travaillent agrave la direction informatique connaissent les regravegles de protection de lrsquoinformation de lrsquoentreprise et srsquoy conforment et ce pour que les termes des contrats passeacutes avec eux soient respecteacutes
PO415 Relations Mettre en place et maintenir opeacuterationnelle une structure de coordination de communication et de liaison optimale entre la fonction informatique et divers autres professionnels agrave lrsquointeacuterieur et agrave lrsquoexteacuterieur de cette fonction comme le conseil drsquoadministration la direction geacuteneacuterale les uniteacutes opeacuterationnelles certains utilisateurs les fournisseurs les responsables de la seacutecuriteacute les responsables de la gestion des risques le groupe responsable de la conformiteacute dans lrsquoentreprise et les responsables chargeacutes des prestations externes (externalisation et sousshytraitance)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 43
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 44
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
GUIDE DE MANAGEMENT
PO4 Deacutefinir les processus lorganisation et les relations de travail
De Entreacutees
PO1 Plans strateacutegiques et tactiques
PO7 Politiques et proceacutedures RH des SI tableau des compeacutetences SI descriptions des postes
PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques SI
SE1 Plans drsquoactions correctives
SE2 Rapport sur lrsquoefficaciteacute des controcircles SI
SE3 Recueil des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
SE4 Ameacuteliorations du reacutefeacuterentiel des processus
Sorties Vers Reacutefeacuterentiel des processus informatiques SE4 Documentation sur les proprieacutetaires de systegravemes AI7 DS6 Organisation et relations de travail de lrsquoinformatique PO7 Reacutefeacuterentiel des processus informatiques documentation des rocircles et responsabiliteacutes
Tous
Mettre en place une organisation des SI comprenant des comiteacutes et des liens vers les parties prenantes et les fournisseurs
C C C A C C C R C I
Eacutelaborer le reacutefeacuterentiel des processus informatiques C C C A C C C R C C
Identifier les proprieacutetaires des systegravemes C C A C R I I I I I
Identifier les proprieacutetaires des donneacutees I A C C I R I I I C
Mettre en place les rocircles et les responsabiliteacutes des SI en incluant supervision et seacuteparation des tacircches I I A I C C C R C C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Mettre en place des structures organisationnelles et des relations souples et reacuteactives pour les SI bull Deacutefinir clairement les proprieacutetaires les rocircles et les responsabiliteacutes pour tous les processus informatiques et pour les relations avec les parties prenantes
deacutefinit
induit
induit
Meacutetriq
ues
bull Satisfaction des parties prenantes (enquecirctes) bull Nb drsquoinitiatives meacutetiers retardeacutees du fait de linertie de lrsquoorganisation informatique ou de labsence des compeacutetences neacutecessaires bull Nb de processus meacutetiers non supporteacutes par lrsquoinformatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull Nb dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation des SI et qui ne sont pas approuveacutees ou pas conformes aux standards deacutefinis par lrsquoorganisation des SI
bull Nb de responsabiliteacutes en conflit vis-agrave-vis de la seacuteparation des tacircches bull Nb de points escaladeacutes ou de problegravemes non reacutesolus dus agrave une absence drsquoattribution de responsabiliteacute ou agrave son insuffisance
bull Pourcentage de rocircles ayant une description de leur position et de leur autoriteacute bull Pourcentage de fonctionsprocessus opeacuterationnels informatiques lieacutes aux structures opeacuterationnelles meacutetiers bull Freacutequence des reacuteunions des comiteacutes de strateacutegie et de pilotage
Activiteacutes
bull Deacutefinir un cadre de reacutefeacuterence pour les processus informatiques bull Mettre en place les entiteacutes et les structures organisationnelles approprieacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 45
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
MODEgraveLE DE MATURITEacute
PO4 Deacutefinir les processus lorganisation et les relations de travail
La gestion du processus Deacutefinir les processus lorganisation et les relations de travail qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents est
0 Inexistante quand
Lrsquoorganisation de lrsquoinformatique nrsquoest pas conccedilue de maniegravere efficace pour contribuer au succegraves des objectifs des meacutetiers
1 Initialiseacutee au cas par cas quand
Les activiteacutes et fonctions informatiques viennent dinitiatives au cas par cas et sont mises en place sans coheacuterence Les SI ne sont impliqueacutes dans les processus meacutetiers que dans les derniegraveres eacutetapes La fonction informatique est consideacutereacutee comme une fonction de support qui ne prend pas en compte lrsquoorganisation globale de lentreprise Le besoin dune organisation informatique est implicitement compris mais les rocircles et les responsabiliteacutes ne sont ni formaliseacutes ni appliqueacutes
2 Reproductible mais intuitive quand
La fonction informatique est organiseacutee pour offrir des solutions tactiques aux besoins des clients et aux relations avec les fournisseurs mais sans coheacuterence On communique sur le besoin dune organisation structureacutee et dune gestion des fournisseurs mais les deacutecisions deacutependent encore des connaissances et des compeacutetences dindividus cleacutes On voit eacutemerger des techniques communes de gestion de lorganisation informatique et des relations avec les fournisseurs
3 Deacutefinie quand
On a deacutefini les rocircles et les responsabiliteacutes de lrsquoinformatique et des tiers Lorganisation informatique a eacuteteacute deacuteveloppeacutee documenteacutee communiqueacutee et aligneacutee sur la strateacutegie informatique Lrsquoenvironnement de controcircle interne est deacutefini On a formaliseacute les relations avec les tiers y compris les comiteacutes de pilotage laudit interne et la gestion des fournisseurs Lrsquoorganisation informatique possegravede toutes les fonctions neacutecessaires Les fonctions agrave la charge du SI et celles agrave la charge des utilisateurs sont bien deacutefinies Les besoins essentiels en personnel et en compeacutetences informatiques sont satisfaits Les relations avec les utilisateurs et les tiers sont formellement deacutefinies On a deacutefini et mis en place la reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Lrsquoinformatique anticipe les changements et dispose de tous les rocircles neacutecessaires agrave la satisfaction des exigences des meacutetiers La direction des SI la proprieacuteteacute des processus et les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et eacutequilibreacutees Les bonnes pratiques internes sont mises en pratique dans lorganisation des fonctions du SI La direction des SI a lrsquoexpertise et les compeacutetences requises pour deacutefinir mettre en œuvre et surveiller le type dorganisation et de relations retenu On a standardiseacute les meacutetriques agrave lrsquoappui des objectifs des meacutetiers ainsi que les facteurs cleacutes de succegraves deacutefinis par les utilisateurs On dispose dun inventaire des compeacutetences pour soutenir la constitution deacutequipes de projets et le deacuteveloppement professionnel La proportion de compeacutetences et de ressources internes et de celles que lon recherchera agrave lexteacuterieur est preacuteciseacutee et appliqueacutee La structure organisationnelle de lrsquoinformatique est un bon reflet des besoins de lentreprise car elle fournit des services plus en ligne avec les processus meacutetiers strateacutegiques quavec des technologies isoleacutees
5 Optimiseacutee quand
La structure organisationnelle de lrsquoinformatique est souple et capable de sadapter On a mis en place les meilleures pratiques de la profession Lrsquoinformatique est abondamment mise agrave contribution pour assurer la surveillance de la performance de lrsquoorganisation des SI et des processus Les technologies servent de levier pour srsquoaligner et supporter la complexiteacute et la reacutepartition geacuteographique de lrsquoentreprise Un processus dameacutelioration continu est en place
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 46
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP SS
Planifier et Organiser Geacuterer les investissements informatiques PO5
DESCRIPTION DU PROCESSUS
PO5 Geacuterer les investissements informatiques
Mettre en place et maintenir opeacuterationnel pour les programmes drsquoinvestissements informatiques un cadre de reacutefeacuterence qui couvre les coucircts les beacuteneacutefices les prioriteacutes budgeacutetaires un processus de budgeacutetisation formaliseacute et une gestion conforme au budget Travailler avec les parties prenantes pour identifier et controcircler les coucircts et beacuteneacutefices totaux dans le contexte des plans strateacutegiques et tactiques informatiques et initier des mesures correctives lorsque crsquoest neacutecessaire Le processus favorise le partenariat entre lrsquoinformatique et les parties prenantes des meacutetiers facilite lrsquoutilisation efficace et efficiente des ressources informatiques et apporte transparence et responsabiliteacute dans le coucirct total de proprieacuteteacute la reacutealisation de beacuteneacutefices pour lrsquoentreprise et le retour sur investissement des investissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les investissements informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux
en se concentrant sur
des deacutecisions drsquoinvestissement et de gestion de portefeuille informatique efficaces et efficientes et sur lrsquoeacutetablissement et le suivi de budgets informatiques en ligne avec la strateacutegie et les deacutecisions drsquoinvestissement informatique
atteint son objectif en
bull preacutevoyant et en attribuant des budgets bull deacutefinissant des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette
actuelle) bull mesurant et en eacutevaluant la valeur pour lrsquoentreprise par rapport aux preacutevisions
et est mesureacute par
bull la reacuteduction du coucirct unitaire des services informatiques fournis bull le pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull le pourcentage des deacutepenses informatiques exprimeacutees en inducteurs de valeur meacutetiers (ex
augmentation des ventesservices gracircce agrave une plus grande connectiviteacute)
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 47
Planifier et Organiser PO5 Geacuterer les investissements informatiques
OBJECTIFS DE CONTROcircLE
PO5 Geacuterer les investissements informatiques
PO51 Reacutefeacuterentiel de gestion financiegravere Mettre en place un reacutefeacuterentiel de gestion financiegravere pour geacuterer les investissements et les coucircts des actifs et services informatiques agrave lrsquoaide de portefeuilles de programmes drsquoinvestissements drsquoanalyse de rentabiliteacute et de budgets
PO52 Deacutefinition des prioriteacutes dans le budget informatique Mettre en place un processus de prise de deacutecision pour deacutefinir les prioriteacutes dans lrsquoattribution des ressources informatiques pour lrsquoexploitation les projets et la maintenance dans le but de maximiser la contribution des SI agrave lrsquooptimisation du retour sur investissement du portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et des autres services et actifs informatiques
PO53 Budget informatique Deacutefinir et mettre en place des pratiques drsquoeacutelaboration drsquoun budget qui reflegravete les prioriteacutes eacutetablies par le portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et qui prend en compte les coucircts reacutecurrents de fonctionnement et de maintenance de lrsquoinfrastructure actuelle Ces pratiques doivent favoriser le deacuteveloppement drsquoun budget global informatique ainsi que celui de budgets de programmes individuels avec une attention particuliegravere pour les composantes informatiques de ces programmes Ces pratiques doivent preacutevoir des reacutevisions et des reacuteajustements reacuteguliers et lrsquoapprobation du budget global et des budgets des programmes individuels
PO54 Gestion des coucircts Mettre en place un processus de gestion des coucircts qui compare les coucircts reacuteels aux deacutepenses budgeacuteteacutees Les coucircts doivent ecirctre suivis et communiqueacutes dans un rapport Lorsqursquoil y a des eacutecarts il faut les mettre en eacutevidence en temps voulu eacutevaluer leurs conseacutequences sur les programmes et avec le responsable meacutetier de ces programmes prendre des mesures pour y remeacutedier si neacutecessaire il faut aussi reacuteeacutevaluer lrsquoanalyse de rentabiliteacute du programme
PO55 Gestion des beacuteneacutefices Mettre en place un processus de surveillance des beacuteneacutefices attendus de la fourniture et du maintien de capaciteacutes informatiques approprieacutes La contribution de lrsquoinformatique aux meacutetiers soit en tant que composante des programmes drsquoinvestissements agrave composantes informatiques soit en tant que soutien opeacuterationnel habituel doit ecirctre identifieacutee eacutetayeacutee par une analyse de rentabiliteacute approuveacutee surveilleacutee et faire lrsquoobjet de rapports Il faut faire une analyse critique des rapports et srsquoil est possible drsquoameacuteliorer la contribution des SI il faut deacuteterminer des actions agrave entreprendre et agir Lorsque des changements dans la contribution des SI ont des conseacutequences sur un programme ou lorsque ces conseacutequences viennent de modifications drsquoautres projets lrsquoanalyse de rentabiliteacute du programme doit ecirctre reacuteeacutevalueacutee
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 48
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les investissements informatiques PO5
GUIDE DE MANAGEMENT
PO5 Geacuterer les investissements informatiques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO3 Besoins en infrastructures
PO10 Portefeuille de projets informatiques actualiseacute
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
DS3 Plan performance et capaciteacute (exigences)
DS6 Donneacutees financiegraveres informatiques
SE4 Reacutesultats attendus des investissements informatiques des meacutetiers
Sorties Vers Rapports coucirctsbeacuteneacutefices PO1 AI2 DS6 SE1 SE4 Budgets informatiques DS6 Portefeuille actualiseacute des services SI DS1 Portefeuille actualiseacute des projets SI PO10
Tenir agrave jour le portefeuille de programmes A R R R C I I
Tenir agrave jour le portefeuille de projets I C AR AR C C C C I
Tenir agrave jour le portefeuille de services I C AR AR C C C I
Mettre en place et tenir agrave jour le processus de budgeacutetisation informatique I C C A C C C R C
Identifier communiquer et surveiller les investissements les coucircts et la valeur des SI pour lrsquoentreprise I C C AR C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage des investissements informatiques qui apportent ou deacutepassent les beacuteneacutefices preacutedeacutefinis pour lrsquoentreprise bull Pourcentage drsquoinducteurs valeur des SI mis en rapport avec les inducteurs de valeur meacutetiers bull Pourcentage de la deacutepense informatique exprimeacutee en inducteurs de valeur meacutetiers (ex augmentation des ventes gracircce agrave une plus grande connectiviteacute)
bull Nb drsquoeacutecarts par rapport au budget bull Pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull Pourcentage de reacuteduction du coucirct unitaire des services informatiques fournis bull Pourcentage drsquoinvestissements informatiques qui apportent les beacuteneacutefices preacutedeacutefinis
bull Pourcentage de projets dont les beacuteneacutefices sont deacutefinis sans eacutequivoque bull Pourcentage de services informatiques dont le coucirct est eacutevalueacute bull Pourcentage de projets qui ont fait lrsquoobjet drsquoun bilan a posteriori bull Freacutequence du reportage sur les beacuteneacutefices bull Pourcentage de projets pour lesquels on dispose de lrsquoinformation sur la performance (par ex performance coucirct deacutelai et profil de risque)
Processus
bull Faciliter les deacutecisions drsquoinvestissements informatiques et de portefeuilles bull Eacutetablir et suivre les budgets informatiques en ligne avec la strateacutegie en SI et les deacutecisions drsquoinvestissement en SI bull Optimiser les coucircts et maximiser les beacuteneacutefices informatiques
Activiteacutes
bull Deacutefinir des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette actuelle) bull Preacutevoir et attribuer des budgets bull Mesurer et eacutevaluer la valeur pour lrsquoentreprise par rapport aux preacutevisions
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 49
Planifier et Organiser PO5 Geacuterer les investissements informatiques
MODEgraveLE DE MATURITEacute
PO5 Geacuterer les investissements informatiques
La gestion du processus Geacuterer les investissements informatiques qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance du choix des investissements informatiques et de leur budgeacutetisation Il nrsquoy a ni suivi ni surveillance des investissements et des deacutepenses informatiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de geacuterer les investissements informatiques mais ce besoin nrsquoest pas reacuteguliegraverement communiqueacute Lrsquoattribution de la responsabiliteacute du choix des investissements et de lrsquoeacutelaboration du budget informatique se fait au cas par cas On trouve isoleacutement des choix dinvestissements et des budgets informatiques documenteacutes de faccedilon informelle Les investissements informatiques sont justifieacutes au cas par cas Certaines deacutecisions budgeacutetaires sont prises de faccedilon circonstancielle pour reacutepondre agrave des besoins opeacuterationnels
2 Reproductible mais intuitive quand
Le besoin de faire des choix drsquoinvestissements et drsquoeacutetablir un budget informatique est implicitement compris On communique sur le besoin drsquoun processus de choix et de gestion budgeacutetaire La conformiteacute deacutepend drsquoinitiatives individuelles On voit eacutemerger des techniques communes pour deacutevelopper des composantes du budget informatique On prend des deacutecisions budgeacutetaires au coup par coup
3 Deacutefinie quand
Les politiques et les processus drsquoinvestissements et de gestion budgeacutetaire sont deacutefinis documenteacutes et communiqueacutes et prennent en compte les aspects meacutetiers et technologiques essentiels Le budget informatique est en ligne avec le plan strateacutegique informatique et avec celui de lentreprise Les processus deacutetablissement du budget et de choix des investissements informatiques sont formaliseacutes documenteacutes et communiqueacutes Une formation formelle est mise en place mais elle reste principalement baseacutee sur des initiatives individuelles On formalise lapprobation des choix budgeacutetaires et dinvestissements informatiques Le personnel informatique a les connaissances et les compeacutetences neacutecessaires pour eacutetablir le budget informatique et recommander les investissements approprieacutes
4 Geacutereacutee et mesurable quand
La responsabiliteacute fonctionnelle et la responsabiliteacute finale des choix dinvestissements et du budget est confieacutee agrave une personne preacutecise On relegraveve les eacutecarts par rapport au budget et on y remeacutedie Une analyse formelle est effectueacutee et rend compte des coucircts directs et indirects des opeacuterations en cours aussi bien que des investissements proposeacutes elle prend en compte tous les coucircts du cycle de vie On utilise un processus de gestion budgeacutetaire normaliseacutee et capable danticiper On constate dans les plans drsquoinvestissement un glissement des coucircts de deacuteveloppement et dexploitation des des mateacuteriels et logiciels au profit de lrsquointeacutegration des systegravemes et des ressources humaines informatiques On calcule les beacuteneacutefices et autres avantages en termes agrave la fois financiers et non financiers
5 Optimiseacutee quand
On utilise les meilleures pratiques de la profession pour eacutetalonner les coucircts et susciter des approches susceptibles dameacuteliorer lrsquoefficaciteacute des investissements On analyse les nouveauteacutes technologiques pour opeacuterer les choix dinvestissements et eacutetablir les budgets Le processus de gestion des investissements est continuellement ameacutelioreacute en fonction de lrsquoanalyse des performances reacuteelles des investissements Les deacutecisions drsquoinvestissement tiennent compte des tendances agrave lrsquoameacutelioration du rapport prixperformance On cherche et on eacutevalue meacutethodiquement des alternatives de financement dans le contexte existant de la structure du capital de lentreprise en utilisant des meacutethodes deacutevaluation formelles On indentifie les variations de faccedilon proactive On tient compte dans les deacutecisions dinvestissements dune analyse agrave long terme des coucircts et des beacuteneacutefices pour un cycle de vie complet
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 50
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
P S
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
DESCRIPTION DU PROCESSUS
PO6 Faire connaicirctre les buts et orientations du management
Le management deacuteveloppe un cadre de controcircle des SI pour lrsquoentreprise deacutefinit et communique les politiques Il met en place un programme de communication permanent approuveacute et soutenu par le management pour articuler la mission les objectifs de fourniture de services les politiques et les proceacutedures etc Cette communication apporte son soutien aux objectifs informatiques et srsquoassure qursquoon est attentif aux risques aux objectifs et aux orientations meacutetiers et informatique et qursquoon les comprend Ce processus srsquoassure de la conformiteacute aux lois et regraveglements qui srsquoappliquent agrave lui
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Faire connaicirctre les buts et les orientations du management
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes
en se concentrant sur
la fourniture aux parties prenantes de politiques proceacutedures lignes directrices et autres eacuteleacutements drsquoinformation compreacutehensibles et approuveacutes agrave lrsquointeacuterieur drsquoun cadre de controcircle des SI
atteint son objectif en
bull deacutefinissant un cadre de controcircle pour les processus informatiques bull deacuteveloppant et deacuteployant des politiques informatiques bull appliquant les politiques informatiques
et est mesureacute par
bull le nombre de perturbations des activiteacutes du fait de perturbations des services informatiques
bull le pourcentage de parties prenantes qui comprennent le cadre de controcircle des SI de lrsquoentreprise
bull le pourcentage de parties prenantes qui ne se conforment pas agrave la politique
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 51
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
OBJECTIFS DE CONTROcircLE
PO6 Faire connaicirctre les buts et orientations du management
PO61 Politique informatique et environnement de controcircle Deacutefinir les eacuteleacutements drsquoun environnement de controcircle des SI en ligne avec la philosophie de management et le style de fonctionnement de lrsquoentreprise Parmi ces eacuteleacutements on doit trouver les attentesexigences drsquoapport de valeur des investissements informatiques lrsquoappeacutetence pour le risque lrsquointeacutegriteacute les valeurs eacutethiques la compeacutetence du personnel les responsabiliteacutes opeacuterationnelles et finales Lrsquoenvironnement de controcircle est baseacute sur une culture dont les principes sont lrsquoapport de valeur tout en geacuterant les risques significatifs lrsquoencouragement agrave la coopeacuteration entre services et au travail drsquoeacutequipe la promotion de la conformiteacute et de lrsquoameacutelioration permanente des processus et la bonne prise en main des anomalies de fonctionnement (ou des eacutechecs) des processus
PO62 Risque informatique pour lrsquoentreprise et cadre de controcircle Deacutevelopper et maintenir agrave jour un cadre de reacutefeacuterence qui deacutefinit lrsquoapproche globale de lrsquoentreprise vis-agrave-vis du risque informatique et de son controcircle Ce cadre est aligneacute sur la politique informatique et son environnement de controcircle ainsi que sur le reacutefeacuterentiel de risque et de controcircle de lrsquoentreprise
PO63 Gestion des politiques informatiques Deacutevelopper et tenir agrave jour un ensemble de politiques agrave lrsquoappui de la strateacutegie SI Ces politiques doivent preacuteciser leurs objectifs comporter des rocircles et responsabiliteacutes des processus de gestion des exceptions une approche conformiteacute et des reacutefeacuterences aux proceacutedures aux standards et aux lignes directrices Leur pertinence doit ecirctre reacuteguliegraverement confirmeacutee et approuveacutee
PO64 Deacuteploiement des politiques des standards et des proceacutedures Deacuteployer et faire respecter par tout le personnel concerneacute des politiques informatiques Elles font partie inteacutegrante du fonctionnement de lrsquoentreprise
PO65 Communication des objectifs et des orientations informatiques Sensibiliser et faire comprendre les objectifs et les orientations informatiques aux parties prenantes et utilisateurs concerneacutes dans lrsquoensemble de lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 52
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
GUIDE DE MANAGEMENT
PO6 Faire connaicirctre les buts et orientations du management
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO9 Guide de gestion des risques lieacutes aux SI
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
Sorties Vers Reacutefeacuterentiel de controcircle des SI de lrsquoentreprise Tous Politiques informatiques Tous
Mettre en place et maintenir opeacuterationnels un environnement et un reacutefeacuterentiel de controcircle informatique I C I AR I C C C C
Deacutevelopper et actualiser les politiques informatiques I I I AR C C C R C
Communiquer le reacutefeacuterentiel de controcircle les objectifs et les orientations des SI I I I AR R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Srsquoassurer que linformation sensible et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoa qursquoun impact minimum sur les meacutetiers bull Srsquoassurer drsquoune bonne utilisation et de la bonne performance des applications et des technologies bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
bull Deacutefinir le reacutefeacuterentiel de controcircle des SI bull Deacutevelopper et deacuteployer des politiques informatiques bull Faire appliquer les politiques informatiques bull Deacutefinir et maintenir agrave jour un plan de communication
induit
induit
Meacutetriq
ues
bull Nb drsquooccasions ougrave des informations confidentielles ont eacuteteacute compromises bull Nb de perturbations meacutetiers dues agrave des perturbations de services informatiques bull Niveau de compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services informatiques
bull Pourcentage de parties prenantes qui comprennent la politique informatique bull Pourcentage de parties prenantes qui comprennent le reacutefeacuterentiel de controcircle des SI de lrsquoentreprise bull Pourcentage de parties concerneacutees qui ne se conforment pas agrave la politique
bull Freacutequence des reacutevisionsmises agrave jour des politiques bull Caractegravere opportun et freacutequence de la communication aux utilisateurs bull Freacutequence de reacutevisionmise agrave jour du reacutefeacuterentiel de controcircle des SI
Processus
bull Deacutevelopper un reacutefeacuterentiel de controcircle des SI commun et exhaustif bull Deacutevelopper un ensemble commun et exhaustif de politiques informatiques bull Communiquer la strateacutegie informatique les politiques et le reacutefeacuterentiel de controcircle
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 53
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
MODEgraveLE DE MATURITEacute
PO6 Faire connaicirctre les buts et orientations du management
La gestion du processus Faire connaicirctre les buts et orientations du management qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes est
0 Inexistante quand
Le management na pas mis en place un environnement de controcircle de linformatique positif On ne reconnaicirct pas encore le besoin deacutetablir un ensemble de processus de mise en œuvre des politiques des plans et proceacutedures et de la mise en conformiteacute
1 Initialiseacutee au cas par cas quand
Le management ne prend en compte les exigences dun environnement de controcircle de linformation qursquoen reacuteaction aux circonstances On eacutetablit et on communique les politiques les proceacutedures et les standards selon les besoins au fur et agrave mesure quils se font jour Les processus de deacuteveloppement de communication et de mise en conformiteacute sont informels et incoheacuterents
2 Reproductible mais intuitive quand
Le management comprend implicitement les besoins et les exigences dun environnement de controcircle de linformation efficace mais les pratiques restent largement informelles Le management a fait connaicirctre le besoin de politiques de plans et de proceacutedures de controcircle mais leur deacuteveloppement est laisseacute agrave linitiative de chaque responsable et de certaines entiteacutes de lrsquoentreprise On reconnaicirct quune politique de qualiteacute est philosophiquement souhaitable mais les pratiques sont laisseacutees agrave la discreacutetion de chaque responsable La formation elle aussi se fait sur la base de besoins identifieacutes de faccedilon individuelle
3 Deacutefinie quand
Le management deacuteveloppe documente et communique un environnement complet du controcircle de lrsquoinformation et de la gestion de la qualiteacute qui inclut un cadre de reacutefeacuterence pour les politiques les plans et proceacutedures Le processus de deacuteveloppement des politiques est structureacute tenu agrave jour et connu du personnel et les politiques plans et proceacutedures existants sont raisonnablement fiables et sappliquent aux questions essentielles Le management met laccent sur limportance de la sensibilisation agrave la seacutecuriteacute des SI et a lanceacute des programmes de sensibilisation sur ce thegraveme Une formation formelle pour soutenir lenvironnement de controcircle de linformation existe mais elle nest pas mise en œuvre de faccedilon rigoureuse Lorsqursquoil existe un cadre de reacutefeacuterence geacuteneacuteral pour le deacuteveloppement de politiques et de proceacutedures de controcircle la surveillance de la conformiteacute agrave ces politiques et agrave ces proceacutedures nrsquoest pas reacuteguliegravere Il existe un cadre de reacutefeacuterence geacuteneacuteral de deacuteveloppement On a formaliseacute et standardiseacute des techniques pour promouvoir la sensibilisation agrave la seacutecuriteacute
4 Geacutereacutee et mesurable quand
Le management accepte la responsabiliteacute de communiquer les politiques de controcircle interne deacutelegravegue les responsabiliteacutes et attribue suffisamment de ressources pour que lenvironnement puisse sadapter agrave des changements importants On a creacuteeacute un environnement de controcircle de linformation positif et proactif et on sest engageacute sur la voie de la sensibilisation aux questions de qualiteacute et de seacutecuriteacute de linformation On deacuteveloppe tient agrave jour et communique un ensemble complet de politiques de plans et proceacutedures constitueacute des bonnes pratiques internes On eacutetablit un cadre de deacuteploiement qui comporte les veacuterifications de conformiteacute neacutecessaires
5 Optimiseacutee quand
Lenvironnement de controcircle de linformation est en ligne avec la vision strateacutegique geacuteneacuterale et avec le cadre de gestion de cette strateacutegie il est freacutequemment reacuteviseacute mis agrave jour et constamment ameacutelioreacute Des experts internes et externes sont deacutesigneacutes pour sassurer quon utilise les meilleures pratiques de la profession en ce qui concerne la conduite du controcircle et les techniques de communication Les processus de surveillance dauto eacutevaluation et de veacuterification de la conformiteacute ont peacuteneacutetreacute toute lentreprise On utilise linformatique pour tenir agrave jour les bases de connaissances sur les politiques et sur la sensibilisation et pour optimiser la communication gracircce agrave la bureautique et aux outils de formation sur ordinateur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 54
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7
DESCRIPTION DU PROCESSUS
PO7 Geacuterer les ressources humaines de lrsquoinformatique
Engager et conserver des collaborateurs compeacutetents pour la creacuteation et la fourniture de services informatiques agrave lrsquoentreprise Pour y arriver il faut suivre des pratiques deacutefinies et approuveacutees en matiegravere de recrutement de formation drsquoeacutevaluation de promotion et de deacutepart Ce processus est critique car les personnes constituent un actif important et la gouvernance et lrsquoenvironnement de controcircle interne deacutependent eacutenormeacutement de la motivation et de la compeacutetence du personnel
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les ressources humaines de lrsquoinformatique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques
en se concentrant sur
lrsquoembauche et la formation du personnel sa motivation par des plans de carriegraveres clairs lrsquoattribution de rocircles qui correspondent agrave sa compeacutetence lrsquoeacutetablissement drsquoun processus drsquoeacutevaluation deacutefini la creacuteation de fiches de postes et la surveillance agrave ne pas deacutependre de personnes cleacutes
atteint son objectif en
bull eacutevaluant les performances du personnel bull embauchant et en formant du personnel informatique pour faire avancer les plans tactiques bull minimisant les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes
et est mesureacute par
bull le niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique
bull le taux de turnover du personnel informatique bull le pourcentage drsquoinformaticiens dont les diplocircmes sont en adeacutequation avec les besoins des
diffeacuterents postes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 55
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
OBJECTIFS DE CONTROcircLE
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO71 Recrutement et maintien du personnel Aligner les processus de recrutement du personnel informatique sur les politiques et les proceacutedures globales de lrsquoentreprise (ex embauche environnement de travail favorable orientation) Mettre en place des processus pour srsquoassurer que le personnel informatique est deacuteployeacute comme il convient dans lrsquoentreprise et qursquoil a les compeacutetences neacutecessaires pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO72 Compeacutetences du personnel Veacuterifier reacuteguliegraverement que le personnel a les compeacutetences neacutecessaires pour remplir son rocircle en fonction de son instruction formation etou expeacuterience Deacutefinir les besoins en compeacutetences informatiques fondamentales et veacuterifier qursquoils sont satisfaits en utilisant des programmes de qualification et de certification si crsquoest utile
PO73 Affectation des rocircles Deacutefinir surveiller et superviser des reacutefeacuterentiels pour les rocircles les responsabiliteacutes et la reacutemuneacuteration du personnel en incluant lrsquoobligation dadheacuterer aux proceacutedures et politiques de lentreprise agrave son code deacutethique et agrave ses pratiques professionnelles Le niveau de supervision doit ecirctre fonction de lrsquoimportance du poste et de lrsquoeacutetendue des responsabiliteacutes attribueacutees
PO74 Formation Bien orienter les employeacutes des SI agrave lrsquoembauche et leur dispenser la formation permanente neacutecessaire pour tenir agrave jour leurs connaissances compeacutetences capaciteacutes et leur sensibilisation au controcircle interne et agrave la seacutecuriteacute au niveau neacutecessaire pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO75 Deacutependance agrave lrsquoeacutegard drsquoindividus Deacutependre le moins possible drsquoindividus cleacutes dans les secteurs essentiels gracircce agrave lrsquoacquisition de connaissances (documentation) au partage des connaissances aux plans drsquoeacutevolution de carriegravere et aux personnels de remplacement
PO76 Proceacutedures de seacutecuriteacute concernant le personnel Inclure des veacuterifications drsquoanteacuteceacutedents dans le processus de recrutement du personnel informatique Lrsquoeacutetendue et la freacutequence de ces veacuterifications doivent ecirctre fonction du niveau de criticiteacute etou de sensibiliteacute de la fonction et srsquoappliquer aux employeacutes aux contractuels et aux fournisseurs
PO77 Eacutevaluation des performances Exiger des eacutevaluations approprieacutees et reacuteguliegraveres par rapport agrave des objectifs individuels eacutetablis drsquoapregraves les objectifs de lrsquoentreprise les standards en vigueur et les responsabiliteacutes speacutecifiques du poste Les performances et le comportement des employeacutes doivent ecirctre activement stimuleacutes par lrsquoaccompagnement lorsque crsquoest approprieacute
PO7 8 Changements de postes et deacuteparts Agir avec deacutetermination en ce qui concerne les mouvements de personnels en particulier les deacuteparts Il faut organiser le transfert des connaissances reacuteattribuer les responsabiliteacutes et supprimer les droits drsquoaccegraves de faccedilon agrave minimiser les risques et agrave garantir la continuiteacute de la fonction
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 56
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7 GUIDE DE MANAGEMENT
PO7 Geacuterer les ressources humaines de lrsquoinformatique
De Entreacutees
PO4 Documentation relative agrave lrsquoorganisation aux relations aux rocircles et responsabiliteacutes des SI
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
Sorties Vers Politiques et proceacutedures RH des SI PO4 Tableau des compeacutetences SI PO4 PO10 Fiches de poste PO4 Compeacutetences et connaissances des utilisateurs et formation individuelle
DS7
Besoins speacutecifiques de formation DS7 Rocircles et responsabiliteacutes Tous
Identifier les compeacutetences informatiques les fiches de postes lrsquoeacuteventail des salaires et les tests comparatifs de performance personnelle
C A C C C R C
Appliquer les politiques RH et les proceacutedures particuliegraveres aux SI (recrutement embauche approbation reacutemuneacuteration formation eacutevaluation promotion et licenciement)
A R R R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Se procurer et conserver les compeacutetences neacutecessaires agrave la strateacutegie informatique bull Donner de lrsquoagiliteacute aux SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique bull Turnover du personnel informatique bull Pourcentage du personnel informatique satisfait (meacutetrique composite)
bull Pourcentage du personnel informatique dont le profil de compeacutetences correspond aux postes deacutefinis par la strateacutegie bull Pourcentage de postes informatiques occupeacutes bull Pourcentage de journeacutees de travail perdues du fait drsquoabsences impreacutevues bull Pourcentage du personnel informatique qui va au bout de son programme de formation annuel bull Ratio reacuteel contractuelssalarieacutes compareacute au ratio preacutevu bull Pourcentage drsquoemployeacutes de lrsquoinformatique dont les anteacuteceacutedents ont eacuteteacute veacuterifieacutes bull Pourcentage de postes informatiques pourvus de remplaccedilants qualifieacutes
bull Pourcentage du personnel informatique qui a meneacute agrave terme un plan de formation professionnelle bull Pourcentage du personnel informatique dont lrsquoeacutevaluation des performances est valideacutee et documenteacutee en temps opportun bull Pourcentage de postes informatiques assortis drsquoune fiche et drsquoexigences de qualification bull Nb moyen de jours de formation et de deacuteveloppement personnel (y compris accompagnement) par personne et par an bull Taux de rotation du personnel informatique bull Pourcentage du personnel informatique dont les diplocircmes correspondent aux besoins du poste bull Nb moyen de jours pour pourvoir les postes informatiques disponibles
Processus
bull Eacutelaborer des pratiques professionnelles de management RH pour les SI bull Utiliser tout le personnel informatique efficacement tout en minimisant la deacutependance vis-agrave-vis de personnels cleacutes
Activiteacutes
bull Embaucher et former du personnel informatique pour faire avancer les plans tactiques bull Reacuteduire les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes bull Evaluer les performances du personnel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 57
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
MODEgraveLE DE MATURITEacute
PO7 Geacuterer les ressources humaines de lrsquoinformatique
La gestion du processus Geacuterer les ressources humaines de lrsquoinformatique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance quil y a pour lentreprise agrave mettre en coheacuterence la gestion des ressources humaines de lrsquoinformatique avec le processus de planification informatique Personne individuellement ou en groupe nest formellement responsable de la gestion des ressources humaines de lrsquoinformatique
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de geacuterer les ressources humaines informatiques Le processus de gestion des ressources humaines de lrsquoinformatique est informel et deacutepend des circonstances Il est axeacute sur lrsquoactiviteacute drsquoembauche et de gestion du personnel informatique Il y a cependant une prise de conscience de limpact quont les modifications rapides de lrsquoentreprise et des technologies ainsi que la complexiteacute de plus en plus grande des solutions sur le besoin de nouvelles expertises et de compeacutetences
2 Reproductible mais intuitive quand
Il y a une approche tactique de lembauche et de la gestion du personnel informatique inspireacutee par les besoins de projets speacutecifiques plutocirct que par la recherche drsquoun bon eacutequilibre entre les compeacutetences internes et externes Le nouveau personnel beacuteneacuteficie dune formation informelle puis de formations adapteacutees aux circonstances
3 Deacutefinie quand
Il existe un processus deacutefini et documenteacute pour la gestion des ressources humaines de lrsquoinformatique Il existe un plan de gestion des ressources humaines de lrsquoinformatique Il y a une approche strateacutegique de lembauche et de la gestion du personnel informatique On a conccedilu un programme formel de formation pour faire face aux besoins des ressources humaines de lrsquoinformatique On a mis en place un plan de formation alterneacute destineacute agrave deacutevelopper aussi bien les compeacutetences meacutetiers que les compeacutetences techniques
4 Geacutereacutee et mesurable quand
On a confieacute speacutecifiquement agrave une personne ou agrave un groupe doteacute(e) de lexpeacuterience et des compeacutetences requises la responsabiliteacute de deacutevelopper et de maintenir opeacuterationnel le plan de gestion des ressources humaines de lrsquoinformatique Le processus de deacuteveloppement et de gestion du plan de gestion des ressources humaines de lrsquoinformatique est reacuteactif aux changements Lentreprise dispose de mesures standards qui lui permettent de faire ressortir les eacutecarts par rapport au plan de gestion des ressources humaines de lrsquoinformatique avec une attention particuliegravere pour la gestion de la croissance des effectifs et du turnover On met en place des analyses des reacutemuneacuterations et des compeacutetences et on les compare aux bonnes pratiques des autres DSI et des autres entreprises de la branche La gestion des ressources humaines est proactive et prend en compte les plans de deacuteveloppement de carriegravere
5 Optimiseacutee quand
Le plan de gestion des ressources humaines de lrsquoinformatique est continuellement actualiseacute pour faire face aux besoins drsquoeacutevolution de lrsquoentreprise La gestion des ressources humaines de lrsquoinformatique fait partie du plan informatique assurant le deacuteveloppement et lutilisation optimum des compeacutetences informatiques disponibles La gestion des ressources humaines de lrsquoinformatique fait partie des orientations strateacutegiques de lrsquoentreprise et reacuteagit agrave leur eacutevolution Les composantes de cette gestion telles que reacutemuneacuteration eacutevaluation des performances participation agrave des forums professionnels transfert de connaissances formation et suivi individuel sont conformes aux meilleures pratiques en vigueur dans la branche On met en place des programmes de formation avant tout deacuteploiement de nouveaux produits ou de nouvelles normes techniques dans lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 58
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et Organiser Geacuterer la qualiteacute PO8
DESCRIPTION DU PROCESSUS
PO8 Geacuterer la qualiteacute
Un systegraveme de gestion de la qualiteacute est deacuteveloppeacute et actualiseacute ce qui implique des processus et des standards de deacuteveloppement et drsquoachat eacuteprouveacutes Ceci est rendu possible par la planification la mise en place et lrsquoactualisation drsquoun systegraveme de gestion de la qualiteacute et par des exigences des proceacutedures et des politiques de qualiteacute clairement deacutefinies Les exigences de qualiteacute doivent ecirctre eacutenonceacutees et communiqueacutees au travers drsquoindicateurs quantifiables et reacutealistes Lrsquoameacutelioration permanente srsquoobtient par une surveillance continue lrsquoanalyse des eacutecarts et leur correction et la communication des reacutesultats aux parties prenantes La gestion de la qualiteacute est essentielle pour srsquoassurer que lrsquoinformatique apporte de la valeur agrave lrsquoentreprise une ameacutelioration continue et une transparence vis-agrave-vis des parties prenantes
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer la qualiteacute
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis
en se concentrant sur
la deacutefinition drsquoun systegraveme de gestion de la qualiteacute (SGQ) la surveillance permanente de la performance compareacutee aux objectifs et la mise en place drsquoun programme drsquoameacutelioration permanente des services informatiques
atteint son objectif en
bull deacutefinissant des standards et des pratiques de qualiteacute bull surveillant et reacutevisant les performances internes et externes par rapport aux standards et pratiques de
qualiteacute deacutefinis bull ameacuteliorant le systegraveme de gestion de la qualiteacute de faccedilon permanente
et est mesureacute par
bull le pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
bull le pourcentage de processus informatiques formellement et peacuteriodiquement reacuteviseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et leurs objectifs qualiteacute
bull le pourcentage de processus qui font lrsquoobjet drsquoune revue drsquoassurance qualiteacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 59
Planifier et Organiser PO8 Geacuterer la qualiteacute
OBJECTIFS DE CONTROcircLE
PO8 Geacuterer la qualiteacute
PO81 Systegraveme de gestion de la qualiteacute (SGQ) Mettre en place et actualiser un SGQ qui offre une approche standard formelle et continue de la gestion qualiteacute en ligne avec les exigences des meacutetiers Le SGQ doit identifier les exigences et les critegraveres qualiteacute les processus informatiques cleacutes leur ordre de succession et leurs interactions les politiques critegraveres et meacutethodes pour deacutefinir deacutetecter corriger et preacutevenir les deacutefauts de conformiteacute Le SGQ doit deacutefinir lrsquoorganisation de la gestion qualiteacute avec ses rocircles ses tacircches et ses responsabiliteacutes Tous les domaines cleacutes deacuteveloppent leurs plans qualiteacute avec leurs critegraveres et leurs politiques en ligne avec les critegraveres et les politiques et enregistrent leurs donneacutees qualiteacute Surveiller et mesurer lrsquoefficaciteacute et lrsquoadoption du SGQ et lrsquoameacuteliorer lorsque crsquoest neacutecessaire
PO82 Standards informatiques et pratiques qualiteacute Identifier et actualiser les standards les proceacutedures et les pratiques pour les processus cleacutes pour guider lrsquoentreprise vers lrsquoobjectif du SGQ Utiliser les meilleures pratiques de la branche comme reacutefeacuterence lorsqursquoon adapte et qursquoon ameacuteliore les pratiques qualiteacute de lrsquoentreprise
PO83 Standards de deacuteveloppement et drsquoacquisition Adopter et actualiser les standards pour tous les deacuteveloppements et acquisitions qui suivent le cycle de vie du livrable deacutefinitif et qui exigent un aval agrave chaque eacutetape cleacute selon des critegraveres drsquoagreacutement convenus Prendre en compte les standards de codification des logiciels conventions de nommage formats de fichiers standards de conception de scheacutemas et de dictionnaires de donneacutees standards drsquointerfaces utilisateurs interopeacuterabiliteacute efficience des performances des systegravemes capaciteacute de mise agrave lrsquoeacutechelle standards de deacuteveloppement et de tests validation par rapport aux demandes plans de tests et tests unitaires de reacutegression et drsquointeacutegration
PO84 Orientation client Orienter la gestion qualiteacute vers les clients en deacuteterminant leurs besoins et en alignant ces derniers sur les standards et les pratiques informatiques Deacutefinir les rocircles et les responsabiliteacutes concernant la reacutesolution de conflits entre lrsquoutilisateurclient et lrsquoinformatique
PO85 Ameacutelioration continue Actualiser et communiquer reacuteguliegraverement un plan geacuteneacuteral qualiteacute qui promeut lrsquoameacutelioration continue de la qualiteacute
PO86 Mesure surveillance et revue qualiteacute Deacutefinir planifier et mettre en place un systegraveme de mesure pour surveiller en continu la conformiteacute au SGQ ainsi que la valeur apporteacutee par celui-ci Le proprieacutetaire du processus doit mesurer surveiller et enregistrer les informations pour pouvoir deacutecider des actions correctives et preacuteventives approprieacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 60
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer la qualiteacute PO8
GUIDE DE MANAGEMENT
PO8 Geacuterer la qualiteacute
De Entreacutees
PO1 Plan informatique strateacutegique
PO10 Plans deacutetailleacutes des projets
SE1 Plans drsquoactions correctives
Sorties Vers Standards drsquoacquisition AI1 AI2 AI3 AI5 DS2 Standards de deacuteveloppement PO10 AI1 AI2 AI3 AI7 Exigences de standards de qualiteacute et de meacutetriques Tous Actions pour lrsquoameacutelioration de la qualiteacute PO4 AI6
Deacutefinir un systegraveme de gestion qualiteacute (SGQ) C C AR I I I I I I C
Mettre en place et actualiser un SGQ I I I AR I C C C C C C
Bacirctir et communiquer des standards qualiteacute dans toute lrsquoentreprise I AR I C C C C C C
Bacirctir et geacuterer le plan qualiteacute pour lrsquoameacutelioration continue AR I C C C C C C
Mesurer surveiller et reacuteviser la conformiteacute avec les objectifs qualiteacute AR I C C C C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire les deacutefauts et la reacutefection de la fourniture de solutions et de services bull Livrer les projets dans les deacutelais et dans le budget en respectant les standards qualiteacute
deacutefinit deacutefinit
bull Deacutefinir des standards et des pratiques de qualiteacute bull Surveiller et reacuteviser les performances internes et externes par rapport aux standards et pratiques de qualiteacute deacutefinis
mesure induit mesure
induit mesure
bull Pourcentage de deacutefauts deacutecouverts avant mise en production bull Pourcentage de reacuteduction du nombre drsquoincidents graves par utilisateur et par mois bull Pourcentage de projets informatiques reacuteviseacutes et avaliseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et les objectifs qualiteacute bull Pourcentage de processus informatiques formellement et reacuteguliegraverement reacuteviseacutes par lrsquoassurance qualiteacute et qui atteignent leur cible et les objectifs qualiteacute
bull Pourcentage de projets faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage du personnel informatique sensibiliseacuteformeacute agrave la gestion de la qualiteacute bull Pourcentage de processus et de projets informatiques beacuteneacuteficiant drsquoune participation active des parties prenantes agrave lrsquoassurance qualiteacute bull Pourcentage de processus faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage des parties prenantes participant agrave des enquecirctes qualiteacute
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
Processus
bull Eacutetablir des standards et une culture qualiteacute pour les processus informatiques bull Eacutetablir une fonction assurance qualiteacute informatique efficiente et efficace bull Surveiller lrsquoefficaciteacute des processus et des projets informatiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 61
Planifier et Organiser PO8 Geacuterer la qualiteacute
MODEgraveLE DE MATURITEacute
PO8 Geacuterer la qualiteacute
La gestion du processus Geacuterer la qualiteacute qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis est
0 Inexistante quand
Lrsquoentreprise ne dispose ni drsquoun processus de planification SGQ ni drsquoune meacutethodologie du de gestion du cycle de vie des systegravemes Le management et le personnel informatique ne pensent pas qursquoun programme qualiteacute soit neacutecessaire Les projets et les opeacuterations ne font jamais lrsquoobjet drsquoune revue dassurance qualiteacute
1 Initialiseacutee au cas par cas quand
Le management a conscience du besoin dun SGQ Lorsque le SGQ est mis en œuvre crsquoest isoleacutement Le management porte des jugements informels sur la qualiteacute
2 Reproductible mais intuitive quand
On a lanceacute un programme de deacutefinition et de surveillance des activiteacutes SGQ au sein du SI Lorsquelles se produisent les deacutemarches SGQ sont appliqueacutees aux projets et aux initiatives orienteacutes processus informatiques mais pas aux processus concernant lensemble de lentreprise
3 Deacutefinie quand
Un processus deacutefini de SGQ est communiqueacute par le management et il concerne agrave la fois la gestion par lrsquoinformatique et par les utilisateurs finaux Un programme denseignement et de formation voit le jour pour faire connaicirctre la deacutemarche qualiteacute agrave tous les niveaux de lentreprise Les exigences qualiteacute de base sont deacutefinies et adopteacutees pour les projets et au sein de lrsquoinformatique On voit eacutemerger des outils communs et des pratiques communes dans la gestion de la qualiteacute On preacutevoit des enquecirctes de satisfaction qualiteacute et on les fait agrave lrsquooccasion
4 Geacutereacutee et mesurable quand
Tous les processus font appel au SGQ y compris ceux qui sont confieacutes agrave des tiers On constitue une base de connaissances standardiseacutee sur la mesure de la qualiteacute On utilise les meacutethodes danalyse coucirctsbeacuteneacutefices pour justifier les initiatives SGQ On commence agrave faire des tests comparatifs pour se situer vis-agrave-vis de la concurrence et du marcheacute Un programme denseignement et de formation est creacuteeacute pour enseigner la deacutemarche qualiteacute agrave tous les niveaux de lentreprise On a standardiseacute les outils et les pratiques et on utilise peacuteriodiquement lanalyse causale On effectue reacuteguliegraverement des enquecirctes de satisfaction qualiteacute On a mis en place un programme standardiseacute et bien structureacute de mesure de la qualiteacute Le management informatique est en train de constituer une base de connaissances sur la mesure de la qualiteacute
5 Optimiseacutee quand
Le SGQ est inteacutegreacute et appliqueacute par toutes les activiteacutes informatiques Les processus dassurance qualiteacute sont souples et sadaptent aux modifications de lenvironnement informatique La base de connaissances des mesures de qualiteacute senrichit des meilleures pratiques constateacutees agrave lexteacuterieur Les comparaisons avec les standards externes font partie de la routine La surveillance de la satisfaction vis-agrave-vis de la qualiteacute est un processus continu qui conduit agrave lanalyse causale et agrave des actions drsquoameacutelioration Il existe une assurance formelle du niveau du processus de gestion de la qualiteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 62
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
SS PP P S S
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
DESCRIPTION DU PROCESSUS
PO9 Eacutevaluer et geacuterer les risques
Un reacutefeacuterentiel de gestion des risques est creacuteeacute et maintenu agrave niveau Ce reacutefeacuterentiel documente un niveau commun et agreacuteeacute de risques informatiques de strateacutegies pour les reacuteduire et de risques reacutesiduels Tout impact potentiel drsquoun eacuteveacutenement impreacutevu sur les objectifs de lrsquoentreprise est identifieacute analyseacute et eacutevalueacute Des strateacutegies de reacuteduction des risques sont adopteacutees pour ramener le risque reacutesiduel agrave un niveau acceptable Le reacutesultat de lrsquoeacutevaluation est compreacutehensible par les parties prenantes et exprimeacute en termes financiers pour permettre agrave ces parties de preacuteconiser le niveau de risque toleacuterable
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
SS PP P S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Eacutevaluer et geacuterer les risques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers
en se concentrant sur
le deacuteveloppement drsquoun cadre de reacutefeacuterence de gestion des risques inteacutegreacute agrave celui de la gestion des risques opeacuterationnels lrsquoeacutevaluation des risques leur reacuteduction et la communication des risques reacutesiduels
atteint son objectif en
bull srsquoassurant que la gestion des risques est pleinement inteacutegreacutee aux processus de management en interne et en externe et reacuteguliegraverement appliqueacutee
bull proceacutedant agrave lrsquoeacutevaluation des risques bull recommandant et en communiquant des plans drsquoaction pour les reacuteduire
et est mesureacute par
bull le pourcentage drsquoobjectifs informatiques critiques pris en compte dans lrsquoeacutevaluation des risques
bull le pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull le pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 63
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
OBJECTIFS DE CONTROcircLE
PO9 Eacutevaluer et geacuterer les risques
PO91 Reacutefeacuterentiel de gestion des risques informatiques Constituer un reacutefeacuterentiel de gestion des risques informatiques aligneacute sur le reacutefeacuterentiel de gestion des risques de lrsquoentreprise
PO92 Eacutetablissement du contexte du risque Eacutetablir le contexte dans lequel srsquoapplique le reacutefeacuterentiel drsquoeacutevaluation des risques pour srsquoassurer drsquoobtenir les reacutesultats approprieacutes Cela implique de deacuteterminer le contexte interne et externe de chaque eacutevaluation du risque le but de lrsquoeacutevaluation et les critegraveres de cette eacutevaluation
PO93 Identification des eacuteveacutenements Identifier les eacuteveacutenements (un nombre important de menaces reacutealistes susceptibles drsquoexploiter un nombre significatif de vulneacuterabiliteacutes potentielles) qui peuvent avoir un impact neacutegatif sur les objectifs ou les opeacuterations de lrsquoentreprise dont lrsquoactiviteacute les aspects reacuteglementaires et leacutegaux la technologie les partenaires commerciaux les ressources humaines et le caractegravere opeacuterationnel Deacuteterminer la nature des impacts et maintenir agrave jour cette information Eacutetablir une cartographie des risques actuels et la maintenir agrave jour
PO94 Eacutevaluation du risque Eacutevaluer reacuteguliegraverement la probabiliteacute et les conseacutequences de tous les risques identifieacutes en utilisant des meacutethodes qualitatives et quantitatives La probabiliteacute et les conseacutequences associeacutees aux risques inheacuterents et reacutesiduels doivent ecirctre deacutetermineacutees individuellement par cateacutegorie et par portefeuille
PO95 Reacuteponse au risque Deacutevelopper et tenir agrave jour un processus de reacuteponse au risque destineacute agrave srsquoassurer que des controcircles eacuteconomiquement rentables reacuteduisent en permanence lrsquoexposition au risque La reacuteponse au risque doit proposer des strateacutegies comme lrsquoeacutevitement la reacuteduction le partage et lrsquoacceptation Elle doit preacuteciser les responsabiliteacutes associeacutees et tenir compte du niveau drsquoappeacutetence aux risques
PO96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques Eacutetablir les prioriteacutes et planifier les activiteacutes de controcircle agrave tous les niveaux pour mettre en place les reacuteponses aux risques consideacutereacutees comme neacutecessaires sans oublier lrsquoeacutevaluation des coucircts et des beacuteneacutefices et la responsabiliteacute de leur mise en œuvre Rechercher lrsquoapprobation pour les actions recommandeacutees et lrsquoacceptation de tous les risques reacutesiduels et srsquoassurer que les proprieacutetaires des processus affecteacutes par le risque assument aussi la proprieacuteteacute des actions entreprises Surveiller lrsquoexeacutecution des plans et rapporter tout eacutecart au management
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 64
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
GUIDE DE MANAGEMENT
PO9 Eacutevaluer et geacuterer les risques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de services informatiques
PO10 Plan de gestion des risques des projets
DS2 Risques fournisseurs
DS4 Reacutesultats des tests des plans de secours
DS5 Menaces et vulneacuterabiliteacutes de seacutecuriteacute
SE1 Historique des eacuteveacutenements de risque et des tendances
SE4 Appeacutetence de lrsquoentreprise pour le risque informatique
Sorties Vers Eacutevaluations des risques PO1 DS4 DS5 DS12 SE4 Rapports sur les risques SE4 Guides de gestion des risques informatiques PO6 Plans drsquoactionssolutions risques informatiques PO4 AI6
Tableau RACI
Activiteacutes Deacuteterminer lrsquoalignement pour la gestion des risques (ex eacutevaluer les risques) A RA C C RA I I
Identifier les objectifs meacutetiers strateacutegiques concerneacutes C C RA C C I
Identifier les objectifs processus meacutetiers concerneacutes C C RA I
Identifier les objectifs informatiques internes et eacutetablir leur contexte risque RA C C C I
Identifier les eacuteveacutenements associeacutes aux objectifs [certains eacuteveacutenements sont orienteacutes meacutetiers (meacutetier A) certains sont orienteacutes informatique (Informatique A meacutetier C)] I AC A R R R R C
Eacutevaluer les risques associeacutes aux eacuteveacutenements AC A R R R R C
Eacutevaluer les reacuteponses aux risques I I A AC A R R R R C
Planifier les activiteacutes de controcircle en tenant compte des prioriteacutes C C A A R R C C C C
Approuver les plans drsquoaction de traitement des risques et en assurer le financement A A R I I I I I
Tenir agrave jour et surveiller un plan drsquoaction de traitement des risques A C I R R C C C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Proteacuteger lrsquoatteinte des objectifs informatique bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage drsquoobjectifs informatique critiques pris en compte dans lrsquoeacutevaluation des risques bull Pourcentage drsquoeacutevaluations des risques inteacutegreacutees agrave lrsquoapproche drsquoeacutevaluation des risques informatiques
bull Pourcentage drsquoeacuteveacutenements informatiques critiques identifieacutes eacutevalueacutes bull Nb de risques informatiques nouveaux identifieacutes (par rapport agrave lrsquoexercice preacuteceacutedent) bull Nb drsquoincidents significatifs dus agrave des risques non identifieacutes par le processus drsquoeacutevaluation de risques bull Pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull Pourcentage du budget informatique deacutepenseacute pour la gestion des risques (eacutevaluation et reacuteduction) bull Freacutequence de revue du processus de gestion des risques inormatiques bull Pourcentage drsquoeacutevaluations de risques approuveacutees bull Nb de rapports de surveillance du risque reacutealiseacutes selon la freacutequence preacutevue bull Pourcentage drsquoeacuteveacutenements informatiques identifieacutes utiliseacutes dans les eacutevaluations des risques bull Pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
Processus
bull Eacutevaluer et reacuteduire la probabiliteacute et les conseacutequences des risques informatiques bull Mettre en place des plans drsquoaction rentables pour les risques informatiques critiques
Activiteacutes
bull Sassurer que la gestion des risques est pleinement inteacutegreacutee aux processus de management bull Effectuer des eacutevaluations des risques reacuteguliegraveres avec le management et le personnel cleacute bull Recommander et communiquer des plans drsquoaction pour les reacuteduire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 65
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
MODEgraveLE DE MATURITEacute
PO9 Eacutevaluer et geacuterer les risques
La gestion du processus Eacutevaluer et geacuterer les risques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers est
0 Inexistante quand
On ne fait pas deacutevaluation des risques lieacutes aux processus ou aux deacutecisions meacutetiers Lrsquoentreprise ne prend pas en compte les conseacutequences pour son activiteacute des faiblesses de sa seacutecuriteacute et des incertitudes lieacutees au deacuteveloppement de ses projets La gestion des risques nrsquoest pas identifieacutee comme pertinente dans lacquisition de solutions et la livraison de services informatiques
1 Initialiseacutee au cas par cas quand
Les risques informatiques sont traiteacutes au cas par cas On fait des eacutevaluations informelles des risques projet selon une approche speacutecifique agrave chaque projet Lrsquoeacutevaluation des risques est parfois incluse dans un plan de projet mais elle est rarement attribueacutee agrave des responsables speacutecifiques On prend en compte les risques speacutecifiques agrave linformatique comme la seacutecuriteacute la disponibiliteacute et linteacutegriteacute agrave loccasion de chaque projet On aborde peu souvent lors des reacuteunions de direction les risques informatiques lieacutes agrave lexploitation quotidienne Lorsque cest le cas la reacuteduction de ces risques nrsquoest pas coheacuterente On comprend de mieux en mieux lrsquoimportance des risques lieacutes agrave lrsquoinformatique et la neacutecessiteacute den tenir compte
2 Reproductible mais intuitive quand
On commence agrave deacutevelopper une approche encore embryonnaire de lrsquoeacutevaluation des risques et elle se met en place agrave lrsquoinitiative des chefs de projets La gestion des risques est geacuteneacuteralement mise en œuvre agrave un niveau eacuteleveacute et ne sapplique typiquement quaux projets majeurs ou lorsqursquoun problegraveme surgit Les processus de reacuteduction des risques commencent agrave ecirctre mis en place lorsque certains risques ont eacuteteacute identifieacutes
3 Deacutefinie quand
Une politique de gestion des risques deacutefinit agrave lrsquoeacutechelle de lrsquoentreprise quand et comment doivent avoir lieu les eacutevaluations La gestion des risques suit un processus deacutefini qui est documenteacute La formation agrave la gestion des risques est accessible agrave tout le personnel On laisse chacun libre de deacutecider de suivre la formation et de mettre le processus en œuvre La meacutethodologie drsquoeacutevaluation des risques est convaincante et solide et permet didentifier presque agrave coup sucircr les risques essentiels encourus par lentreprise On institue en geacuteneacuteral un processus de reacuteduction des risques lorsque ceux-ci sont identifieacutes Les fiches de poste prennent en compte les responsabiliteacutes de gestion des risques
4 Geacutereacutee et mesurable quand
Lrsquoeacutevaluation et la gestion des risques sont des proceacutedures standard On rapporte agrave la direction informatique les cas qui eacutechappent au processus de gestion des risques La gestion des risques informatiques est sous la responsabiliteacute drsquoun cadre supeacuterieur On eacutevalue et on reacuteduit les risques aussi bien au niveau de chaque projet que reacuteguliegraverement au niveau geacuteneacuteral de lexploitation informatique Le management est aviseacute des modifications de lrsquoenvironnement meacutetiers et informatique qui pourraient affecter de faccedilon significative les sceacutenarios de risques informatiques Le management est capable de surveiller lexposition au risque et de deacutecider en toute connaissance de cause du niveau de risque acceptable Tous les risques identifieacutes ont un proprieacutetaire deacutesigneacute et la direction geacuteneacuterale deacutetermine avec la direction des systegravemes drsquoinformation les niveaux de risques toleacuterables par lrsquoentreprise La DSI conccediloit des mesures standard pour eacutevaluer les risques et deacutefinir les ratios risquesbeacuteneacutefices Le management budgeacutetise un projet de gestion des risques opeacuterationnels pour reacuteeacutevaluer les risques de faccedilon reacuteguliegravere On a creacuteeacute une base de donneacutee deacutedieacutee agrave la gestion des risques et une partie des processus de gestion des risques commence agrave ecirctre automatiseacutee La DSI envisage des strateacutegies de reacuteduction des risques
5 Optimiseacutee quand
La gestion des risques a atteint le stade drsquoun processus structureacute bien appliqueacute et bien geacutereacute dans toute lrsquoentreprise On applique les bonnes pratiques dans lrsquoensemble de lrsquoentreprise La capture lanalyse et le reportage sur les informations de gestion des risques sont largement automatiseacutes On sinspire des leaders dans le domaine et lrsquoinformatique partage son expeacuterience avec ses pairs La gestion des risques est veacuteritablement inteacutegreacutee dans toutes les activiteacutes meacutetiers et informatique elle est bien accepteacutee et implique largement les utilisateurs des services informatiques Le management deacutetecte toute deacutecision opeacuterationnelle ou drsquoinvestissement majeure concernant lrsquoinformatique qui ne prend pas en compte le plan de gestion des risques et agit en conseacutequence Le management eacutevalue en permanence les strateacutegies de reacuteduction des risques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 66
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les projets PO10
DESCRIPTION DU PROCESSUS
PO10 Geacuterer les projets
Un programme et un cadre de reacutefeacuterence de gestion de projets pour la gestion de tous les projets informatiques est en place Ce cadre permet de srsquoassurer que tous les projets sont correctement coordonneacutes et que les prioriteacutes sont eacutetablies Il preacutevoit un plan maicirctre lrsquoattribution de ressources la deacutefinition des livrables lrsquoapprobation par les utilisateurs une approche de livraison par eacutetapes une assurance qualiteacute un plan de tests formaliseacute des tests et une revue apregraves mise en place pour srsquoassurer que la gestion des risques et que lrsquoapport de valeur agrave lrsquoentreprise sont effectives Cette approche reacuteduit les risques de coucircts non preacutevus et drsquoannulation de projets ameacuteliore la communication en direction des meacutetiers et des utilisateurs finaux ainsi que leur implication permet drsquoecirctre sucircr de la valeur et de la qualiteacute des livrables du projet et maximise leur contribution aux programmes drsquoinvestissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Geacuterer les projets
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus
en se concentrant sur
un programme deacutefini et une approche de la gestion de projets qui srsquoappliquent aux projets informatiques et permettent aux parties prenantes de srsquoimpliquer et de surveiller les risques et lrsquoavancement des projets
atteint son objectif en
bull deacutefinissant et en appliquant des cadres et des approches pour les programmes et les projets bull diffusant des guides de gestion de projets bull utilisant la planification de projets pour chaque projet deacutetailleacute dans le portefeuille de projets
et est mesureacute par
bull le pourcentage de projets qui reacutepondent aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
bull le pourcentage de projets qui ont eacuteteacute reacuteviseacutes apregraves leur mise en place bull le pourcentage de projets qui respectent les standards et les pratiques de la gestion de
projet
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 67
Planifier et Organiser PO10 Geacuterer les projets
OBJECTIFS DE CONTROcircLE
PO10 Geacuterer les projets
PO101 Reacutefeacuterentiel de gestion de programme Tenir agrave jour le programme des projets en relation avec le portefeuille des programmes dinvestissements informatiques en identifiant deacutefinissant eacutevaluant seacutelectionnant initiant et controcirclant ces projets et en eacutetablissant leurs prioriteacutes respectives Srsquoassurer que les projets servent les objectifs du programme Coordonner les activiteacutes et lrsquointerdeacutependance de multiples projets geacuterer la contribution de tous les projets aux reacutesultats attendus au sein du programme et reacutesoudre les problegravemes et les conflits lieacutes aux ressources
PO102 Reacutefeacuterentiel de gestion de projet Mettre en place et tenir agrave jour un reacutefeacuterentiel de gestion de projets qui deacutefinit aussi bien leacutetendue et les limites de la gestion de projets que la meacutethode agrave adopter et agrave appliquer pour chaque projet entrepris Le reacutefeacuterentiel et les meacutethodologies qui lrsquoappuient doivent ecirctre inteacutegreacutes aux processus de gestion de programmes
PO103 Approche gestion de projet Eacutetablir une approche de gestion de projet en rapport avec la taille la complexiteacute et les exigences reacuteglementaires de chaque projet La structure de gouvernance des projets peut comporter les rocircles responsabiliteacutes opeacuterationnelles et finales du commanditaire du programme des commanditaires des projets du comiteacute de pilotage du bureau des projets et du chef de projet ainsi que les meacutecanismes gracircce auxquels ils peuvent faire face agrave ces responsabiliteacutes (comme le reporting et les revues drsquoeacutetapes) Veacuterifier que chaque projet informatique est doteacute drsquoun commanditaire assez haut placeacute pour ecirctre proprieacutetaire de la mise en œuvre du projet au sein du programme strateacutegique geacuteneacuteral
PO104 Implication des parties prenantes Obtenir lrsquoimplication et la participation de toutes les parties prenantes concerneacutees par la deacutefinition et la mise en œuvre du projet agrave lrsquointeacuterieur du programme global drsquoinvestissements informatiques
PO105 Eacutenonceacute du peacuterimegravetre du projet Deacutefinir et documenter la nature et lrsquoeacutetendue du projet pour confirmer et deacutevelopper parmi les parties prenantes une compreacutehension commune du peacuterimegravetre du projet et la faccedilon dont il est relieacute aux autres projets du programme global drsquoinvestissements informatiques Cette deacutefinition doit ecirctre formellement approuveacutee par les commanditaires du programme et du projet avant que ce dernier ne deacutemarre
PO106 Deacutemarrage drsquoune phase du projet Le deacutemarrage de chaque phase principale du projet est approuveacutee et communiqueacute agrave toutes les parties prenantes Fonder lrsquoapprobation de la phase de deacutemarrage sur les deacutecisions de la gouvernance des programmes Lrsquoapprobation des phases suivantes doit se baser sur les revues et lrsquoacceptation des livrables de la phase preacuteceacutedente ainsi que sur lrsquoapprobation drsquoune analyse de rentabiliteacute mise agrave jour lors de la prochaine revue majeure du programme Dans lrsquoeacuteventualiteacute ougrave des phases du projet se chevaucheraient les commanditaires du programme et de chaque projet devraient faire le point pour autoriser lrsquoavancement du projet
PO107 Plan projet inteacutegreacute Mettre en place un plan projet inteacutegreacute formaliseacute et approuveacute (couvrant les ressources meacutetiers et informatiques) pour guider la mise en œuvre et le controcircle du projet tout au long de son cycle de vie Les activiteacutes et les interdeacutependances de projets multiples dans un programme doivent ecirctre comprises et documenteacutees Le plan projet doit ecirctre tenu agrave jour durant toute la vie du projet Le plan projet et les modifications qui lui sont apporteacutes doivent ecirctre approuveacutes en ligne avec le cadre de gouvernance des programmes et des projets
PO108 Ressources du projet Deacutefinir les responsabiliteacutes les relations lrsquoautoriteacute et les critegraveres de performances des membres de lrsquoeacutequipe du projet et preacuteciser la base sur laquelle on engagera et affectera des membres compeacutetents etou des contractuels dans lrsquoeacutequipe du projet Lrsquoachat de produits et de services neacutecessaires agrave chaque projet doit ecirctre planifieacute et geacutereacute pour favoriser lrsquoatteinte des objectifs du projet en utilisant les pratiques drsquoachat de lrsquoentreprise
PO109 Gestion des risques du projet Eacuteliminer ou reacuteduire les risques speacutecifiques agrave chaque projet au moyen drsquoun processus systeacutematique de planification drsquoidentification drsquoanalyse drsquoactions de reacuteduction des risques de surveillance et de controcircle des domaines ou des eacuteveacutenements susceptibles de provoquer des changements non souhaiteacutes Les risques auxquels le processus de gestion de projet et les livrables sont exposeacutes doivent ecirctre identifieacutes et consolideacutes au niveau central
PO1010 Plan qualiteacute du projet Preacuteparer un plan de gestion qualiteacute qui deacutecrit le systegraveme qualiteacute du projet et comment il sera mis en place Le plan doit ecirctre formellement revu et accepteacute par toutes les parties prenantes puis incorporeacute au plan projet inteacutegreacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 68
Planifier et Organiser Geacuterer les projets PO10
PO1011 Controcircle des changements du projet Mettre en place un systegraveme de controcircle des changements pour chaque projet de faccedilon agrave ce que toutes les modifications de ses caracteacuteristiques de base (ex coucirct planning peacuterimegravetre et qualiteacute) soient ducircment analyseacutees approuveacutees et incorporeacutees au plan projet inteacutegreacute en ligne avec le cadre de gouvernance des programmes et des projets
PO1012 Planification du projet et meacutethodes dassurance Identifier les tacircches drsquoassurance destineacutees agrave appuyer la validation de systegravemes nouveaux ou modifieacutes pendant la planification du projet et les inclure dans le plan projet inteacutegreacute Les tacircches doivent fournir lrsquoassurance que les controcircles internes et les caracteacuteristiques de seacutecuriteacute satisfont les exigences preacutevues
PO1013 Meacutetrique reporting et surveillance de la performance du projet Mesurer la performance du projet par rapport agrave lrsquoensemble des critegraveres cleacutes de performance des projets peacuterimegravetre planning qualiteacute coucirct et risque Identifier tout eacutecart par rapport au plan Eacutevaluer les conseacutequences drsquoun eacutecart sur le projet et sur lrsquoensemble du programme et rapporter les reacutesultats aux parties prenantes cleacutes Recommander mettre en place et surveiller les actions correctrices lorsque crsquoest neacutecessaire en accord avec le cadre de gouvernance des programmes et des projets
PO1014 Clocircture du projet Exiger qursquoagrave la fin de chaque projet les parties prenantes deacuteterminent si le projet a fourni les reacutesultats et beacuteneacutefices preacutevus Identifier et communiquer toutes les activiteacutes exceptionnelles qui ont eacuteteacute neacutecessaires pour obtenir les reacutesultats du projet et les beacuteneacutefices du programme preacutevus et identifier et documenter les enseignements qui en ont eacuteteacute tireacutes et qui pourront ecirctre utiles agrave des projets ou des programmes futurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 69
Planifier et Organiser PO10 Geacuterer les projets
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 70
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les projets PO10
GUIDE DE MANAGEMENT
PO10 Geacuterer les projets
De Entreacutees
PO1 Portefeuille projets
PO5 Portefeuille actualiseacute des projets informatiques
PO7 Tableau des compeacutetences informatiques
PO8 Standards de deacuteveloppement
AI7 Revue postshydeacutemarrage
Sorties Vers Rapports sur la performance des projets SE1 Plan de gestion des risques des projets PO9 Guides de gestion des projets AI1hellipAI7 Plans de projets deacutetailleacutes PO8 AI1hellipAI7 DS6 Portefeuille de projets informatiques agrave jour PO1 PO5
Tableau RACI
Activiteacutes Deacutefinir un cadre de gestion de programme etou de portefeuille pour les investissements informatiques C C A R C C
Mettre en place et maintenir un cadre de gestion des projets informatiques I I I AR I C C C C R C
Mettre en place et maintenir opeacuterationnel un systegraveme de surveillance de mesure et de gestion de gestion des projets informatiques I I I R C C C C AR C
Eacutelaborer des chartes plannings plans qualiteacute budgets et des plans de gestion de la communication et des risques pour les projets C C C C C C C AR C
Srsquoassurer de la participation et de lrsquoimplication des parties prenantes aux projets I A R C C
Assurer un controcircle efficace des projets et des changements qui leur sont apporteacutes C C C C C AR C
Deacutefinir et mettre en place des meacutethodes drsquoassurance et de revue pour les projets I C I AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Livrer les projets dans le respect des deacutelais des coucircts et de la qualiteacute attendus bull Reacutepondre aux exigences de la gouvernance en ligne avec les orientations du conseil drsquoadministration
deacutefinit deacutefinit
induit
induit
bull Pourcentage de projets respectant deacutelais et coucircts bull Pourcentage de projets reacutepondant aux attentes des parties prenantes
bull Pourcentage de projets respectant les standards et les pratiques de la gestion de projet bull Pourcentage de chefs de projets certifieacutes ou formeacutes bull Pourcentage de projets faisant lrsquoobjet drsquoune revue apregraves mise en place bull Pourcentage de parties prenantes participant aux projets (indice drsquoimplication)
Processus
bull Mettre en place un suivi de projet et des meacutecanismes de controcircle des cocircutstemps bull Rendre transparente la situation du projet bull Prendre agrave temps les deacutecisions de gestion de projet aux jalons critiques
Activiteacutes
bull Deacutefinir et appliquer des cadres et des approches pour les programmes et les projets bull Diffuser des guides de gestion de projets bull Reacutealiser la planification de chaque projet du portefeuille de projets
mesure mesure mesure
Meacutetriq
ues
bull Pourcentage de projets reacutepondant aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 71
Planifier et Organiser PO10 Geacuterer les projets
MODEgraveLE DE MATURITEacute
PO10 Geacuterer les projets
La gestion du processus Geacuterer les projets qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus est
0 Inexistante quand
On nutilise pas les techniques de gestion de projets et lentreprise ne prend pas en compte les conseacutequences pour son activiteacute dune mauvaise gestion des projets et des eacutechecs survenus au cours du deacuteveloppement des projets
1 Initialiseacutee au cas par cas quand
Lutilisation des techniques de gestion de projets et leur approche informatique est laisseacutee agrave linitiative individuelle des responsables informatiques Il y a un manque drsquoimplication de la part du management dans la proprieacuteteacute et la gestion des projets Les deacutecisions critiques concernant la gestion des projets sont prises participation des utilisateurs ni des clients Les clients et utilisateurs ne sont que peu impliqueacutes dans la deacutefinition des projets informatiques voire pas du tout Il nrsquoy a pas drsquoorganisation claire de la gestion des projets au sein de lrsquoinformatique Les rocircles et responsabiliteacutes en matiegravere de gestion des projets ne sont pas deacutefinis Les projets leur planning et leurs jalons sont mal deacutefinis On ne fait pas de releveacutes des temps ni des deacutepenses consacreacutes aux projets et donc on ne les confronte pas aux preacutevisions
2 Reproductible mais intuitive quand
La direction geacuteneacuterale sest convaincue du besoin de faire de la gestion des projets et communique sur ce thegraveme Lentreprise a deacutecideacute de deacutevelopper et drsquoutiliser certaines techniques et meacutethodes quelle commence agrave appliquer projet apregraves projet Les objectifs meacutetiers et techniques des projets informatiques sont deacutefinis de faccedilon informelle Limplication des parties prenantes dans la gestion des projets informatiques est faible On deacuteveloppe les premiers guides pour de nombreux aspects de la gestion des projets Lrsquoapplication des guides de gestion des projets est laisseacutee agrave lrsquoinitiative de chaque chef de projets
3 Deacutefinie quand
Le processus et la meacutethodologie de gestion des projets informatiques sont en place et on communique sur ces thegravemes On dote les projets informatiques drsquoobjectifs meacutetiers et techniques approprieacutes Le management de lrsquoinformatique et des meacutetiers commence agrave srsquoimpliquer dans la gestion des projets informatiques Un bureau de gestion des projets est mis en place agrave lrsquoinformatique et on en a deacutefini certains rocircles et certaines responsabiliteacutes On deacutefinit et actualise les jalons le planning le budget et les mesures de performance des projets et on les surveille La formation agrave la gestion des projets existe et reacutesulte encore drsquoinitiatives individuelles On deacutefinit des proceacutedures dassurance qualiteacute et des activiteacutes post-deacutemarrage cependant la direction des SI ne les applique pas systeacutematiquement Les projets commencent agrave ecirctre geacutereacutes en portefeuilles
4 Geacutereacutee et mesurable quand
Le management exige des meacutetriques projet standardiseacutees et formelles et une revue des enseignements agrave tirer agrave lrsquoeacutecheacuteance drsquoun projet La gestion des projets est mesureacutee et eacutevalueacutee non seulement au sein de lrsquoinformatique mais dans toute lentreprise On formalise et communique les ameacuteliorations aux processus de gestion des projets avec les membres des eacutequipes des projets formeacutees agrave ces ameacuteliorations La direction des SI met en place une structure dorganisation de projets attribue des rocirclesresponsabiliteacutes et des critegraveres de performance pour le personnel le tout ducircment documenteacute Des critegraveres drsquoeacutevaluation de succegraves de chaque jalon sont mis en place Valeur et risques sont mesureacutes et geacutereacutes avant pendant et apregraves lrsquoachegravevement des projets Les projets visent de plus en plus des objectifs de lrsquoentreprise plutocirct que des objectifs speacutecifiquement informatiques Les commanditaires de la direction geacuteneacuterale et les parties prenantes soutiennent fortement et activement les projets Une formation approprieacutee agrave la gestion des projets est preacutevue pour le personnel du bureau de gestion des projets et pour certains personnels de lrsquoinformatique
5 Optimiseacutee quand
On met en place et on applique une meacutethodologie de gestion des projets et des programmes qui prend en compte leur cycle de vie entier et cette meacutethodologie fait deacutesormais partie de la culture de toute lentreprise On met en place une initiative permanente pour identifier et institutionnaliser les meilleures pratiques de gestion des projets Lrsquoinformatique met en place une strateacutegie de recherche de collaborateurs pour les projets de deacuteveloppement et les projets techniques Une cellule inteacutegreacutee de gestion des projets est responsable des projets et des programmes de leur origine agrave leur achegravevement La planification des programmes et des projets agrave leacutechelle de lentreprise permet de sassurer que les ressources utilisateurs et informatiques sont utiliseacutees au mieux pour soutenir les initiatives strateacutegiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 72
ACQUEacuteRIR ET IMPLEacuteMENTER
AI1 Trouver des solutions informatiques AI2 Acqueacuterir des applications et en assurer la maintenance AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lrsquoutilisation AI5 Acqueacuterir des ressources informatiques AI6 Geacuterer les changements AI7 Installer et valider les solutions et les modifications
AC
QU
EacuteR
IR E
T
IMPL
EacuteM
EN
TE
R
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
DESCRIPTION DU PROCESSUS
AI1 Trouver des solutions informatiques
Le besoin drsquoune nouvelle application ou fonction impose une analyse avant achat ou creacuteation pour srsquoassurer que les exigences des meacutetiers seront satisfaites gracircce agrave une approche efficace et efficiente Ce processus recouvre la deacutefinition des besoins la prise en compte de sources alternatives lrsquoanalyse de la faisabiliteacute technique et eacuteconomique lrsquoanalyse des risques et du rapport coucirctsbeacuteneacutefices et la deacutecision finale qui tranchera entre faire ou acheter Toutes ces eacutetapes permettent aux entreprises de minimiser les coucircts drsquoachat et de mise en place de solutions et de srsquoassurer que celles-ci permettront agrave lrsquoentreprise drsquoatteindre ses objectifs
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Trouver des solutions informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes
en se concentrant sur
lrsquoidentification de solutions techniquement faisables et rentables
atteint son objectif en
bull deacutefinissant les exigences des meacutetiers et les impeacuteratifs techniques bull entreprenant des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull approuvant (ou rejetant) les reacutesultats des eacutetudes des besoins et de faisabiliteacute
et est mesureacute par
bull le nombre de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de leur faisabiliteacute
bull le pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes livreacutees
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 73
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
OBJECTIFS DE CONTROcircLE
AI1 Trouver des solutions informatiques
AI11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles Identifier classer par prioriteacutes et agreacuteer les exigences meacutetiers techniques et fonctionnelles qui couvrent lrsquoeacutetendue complegravete de toutes les initiatives requises pour obtenir les reacutesultats escompteacutes du programme drsquoinvestissement informatique
AI12 Rapport danalyse de risques Identifier documenter et analyser les risques associeacutes aux processus meacutetiers en tant qursquoeacuteleacutements du processus drsquoentreprise pour lrsquoeacutelaboration des exigences
AI13 Eacutetude de faisabiliteacute et formulation drsquoalternatives Mener une eacutetude de faisabiliteacute qui examine la possibiliteacute de mettre en place les exigences Le management des meacutetiers assisteacute par lrsquoinformatique doit eacutevaluer la faisabiliteacute et les alternatives et faire des recommandations aux commanditaires meacutetiers
AI4 Deacutecision et approbation concernant les exigences et la faisabiliteacute Srsquoassurer que le processus impose que les commanditaires meacutetiers approuvent et avalisent les rapports sur les exigences des meacutetiers fonctionnelles et techniques et sur lrsquoeacutetude de faisabiliteacute agrave des eacutetapes cleacutes preacutedeacutetermineacutees La deacutecision finale quant au choix de la solution et de la proceacutedure drsquoacquisition doit appartenir aux commanditaires meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 74
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
it
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
GUIDE DE MANAGEMENT
AI1 Trouver des solutions informatiques
De Entreacutees PO1 Plans informatiques strateacutegiques et tactiques PO3 Mises agrave niveau reacuteguliegraveres de la technologie
standards technologiques
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes de gestion de projets et plans deacutetailleacutes des projets
AI6 Description du processus de changement
DS1 Contrats de services
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Eacutetude de faisabiliteacute des exigences des meacutetiers PO2 PO5 PO7 AI2 AI3 AI4 AI5
Tableau RACI
Activiteacutes Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques C C R C R R AR I
Mettre en place les processus pour les exigences drsquointeacutegriteacutedrsquoactualiteacute C C C AR C
Identifier documenter et analyser les risques des processus meacutetiers AR R R R C R R C
Conduire une eacutetude drsquoeacutevaluation faisabiliteacuteimpact pour la mise en place des exigences des meacutetiers proposeacutees AR R R C C C R C
Eacutevaluer les beacuteneacutefices informatiques des solutions proposeacutees I R AR R I I I R
Eacutevaluer les beacuteneacutefices pour les meacutetiers des solutions proposeacutees AR R C C C I R
Eacutelaborer un processus drsquoapprobation des exigences C A C C C R C
Approuver et avaliser les solutions proposeacutees C AR R R C C C I R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques
deacutefinit
Informatique
Objectifs
bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie des meacutetiers
mesure indu
ii
ndu t
Meacutetriq
ues
bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de la faisabiliteacute bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
deacutefinit
Processus
bull Identifier les solutions qui satisfont les exigences utilisateurs bull Identifier les solutions techniquement faisables et rentables bull Trancher entre acheter ou faire de faccedilon agrave optimiser la valeur et agrave minimiser les risques
bull Pourcentage de parties prenantes satisfaites de lrsquoexactitude de lrsquoeacutetude de faisabiliteacute bull Diffeacuterence drsquoeacutevaluation des beacuteneacutefices entre lrsquoeacutetude de faisabiliteacute et lrsquoimpleacutementation bull Pourcentage du portefeuille drsquoapplications incoheacuterent avec lrsquoarchitecture bull Pourcentage des eacutetudes de faisabiliteacute fournies dans les deacutelais et les coucircts
bull Pourcentage de projets du plan informatique annuel soumis agrave une eacutetude de faisabiliteacute bull Pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus
Activiteacutes
bull Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques bull Entreprendre des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull Prendre en compte tocirct les exigences de seacutecuriteacute et de controcircle bull Approuver (ou rejeter) les reacutesultats des eacutetudes des exigences et de la faisabiliteacute
mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 75
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
MODEgraveLE DE MATURITEacute
AI1 Trouver des solutions informatiques
La gestion du processus Trouver des solutions informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes est
0 Inexistante quand
Lentreprise ne se preacuteoccupe pas didentifier les besoins fonctionnels et opeacuterationnels pour le deacuteveloppement la mise en œuvre ou la modification de solutions telles que systegravemes services infrastructures logiciels ou donneacutees Lentreprise ne se tient pas au courant des solutions techniques disponibles qui pourraient concerner son activiteacute
1 Initialiseacutee au cas par cas quand
On prend conscience de la neacutecessiteacute de deacutefinir les besoins et de trouver des solutions techniques Des groupes se reacuteunissent pour discuter des besoins de maniegravere informelle et les exigences sont parfois documenteacutees Certaines personnes trouvent des solutions gracircce agrave une connaissance partielle des produits qui existent sur le marcheacute ou par lintermeacutediaire doffres commerciales Il existe un minimum de recherche et drsquoanalyse raisonneacutee de la technologie disponible
2 Reproductible mais intuitive quand
Il existe diffeacuterentes approches intuitives agrave travers lrsquoentreprise pour trouver des solutions informatiques On trouve des solutions informelles en fonction des connaissances et de lexpeacuterience accumuleacutees en interne agrave la DSI Le succegraves de chaque projet deacutepend de lrsquoexpertise de quelques individus cleacutes La qualiteacute de la documentation et de la prise de deacutecision varie consideacuterablement On utilise des approches non structureacutees pour deacutefinir les exigences et trouver des solutions techniques
3 Deacutefinie quand
Il existe des approches claires et structureacutees pour deacuteterminer des solutions informatiques Cette approche impose drsquoeacutevaluer les solutions alternatives en fonction des exigences meacutetiers ou utilisateurs des opportuniteacutes technologiques de la faisabiliteacute eacuteconomique de leacutevaluation des risques et drsquoautres facteurs Ce processus trouver des solutions informatiques est mis en œuvre pour certains projets qui deacutependent des deacutecisions que prend individuellement une personne impliqueacutee du temps qursquoy consacre le management de limportance et des prioriteacutes des exigences meacutetiers qui en sont agrave lrsquoorigine On utilise des approches structureacutees pour deacutefinir les exigences et trouver des solutions informatiques
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie pour identifier et eacutevaluer les solutions informatiques et on lrsquoutilise pour la plupart des projets La documentation des projets est de bonne qualiteacute et chaque eacutetape est ducircment approuveacutee Les exigences sont bien coordonneacutees et suivent des structures preacutedeacutefinies On examine diffeacuterentes hypothegraveses pour la solution choisie en tenant compte drsquoanalyses coucirctsbeacuteneacutefices La meacutethode est claire deacutefinie en geacuteneacuteral comprise et mesurable Il existe une interface clairement deacutefinie entre la direction des SI et les meacutetiers pour identifier et eacutevaluer les solutions informatiques
5 Optimiseacutee quand
La meacutethodologie pour trouver et eacutevaluer des solutions informatiques suit un processus drsquoameacutelioration continue La meacutethodologie drsquoacquisition et drsquoimpleacutementation est assez souple pour srsquoadapter agrave des projets de dimensions diverses Cette meacutethodologie sappuie sur des bases de connaissances internes et externes renfermant des reacutefeacuterences agrave des solutions techniques La meacutethodologie elle-mecircme produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces On deacutecouvre souvent de nouvelles occasions dutiliser lrsquoinformatique pour obtenir un avantage concurrentiel pour stimuler la reacute-ingeacutenierie des processus meacutetiers pour ameacuteliorer globalement lrsquoefficience Le management agit lorsqursquoil se rend compte que les solutions informatiques ont eacuteteacute approuveacutees sans que des exigences techniques et fonctionnelles alternatives aient eacuteteacute prises en compte
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 76
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
DESCRIPTION DU PROCESSUS
AI2 Acqueacuterir des applications et en assurer la maintenance
Les applications sont rendues disponibles en fonction des exigences des meacutetiers Ce processus recouvre la conception des applications les controcircles applicatifs et les exigences de seacutecuriteacute approprieacutes qursquoil faut y inclure ainsi que leur deacuteveloppement et leur configuration conformeacutement aux standards Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tacircches meacutetiers
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des applications et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable
en se concentrant sur
un processus de deacuteveloppement respectueux des deacutelais et de la rentabiliteacute
atteint son objectif en
bull traduisant les exigences des meacutetiers en speacutecifications pour la conception bull adoptant des standards de deacuteveloppement pour toutes les modifications bull seacuteparant les activiteacutes de deacuteveloppement de tests et de production
et est mesureacute par
bull le nombre de problegravemes de production par application causant des retards perceptibles bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 77
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI2 Acqueacuterir des applications et en assurer la maintenance
AI21 Conception geacuteneacuterale Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales drsquoacquisition de logiciel en prenant en compte les orientations technologiques de lrsquoentreprise et lrsquoarchitecture de lrsquoinformation Faire approuver les speacutecifications de la conception par le management pour srsquoassurer que la conception geacuteneacuterale reacutepond aux exigences Reacuteeacutevaluer lorsque des anomalies techniques ou logicielles significatives se produisent pendant le deacuteveloppement ou la maintenance
AI22 Conception deacutetailleacutee Preacutesenter en deacutetail les speacutecifications et les impeacuteratifs techniques des applications logicielles Deacutefinir les critegraveres drsquoacceptation de ces impeacuteratifs Faire approuver ces impeacuteratifs pour ecirctre sucircr qursquoils correspondent agrave la conception geacuteneacuterale Effectuer une reacuteeacutevaluation lorsque des anomalies significatives techniques ou logicielles se produisent pendant le deacuteveloppement ou la maintenance
AI23 Controcircles applicatifs et auditabiliteacute Si neacutecessaire mettre en place des controcircles meacutetiers des controcircles programmeacutes de faccedilon agrave ce que le traitement soit reacutealiseacute avec exactitude complegravetement au bon moment et qursquoil soit autoriseacute et auditable
AI24 Seacutecuriteacute et disponibiliteacute des applications Reacutepondre aux exigences de seacutecuriteacute et de disponibiliteacute des applications en regard des risques identifieacutes et en ligne avec la classification des donneacutees lrsquoarchitecture de lrsquoinformation et de la seacutecuriteacute de lrsquoinformation de lrsquoappeacutetence au risque de lrsquoentreprise
AI25 Configuration et impleacutementation des logiciels applicatifs acquis Configurer et impleacutementer les progiciels de faccedilon agrave reacutepondre aux objectifs des meacutetiers
AI26 Mises agrave jour majeures des systegravemes existants Suivre un processus de deacuteveloppement similaire agrave celui du deacuteveloppement de nouveaux systegravemes dans lrsquoeacuteventualiteacute de modifications majeures des systegravemes existants qui ont pour conseacutequences des modifications significatives de conception etou des fonctionnaliteacutes actuelles
AI27 Deacuteveloppement drsquoapplications Srsquoassurer que les nouvelles fonctionnaliteacutes automatiseacutees se conforment aux speacutecifications de conception aux standards de deacuteveloppement et de documentation aux exigences de qualiteacute et aux normes de recette Srsquoassurer que tous les aspects leacutegaux et contractuels sont identifieacutes et pris en compte dans les applications deacuteveloppeacutees par des tiers
AI28 Assurance qualiteacute des logiciels Deacutevelopper un plan drsquoassurance qualiteacute le doter de ressources et le mettre en œuvre de faccedilon agrave obtenir la qualiteacute speacutecifieacutee dans la deacutefinition des exigences et dans les politiques et les proceacutedures qualiteacute de lrsquoentreprise
AI29 Gestion des exigences des applications Au cours de la conception du deacuteveloppement et de la mise en place effectuer un suivi individuel de chaque exigence (y compris de celles qui ont eacuteteacute rejeteacutees) et approuver les modifications apporteacutees agrave certaines exigences selon un processus eacutetabli de gestion des changements
AI210 Maintenance des applications Deacutevelopper un plan strateacutegique pour la maintenance des applications
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 78
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
GUIDE DE MANAGEMENT
AI2 Acqueacuterir des applications et en assurer la maintenance
De Entreacutees
PO2 Dictionnaire de donneacutees scheacutema de classification des donneacutees plan optimiseacute des systegravemes meacutetiers
PO3 Mises agrave niveau reacuteguliegraveres de leacutetat de lart de la technologie
PO5 Comptesshyrendus coucirctsbeacuteneacutefices
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Guides de gestion des projets et plans de projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Description du processus de changement
Sorties Vers Speacutecification des controcircles de seacutecuriteacute des applications DS5 Connaissance des applications et des progiciels AI4 Deacutecisions drsquoacquisition AI5 Contrats de services initialement preacutevus DS1 Speacutecifications de disponibiliteacute continuiteacute et reprise DS3 DS4
Tableau RACI
Activiteacutes Traduire les exigences des meacutetiers en speacutecifications de conception geacuteneacuterale C C AR R C
Preacuteparer la conception deacutetailleacutee et les besoins techniques des applications I C C C AR R C
Speacutecifier les controcircles applicatifs dans la conception R C AR R R
Adapter et impleacutementer les fonctionnaliteacutes automatiseacutees acquises C C AR R C
Deacutevelopper des meacutethodologies les formaliser et des processus pour geacuterer le processus de deacuteveloppement des applications
C C C A C R C
Creacuteer un plan drsquoassurance qualiteacute pour le projet I C R AR C
Suivre et geacuterer les exigences des applications R AR
Deacutevelopper un plan pour la maintenance des applications C C AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Deacuteterminer comment traduire les besoins fonctionnels des meacutetiers et de controcircle en solutions automatiseacutees efficaces et efficientes bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
induit
induit
Meacutetriq
ues
bull Pourcentage de projets qui fournissent les modifications meacutetiers dans les deacutelais demandeacutes bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoune mauvaise conception ou drsquoun mauvais deacuteveloppement de lrsquoapplication bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
bull Pourcentage de projets reacutealiseacutes dans les deacutelais et les coucircts bull Pourcentage defforts de deacuteveloppement consacreacutes agrave la maintenance des applications existantes bull Nb de problegravemes de production entraicircnant des peacuteriodes drsquoimproductiviteacute visibles bull Nb de deacutefauts rapporteacutes par mois (par point de fonction)
bull Pourcentage de projets drsquoapplications pour lesquels on a deacuteveloppeacute et exeacutecuteacute un plan drsquoassurance qualiteacute logicielle bull Pourcentage de projets drsquoapplications qui ont subi les revues approprieacutees et dont on a approuveacute la conformiteacute aux standards de deacuteveloppement bull Deacutelai de livraison moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code bull Effort de programmation moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code
Processus
bull Acqueacuterir et assurer la maintenance des applications qui satisfont les exigences des meacutetiers deacutefinies de faccedilon rentable bull Acqueacuterir et assurer la maintenance des applications en accord avec la strateacutegie et lrsquoarchitecture informatique bull Srsquoassurer que le processus de deacuteveloppement est rentable et respectueux des deacutelais
Activiteacutes
bull Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales bull Adopter les standards de deacuteveloppement pour toutes les modifications bull Eacutetablir les prioriteacutes des exigences en fonction de leur importance pour les meacutetiers bull Seacuteparer les activiteacutes de deacuteveloppement de tests et drsquoexploitation bull Tirer profit des investissements dans la technologie existante
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 79
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI2 Acqueacuterir des applications et en assurer la maintenance
La gestion du processus Acqueacuterir des applications et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable est
0 Inexistante quand
Il nexiste pas de processus pour concevoir des applications et en faire le cahier des charges Typiquement on achegravete les applications en se basant sur les offres des fournisseurs la reacuteputation dune marque ou les habitudes des informaticiens sans beaucoup tenir compte des veacuteritables besoins
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute davoir un processus dacquisition et de maintenance des applications Les faccedilons drsquoacheter et drsquoassurer la maintenance de logiciels applicatifs varient drsquoun projet agrave lrsquoautre On a sans doute acheteacute de faccedilon indeacutependante quelques solutions individuelles pour reacutepondre agrave certaines exigences des meacutetiers ce qui peacutenalise lrsquoefficaciteacute de la maintenance et du support
2 Reproductible mais intuitive quand
Il existe des processus diffeacuterents mais similaires pour lrsquoachat et la maintenance drsquoapplications et on se fie agrave lrsquoexpertise de la fonction informatique Le taux de succegraves des applications deacutepend largement des compeacutetences internes et du niveau dexpeacuterience de lrsquoinformatique La maintenance est en geacuteneacuteral probleacutematique et sa qualiteacute se deacutegrade lorsque des personnels qui ont accumuleacute des connaissances speacutecifiques quittent lentreprise On nrsquoa que peu pris en compte la seacutecuriteacute et la disponibiliteacute dans la conception ou lrsquoacquisition des logiciels applicatifs
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de logiciels applicatifs Ce processus est aligneacute sur les strateacutegies SI et meacutetiers On srsquoefforce de mettre en œuvre des processus documenteacutes et coheacuterents pour diffeacuterentes applications et diffeacuterents projets Les meacutethodologies sont en geacuteneacuteral rigides et difficiles agrave appliquer agrave tous les cas si bien quil peut arriver qursquoon en neacuteglige certaines eacutetapes Les activiteacutes de maintenance sont planifieacutees et coordonneacutees
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie formelle et bien comprise qui comporte un processus de conception et de speacutecifications des critegraveres drsquoachat un processus de tests et des exigences de documentation On srsquoest mis drsquoaccord sur des meacutecanismes dapprobation formels et documenteacutes pour sassurer que toutes les eacutetapes sont respecteacutees et que les cas particuliers sont geacutereacutes Les pratiques et les proceacutedures ont eacutevolueacute pour bien srsquoadapter agrave lrsquoentreprise elles sont utiliseacutees par tout le personnel et reacutepondent agrave la plupart des exigences des applications
5 Optimiseacutee quand
Les pratiques dacquisition et de maintenance des applications sont conformes aux processus deacutefinis Lapproche est modulaire favorisant des applications preacutedeacutefinies standardiseacutees et adapteacutees aux besoins de lentreprise Cette approche concerne lrsquoensemble de lrsquoentreprise La meacutethodologie dacquisition et de maintenance est bien avanceacutee et permet des deacuteploiements rapides une forte reacuteactiviteacute ainsi que suffisamment de souplesse pour reacutepondre agrave des exigences meacutetiers eacutevolutives La meacutethodologie dacquisition et de mise en place des applications connaicirct des ameacuteliorations permanentes et sappuie sur des bases de connaissances internes et externes donnant accegraves agrave des documents de reacutefeacuterence et aux bonnes pratiques La meacutethodologie produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 80
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
DESCRIPTION DU PROCESSUS
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
Une entreprise dispose de processus pour lrsquoacquisition la mise en place et la mise agrave niveau de son infrastructure technique Cela exige une approche planifieacutee de lrsquoacquisition de la maintenance et de la protection de lrsquoinfrastructure en accord avec les strateacutegies technologiques adopteacutees et de disposer drsquoenvironnements de deacuteveloppement et de tests On est ainsi sucircr de disposer drsquoun support technique permanent pour les applications meacutetiers
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Acqueacuterir une infrastructure technique et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee
en se concentrant sur
la mise agrave disposition de plates-formes approprieacutees pour les applications meacutetiers en accord avec les standards informatiques et drsquoarchitecture technique deacutefinis
atteint son objectif en
bull eacutelaborant un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull planifiant la maintenance de lrsquoinfrastructure bull mettant en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
et est mesureacute par
bull le pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis
bull le nombre de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
bull le nombre de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 81
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI31 Plan drsquoacquisition drsquoune infrastructure technique Eacutelaborer un plan drsquoacquisition de mise en place et de maintenance de lrsquoinfrastructure technique qui reacuteponde aux besoins fonctionnels et techniques deacutefinis des meacutetiers et qui soit en accord avec les orientations technologiques de lrsquoentreprise
AI32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute au cours de la configuration de lrsquointeacutegration et de la maintenance du mateacuteriel et des logiciels systegraveme pour proteacuteger les ressources et assurer la disponibiliteacute et lrsquointeacutegriteacute Il faut que ceux qui deacuteveloppent et integravegrent les composants drsquoinfrastructure deacutefinissent clairement les responsabiliteacutes drsquoutilisation des composants sensibles Leur utilisation doit ecirctre suivie et eacutevalueacutee
AI33 Maintenance de lrsquoinfrastructure Deacutevelopper une strateacutegie et un plan pour la maintenance de lrsquoinfrastructure et srsquoassurer que les modifications sont controcircleacutees conformeacutement agrave la proceacutedure de gestion des changements de lrsquoentreprise Inclure une reacutevision peacuteriodique en fonction des besoins des meacutetiers de la gestion des correctifs et des strateacutegies de mise agrave niveau et en fonction de lrsquoeacutevaluation de la vulneacuterabiliteacute et des exigences de seacutecuriteacute
AI34 Environnement de test de faisabiliteacute Mettre en place des environnements de deacuteveloppement et de test pour srsquoassurer drsquoune faisabiliteacute et de tests drsquointeacutegration des composants de lrsquoinfrastructure efficaces et efficients
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 82
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
GUIDE DE MANAGEMENT
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
De Entreacutees
PO3 Plan drsquoinfrastructure technique standards et opportuniteacutes mises agrave niveau techniques reacuteguliegraveres
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Changer lrsquointituleacute des processus
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Deacutecisions drsquoacquisition AI5 Systegraveme configureacute agrave testerinstaller AI7 Exigences de lrsquoenvironnement physique DS12 Mises agrave jour des standards techniques PO3 Exigences de surveillance des systegravemes DS3 Connaissance de lrsquoinfrastructure AI4 CE preacutevus initialement DS1
Deacutefinir les proceacuteduresprocessus drsquoacquisition C A C C C R I
Examiner les besoins dinfrastructure avec les fournisseurs (agreacuteeacutes) CI A I R C C R I
Deacutefinir la strateacutegie et planifier la maintenance pour lrsquoinfrastructure A R R R C
Configurer les composants de lrsquoinfrastructure A R C I
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit deacutefinit
induit
induit
bull Pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis bull Nb de plates-formes techniques par fonction dans lrsquoentreprise bull Pourcentage de composants drsquoinfrastructure acheteacutes en dehors du processus drsquoacquisition bull Nb de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
bull Nb et type de modifications drsquourgence aux composants de lrsquoinfrastructure bull Nb de demandes drsquoacquisition exceptionnelles bull Dureacutee moyenne pour configurer les composants drsquoinfrastructure
Meacutetriq
ues
bull Nb de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
Processus
bull Fournir les plates-formes approprieacutees aux applications meacutetiers conformes agrave lrsquoarchitecture technique deacutefinie et aux standards techniques bull Fournir une infrastructure technique fiable et seacutecuriseacutee
Activiteacutes
bull Eacutelaborer un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull Planifier la maintenance de lrsquoinfrastructure bull Fournir lrsquoinfrastructure drsquoenvironnement de deacuteveloppement et de test bull Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 83
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
La gestion du processus Acqueacuterir une infrastructure technique et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agraveshyvis de lrsquoinformatique acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee est
0 Inexistante quand
On ne considegravere pas lrsquoinfrastructure technique comme une question suffisamment importante pour sen occuper
1 Initialiseacutee au cas par cas quand
On modifie linfrastructure pour chaque nouvelle application sans avoir de plan geacuteneacuteral Bien que lon ait conscience de limportance de linfrastructure technique il ny a pas dapproche globale coheacuterente Les activiteacutes de maintenance reacuteagissent aux besoins agrave court terme Lrsquoenvironnement de test est lrsquoenvironnement de production
2 Reproductible mais intuitive quand
Il y a une certaine coheacuterence dans les approches tactiques lors de lrsquoacquisition et de la maintenance drsquoune infrastructure technique Lrsquoacquisition et la maintenance drsquoune infrastructure technique ne sont pas baseacutees sur une strateacutegie deacutefinie et ne prennent pas en compte les besoins des applications meacutetiers qursquoil srsquoagit de supporter On comprend que lrsquoinfrastructure technique est importante et certaines pratiques formelles en tiennent compte On planifie une certaine maintenance mais incomplegravetement et sans coordination Dans certains cas de figure il existe un environnement de test speacutecifique
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de lrsquoinfrastructure technique Ce processus reacutepond aux besoins des applications critiques de lentreprise et il est caleacute sur la strateacutegie des meacutetiers et sur la strateacutegie des SI mais il nrsquoest pas constamment mis en œuvre La maintenance est planifieacutee et coordonneacutee Les environnements de test et de production sont seacutepareacutes
4 Geacutereacutee et mesurable quand
Le processus dacquisition et de maintenance de linfrastructure technique sest deacuteveloppeacute au point de bien fonctionner dans la plupart des situations decirctre mis en œuvre avec constance et decirctre reacuteutilisable Lrsquoinfrastructure technique supporte comme il convient les applications meacutetiers Le processus est agrave la fois bien structureacute et proactif Le coucirct en temps et en argent pour atteindre le niveau souhaitable deacutevolutiviteacute compatibiliteacute souplesse et inteacutegration est partiellement optimiseacute
5 Optimiseacutee quand
Le processus dacquisition et de maintenance de linfrastructure technique est proactif et parfaitement aligneacute sur les applications meacutetiers cleacutes et sur lrsquoarchitecture technique On applique les bonnes pratiques pour ce qui est des solutions technologiques et lrsquoentreprise est au courant des derniers deacuteveloppements en matiegravere de plates-formes et drsquooutils de gestion On reacuteduit les coucircts par la rationalisation et la standardisation des composants drsquoinfrastructure et par lautomatisation Gracircce agrave un haut niveau de veille technologique on sait trouver les meilleurs moyens danticiper pour ameacuteliorer les performances y compris en externalisant Linfrastructure mateacuterielle et logicielle est vue comme le facteur essentiel pour geacuteneacuteraliser lutilisation de linformatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 84
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SS S S
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
DESCRIPTION DU PROCESSUS
AI4 Faciliter le fonctionnement et lrsquoutilisation
Les connaissances sur les nouveaux systegravemes sont rendues disponibles Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour lrsquoinformatique et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de lrsquoinfrastructure
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S S
Le controcircle du processus informatique
Surveiller et Evaluer
Faciliter le fonctionnement et lrsquoutilisation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers
en se concentrant sur
la fourniture de manuels utilisateurs de manuels opeacuterationnels et de supports de formation efficaces pour transfeacuterer la connaissance neacutecessaire au bon fonctionnement et agrave la bonne utilisation des systegravemes
atteint son objectif en
bull deacuteveloppant la documentation de transfert des connaissances et en la rendant disponible bull communiquant en direction des utilisateurs et des directions des meacutetiers du personnel en charge du
support et de la production et en les formant bull produisant des supports de formation
et est mesureacute par
bull le nombre dapplications ougrave des proceacutedures informatiseacutees sont inteacutegreacutees progressivement dans les processus meacutetiers
bull le pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents de support
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
bull le nombre dapplications pour lesquelles les utilisateurs et les agents du support beacuteneacuteficient dune formation adeacutequate
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 85
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
OBJECTIFS DE CONTROcircLE
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI41 Planification pour rendre les solutions exploitables Deacutevelopper un plan pour identifier et documenter tous les aspects techniques drsquoexploitation et drsquoutilisation de faccedilon agrave ce que tous ceux qui doivent exploiter utiliser et maintenir les solutions automatiseacutees puissent exercer leurs responsabiliteacutes
AI42 Transfert de connaissances aux meacutetiers Transfeacuterer les connaissances aux responsables des meacutetiers pour permettre agrave cette population drsquoassumer la proprieacuteteacute des systegravemes et des donneacutees et drsquoexercer la responsabiliteacute de la livraison de services et de la qualiteacute du controcircle interne et de lrsquoadministration des applications
AI43 Transfert de connaissances aux utilisateurs finaux Transfeacuterer les connaissances et le savoir-faire aux utilisateurs finaux pour leur permettre drsquoutiliser les applications avec efficaciteacute et efficience au beacuteneacutefice des processus meacutetiers
AI44 Transfert de connaissances aux eacutequipes drsquoexploitation et de support Transfeacuterer les connaissances et le savoir-faire aux eacutequipes drsquoexploitation et de support technique pour leur permettre de travailler de fournir lrsquoassistance et drsquoassurer la maintenance du systegraveme et de lrsquoinfrastructure associeacutee avec efficaciteacute et efficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 86
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
Service formation
Equipe de deacuteploiem
ent
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
GUIDE DE MANAGEMENT
AI4 Faciliter le fonctionnement et lrsquoutilisation
De Entreacutees PO10 Principes geacuteneacuteraux gestion de projets et plans
projets deacutetailleacutes AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2 Connaissance de lrsquoapplication et de la suite logicielle
AI3 Connaissance de lrsquoinfrastructure
AI7 Erreurs connues et accepteacutees
DS7 Mises agrave jour de la documentation requise
Sorties Vers Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 DS4 DS8 DS9 DS11 DS13
Exigences de transfert de connaissances pour la mise en place dune solution
DS7
Supports de formation DS7
Deacutevelopper une strateacutegie pour rendre la solution exploitable A A R R I R C
Deacutevelopper une meacutethodologie de transfert de connaissances C A C R
Deacutevelopper des manuels de proceacutedure pour les utilisateurs finaux AR R C C
Deacutevelopper de la documentation de support technique pour le personnel de lrsquoexploitation et du support AR C C
Deacutevelopper et fournir la formation A A R R
Eacutevaluer les reacutesultats de la formation et ameacuteliorer la documentation lorsque crsquoest neacutecessaire A A R R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Equipe
dedeacuteploiem
ent
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Inteacutegrer progressivement des solutions informatiques aux processus meacutetiers bull Reacuteduire le nombre de deacutefauts et de remise en chantier de la fourniture de solutions et de services
deacutefinit deacutefinit
bull Deacutevelopper la documentation de transfert des connaissances et la rendre disponible bull Communiquer en direction des utilisateurs et des directions meacutetiers du personnel du support et du personnel drsquoexploitation et les former bull Produire des supports de formation
induit
induit
Meacutetriq
ues
bull Nb dapplications ougrave des proceacutedures informatiseacutees ont eacuteteacute progressivement inteacutegreacutees aux processus meacutetiers bull Pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents drsquoassistance
bull Nb drsquoincidents causeacutes par une documentation et une formation utilisateur et drsquoexploitation deacuteficientes bull Nb de seacuteances de formation faites par le service de support bull Indices de satisfaction concernant la formation et la documentation des proceacutedures utilisateurs et drsquoexploitation bull Coucirct reacuteduit de production et de maintenance de la documentation utilisateur des proceacutedures drsquoexploitation et des supports de formation
bull Taux de participation des utilisateurs et des exploitants aux formations pour chaque application bull Deacutelai entre les changements et les mises agrave jour de la formation des manuels de proceacutedure et de la documentation bull Disponibiliteacute exhaustiviteacute et exactitude de la documentation des utilisateurs et des exploitants bull Nb drsquoapplications qui beacuteneacuteficient de formationssupport destineacutes aux utilisateurs et aux exploitants
Processus
bull Fournir des manuels utilisateurs et drsquoexploitation et des supports de formation efficaces pour les applications et les solutions techniques bull Transfeacuterer les connaissances neacutecessaires au succegraves de lrsquoexploitation du systegraveme
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 87
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
MODEgraveLE DE MATURITEacute
AI4 Faciliter le fonctionnement et lrsquoutilisation
La gestion du processus Faciliter le fonctionnement et lrsquoutilisation qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers est
0 Inexistante quand
Il nexiste pas de processus de production de la documentation utilisateurs des manuels dexploitation ni des supports de formation Les seuls documents existants sont ceux qui sont fournis avec les produits acheteacutes
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute de documenter les processus On produit certaines documentations et on les distribue irreacuteguliegraverement agrave des groupes limiteacutes Une grande partie de la documentation et de nombreuses proceacutedures sont peacuterimeacutees Les supports de formation ont tendance agrave ecirctre agrave usage unique et leur qualiteacute est inconstante Il nrsquoy a pratiquement aucune inteacutegration des proceacutedures dans les diffeacuterents services systegravemes et meacutetiers Les services meacutetiers ne sont pas impliqueacutes dans la conception des programmes de formation
2 Reproductible mais intuitive quand
On utilise des approches similaires pour produire des proceacutedures et de la documentation mais sans srsquoappuyer sur un reacutefeacuterentiel ou sur une meacutethodologie Les approches du deacuteveloppement des proceacutedures utilisateur ou drsquoexploitation ne sont pas uniformiseacutees Les supports de formation sont faits par des individus ou par des eacutequipes de projet et la qualiteacute deacutepend des personnes impliqueacutees Les proceacutedures et la qualiteacute du support aux utilisateurs varient de meacutediocres agrave tregraves bonnes lensemble eacutetant inconstant et le niveau dinteacutegration dans lrsquoentreprise tregraves faible On fournit ou on encourage les programmes de formation pour les utilisateurs et les meacutetiers mais il nrsquoexiste pas de plan geacuteneacuteral de fourniture ou de deacuteploiement de formations
3 Deacutefinie quand
Il existe un cadre clairement deacutefini accepteacute et compris pour ce qui concerne la documentation utilisateurs les manuels dexploitation et les supports de formation Les proceacutedures sont stockeacutees et mises agrave jour dans une bibliothegraveque officielle et sont accessibles par tous ceux qui en ont besoin La documentation et les proceacutedures sont corrigeacutees en fonction des besoins Il existe des versions de sauvegarde des proceacutedures que lon peut mettre agrave jour et auxquelles on peut acceacuteder en cas de sinistre Il existe un processus qui speacutecifie que les mises agrave jour des proceacutedures et des supports de formation font partie des livrables dun projet de changement Malgreacute lexistence dapproches deacutefinies le contenu reacuteel varie parce quon ne controcircle pas la conformiteacute avec les standards Les utilisateurs sont impliqueacutes dans le processus de maniegravere informelle On automatise de plus en plus la geacuteneacuteration et la distribution des proceacutedures La formation des utilisateurs et des meacutetiers est planifieacutee et programmeacutee
4 Geacutereacutee et mesurable quand
Il existe un cadre deacutefini pour la maintenance des proceacutedures et les supports de formation qui a le soutien du management de lrsquoinformatique Lrsquoapproche adopteacutee pour la maintenance des proceacutedures et pour les manuels de formation concerne tous les systegravemes et toutes les services si bien qursquoon peut consideacuterer les processus dans une perspective meacutetier Les manuels de proceacutedures et les supports de formation sont inteacutegreacutes de faccedilon agrave inclure les eacuteleacutements communs et les interfaces Il existe des controcircles pour sassurer quon applique les standards et quon deacuteveloppe des proceacutedures quon assure leur maintenance pour tous les processus On collecte les informations en provenance des utilisateurs et des meacutetiers et on les eacutevalue comme eacuteleacutements drsquoun processus drsquoameacutelioration continue La documentation et les supports de formation ont en geacuteneacuteral un bon niveau de fiabiliteacute et de disponibiliteacute On a mis en place un nouveau processus dutilisation de la documentation et de gestion des proceacutedures informatiseacutees Le deacuteveloppement de proceacutedures informatiseacutees est de plus en plus inteacutegreacute au deacuteveloppement dapplications ce qui ameacuteliore la coheacuterence et facilite laccegraves des utilisateurs La formation des meacutetiers et des utilisateurs srsquoadapte aux besoins des meacutetiers Le management de lrsquoinformatique eacutelabore des outils pour mesurer le deacuteveloppement et la fourniture de documentation de supports et de programmes de formation
5 Optimiseacutee quand
Le processus de documentation destineacutee aux utilisateurs et exploitants sameacuteliore constamment gracircce agrave ladoption de nouveaux outils et de nouvelles meacutethodes La documentation des proceacutedures et les supports de formation sont traiteacutes comme une base de connaissances en constante eacutevolution qui est tenue agrave jour au moyen des outils de gestion des connaissances de workflow et de diffusion les plus modernes ce qui en facilite laccessibiliteacute et la maintenance La documentation et les supports de formation sont mis agrave jour pour tenir compte des changements dans lrsquoentreprise dans lrsquoexploitation et dans les logiciels Le deacuteveloppement de documentation et de supports de formation ainsi que la fourniture de programmes de formation sont pleinement inteacutegreacutes aux meacutetiers et aux deacutefinitions des processus meacutetiers satisfaisant ainsi aux exigences geacuteneacuterales de lrsquoentreprise et non plus seulement aux proceacutedures informatiseacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 88
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
S P SAcqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
DESCRIPTION DU PROCESSUS
AI5 Acqueacuterir des ressources informatiques
On a besoin drsquoacqueacuterir des ressources informatiques Elles comprennent les personnes le mateacuteriel le logiciel et les services Cela exige de deacutefinir et drsquoappliquer des proceacutedures de recrutement et drsquoachat la seacutelection des fournisseurs lrsquoeacutetablissement drsquoarrangements contractuels et lrsquoacte lui-mecircme de se procurer ces ressources Crsquoest ainsi qursquoon peut assurer agrave lrsquoentreprise toutes les ressources informatiques requises au bon moment et au meilleur coucirct
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
S P S Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des ressources informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
en se concentrant sur
le recrutement et la conservation des compeacutetences informatiques qui correspondent agrave la strateacutegie de fourniture de services lrsquoacquisition drsquoune infrastructure informatique inteacutegreacutee et standardiseacutee et la reacuteduction des risques lieacutes aux achats informatiques
atteint son objectif en
bull se faisant conseiller sur les aspects juridiques et contractuels bull deacutefinissant des proceacutedures et des standards drsquoachat bull se procurant les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
et est mesureacute par
bull le nombre de contestations lieacutees aux contrats drsquoachat bull la reacuteduction des coucircts drsquoachat bull le pourcentage des parties prenantes cleacutes satisfaites des fournisseurs
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 89
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
OBJECTIFS DE CONTROcircLE
AI5 Acqueacuterir des ressources informatiques
AI51 Controcircle des achats Deacutevelopper et suivre un ensemble de proceacutedures et de standards conformes au processus geacuteneacuteral et agrave la strateacutegie drsquoacquisition de lrsquoentreprise pour acheter lrsquoinfrastructure informatique les installations les mateacuteriels logiciels et services dont les meacutetiers ont besoin
AI52 Gestion des contrats fournisseurs Mettre en place pour tous les fournisseurs une proceacutedure pour eacutetablir modifier et mettre un terme aux contrats Cette proceacutedure doit recouvrir au minimum les responsabiliteacutes leacutegales financiegraveres et civiles ainsi que celles qui sont lieacutees agrave la documentation agrave la performance agrave la seacutecuriteacute agrave la proprieacuteteacute intellectuelle et agrave la reacutesiliation (y compris les clauses peacutenales) Tous les contrats doivent ecirctre examineacutes par des conseillers juridiques ainsi que toutes les modifications
AI53 Choix des fournisseurs Choisir les fournisseurs selon une pratique loyale et formelle pour garantir la meilleure adaptation durable aux exigences formuleacutees Ces exigences doivent ecirctre optimiseacutees en fonction de propositions de fournisseurs potentiels
AI54 Acquisition de ressources informatiques Veiller agrave la protection et au respect des inteacuterecircts de lrsquoentreprise dans tous les accords contractuels drsquoacquisition en incluant les droits et obligations de toutes les parties dans les clauses contractuelles drsquoacquisition de logiciels de ressources de deacuteveloppement drsquoinfrastructures et de services
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 90
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
GUIDE DE MANAGEMENT
AI5 Acqueacuterir des ressources informatiques
De Entreacutees PO1 Strateacutegie drsquoachats informatiques PO8 Standards drsquoacquisition
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2shy3 Deacutecisions drsquoacquisition
DS2 Catalogue fournisseurs
Sorties Vers Exigences gestion des relations avec les tiers DS2 Articles acheteacutes AI7 Accords contractuels DS2
Deacutevelopper des politiques et des proceacutedures drsquoacquisition informatique conformes aux politiques drsquoacquisition de lrsquoentreprise
I C A I I I R C
Eacutetablirtenir agrave jour une liste de fournisseurs accreacutediteacutes AR
Eacutevaluer et seacutelectionner les fournisseurs selon un processus de demande de proposition (devis) C C A R R R R C
Reacutediger des contrats qui protegravegent les inteacuterecircts de lrsquoentreprise R C A R R R C
Respecter les proceacutedures drsquoacquisition eacutetablies A R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Acqueacuterir des applications informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Ameacuteliorer des infrastructures informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Se procurer et conserver les compeacutetences informatiques neacutecessaires agrave la mise en oeuvre de la strateacutegie informatique
deacutefinit
bull Reacuteduire les risques lieacutes aux achats informatiques bull En obtenir pour son argent dans les achats informatiques
deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de contestations lieacutees aux contrats de recrutement ou drsquoacquisition bull Reacuteduction en montant des coucircts drsquoachat bull Pourcentage de principales parties prenantes satisfaites des prestations des fournisseurs
bull Pourcentage drsquoexigences initiales satisfaites par la solution choisie bull Pourcentage drsquoachats conformes aux politiques et proceacutedures drsquoacquisition en cours bull Coucircts reacuteduits des biens ou des services acquis
bull Deacutelai entre la demande de proposition et la signature du contrat ou lrsquoachat bull Nb de demandes de proposition satisfaites par la liste des fournisseurs preacutefeacutereacutes bull Nb de demandes de propositions qui avaient besoin drsquoecirctre ameacutelioreacutees drsquoapregraves les reacuteponses des fournisseurs bull Nb de demandes de propositions qui ont abouti dans les deacutelais bull Nb de changements de fournisseurs pour le mecircme type de biens ou de services fournis bull Nb de reacuteponses aux demandes de proposition
Activiteacutes
bull Se faire conseiller sur les aspects juridiques et contractuels bull Deacutefinir des proceacutedures et des standards de recrutement et drsquoacquisition bull Se procurer les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 91
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
MODEgraveLE DE MATURITEacute
AI5 Acqueacuterir des ressources informatiques
La gestion du processus Acqueacuterir des ressources informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise est
0 Inexistante quand
On nrsquoa pas mis en place un processus deacutefini drsquoacquisition de ressources Lrsquoentreprise ne reconnaicirct pas la neacutecessiteacute de politiques et de proceacutedures claires pour srsquoassurer que toutes les ressources informatiques soient acquises au bon moment et dans de bonnes conditions eacuteconomiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct la neacutecessiteacute drsquoavoir des proceacutedures et des politiques qui lient les acquisitions informatiques au processus geacuteneacuteral drsquoacquisition Les contrats drsquoacquisition de ressources informatiques sont reacutedigeacutes et geacutereacutes par des directeurs de projets et drsquoautres personnes qui exercent leur jugement professionnel au lieu drsquoecirctre le reacutesultat de proceacutedures et de politiques formelles La relation entre les processus de gestion des achats et des contrats de lrsquoentreprise drsquoune part et lrsquoinformatique drsquoautre part nrsquoexiste qursquoau cas par cas Les contrats drsquoachats sont geacutereacutes au moment de la conclusion des projets au lieu de lrsquoecirctre de faccedilon continue
2 Reproductible mais intuitive quand
On est conscient au niveau de lrsquoentreprise du besoin drsquoavoir des politiques et des proceacutedures de base pour les acquisitions informatiques Les politiques et les proceacutedures sont partiellement inteacutegreacutees au processus global drsquoacquisition de lrsquoentreprise Les processus drsquoachats sont essentiellement utiliseacutes pour les projets importants agrave grande visibiliteacute Crsquoest lrsquoexpeacuterience individuelle du gestionnaire de contrats qui permet de deacutefinir les responsabiliteacutes opeacuterationnelles et finales des achats informatiques et de la gestion des contrats On reconnaicirct lrsquoimportance de la gestion des fournisseurs et de la gestion des relations mais elles ne sont mises en œuvre que sur des initiatives individuelles Les processus de passation de contrats sont essentiellement utiliseacutes pour les projets importants ou agrave grande visibiliteacute
3 Deacutefinie quand
Le management met en place des politiques et des proceacutedures pour les achats informatiques Les politiques et les proceacutedures sont inspireacutees par le processus global drsquoacquisition de lrsquoentreprise Les achats informatiques sont largement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Il existe des standards pour lrsquoacquisition de ressources informatiques Les fournisseurs de ressources informatiques sont inteacutegreacutes aux meacutecanismes de gestion de projets de lrsquoentreprise en ce qui concerne la gestion des contrats Le management de lrsquoinformatique communique agrave lrsquoensemble du service le besoin drsquoune bonne gestion des achats et des contrats
4 Geacutereacutee et mesurable quand
Les achats informatiques sont totalement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Les standards drsquoachat des ressources informatiques sont utiliseacutes pour toutes les acquisitions On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On dispose de rapports sur les achats informatiques qui prennent en compte les objectifs des meacutetiers Le management est en geacuteneacuteral au courant des exceptions aux politiques et aux proceacutedures drsquoacquisition informatique La gestion strateacutegique des relations se deacuteveloppe Le management de lrsquoinformatique fait appliquer le processus de gestion de contrats et drsquoacquisitions pour tous les achats en analysant les mesures de performance
5 Optimiseacutee quand
Le management eacutetablit des processus complets pour les achats informatiques et il fournit les ressources neacutecessaires Le management impose la conformiteacute avec les politiques et les proceacutedures pour les acquisitions informatiques On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On a eacutetabli au fil du temps de bonnes relations avec la plupart des fournisseurs et partenaires et on mesure et on surveille la qualiteacute de ces relations Les relations font lrsquoobjet drsquoune gestion strateacutegique Les standards informatiques les politiques et les proceacutedures pour lrsquoacquisition de ressources informatiques sont geacutereacutes de faccedilon strateacutegique et reacuteagissent aux mesures effectueacutees au cours du processus Le management de lrsquoinformatique communique agrave lrsquoensemble du service lrsquoimportance strateacutegique drsquoune bonne gestion des achats et des contrats
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 92
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SPP
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
DESCRIPTION DU PROCESSUS
AI6 Geacuterer les changements
Tous les changements y compris la maintenance et les correctifs drsquourgence concernant lrsquoinfrastructure et les applications de lrsquoenvironnement de production sont geacutereacutes et controcircleacutes de faccedilon formelle Les changements (y compris ceux relatifs aux proceacutedures processus paramegravetres systegravemes et services) sont enregistreacutes dans un fichier eacutevalueacutes et autoriseacutes avant mise en place et confronteacutes aux reacutesultats attendus degraves leur mise en œuvre Cela reacuteduit les risques de conseacutequences neacutegatives pour la stabiliteacute ou lrsquointeacutegriteacute de lrsquoenvironnement de production
Le controcircle du processus informatique
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SPP
Geacuterer les changements
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises
en se concentrant sur
le controcircle de lrsquoeacutevaluation des conseacutequences de lrsquoautorisation et de la mise en place de toutes les modifications de lrsquoinfrastructure informatique des applications et des solutions techniques la reacuteduction des erreurs dues agrave des speacutecifications insuffisantes et lrsquointerruption de modifications non autoriseacutees
atteint son objectif en
bull deacutefinissant et en communiquant les proceacutedures de changement y compris pour les modifications drsquourgence
bull eacutevaluant les changements deacutefinissant leurs prioriteacutes et en les autorisant bull faisant un suivi des changements et en en rendant compte
et est mesureacute par
bull le nombre de perturbations ou de donneacutees erroneacutees provoqueacutees par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
bull un travail suppleacutementaire sur les applications ou sur lrsquoinfrastructure du fait de speacutecifications inadeacutequates des modifications
bull le pourcentage de changements qui suivent le processus formel de controcircle des changements
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 93
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
OBJECTIFS DE CONTROcircLE
AI6 Geacuterer les changements
AI61 Standards et proceacutedures de changement Mettre en place des proceacutedures formelles de gestion des changements pour traiter de faccedilon standardiseacutee toutes les demandes de modifications (y compris maintenance et correctifs) des applications proceacutedures processus paramegravetres systegravemes et services ainsi qursquoaux plates-formes sur lesquelles ils srsquoappuient
AI62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation Eacutevaluer toutes les demandes de changements de faccedilon structureacutee en terme drsquoimpacts sur le systegraveme en exploitation et sur ses fonctionnaliteacutes Srsquoassurer que les changements sont classeacutes par cateacutegorie par prioriteacute et sont autoriseacutes
AI63 Modifications durgence Mettre en place un processus pour deacutefinir reacutealiser tester documenter eacutevaluer et autoriser les modifications drsquourgence qui ne suivent pas le processus de changement eacutetabli
AI64 Suivi et compte-rendu des changements Mettre en place un systegraveme de suivi et de reporting pour documenter les changements refuseacutes et communiquer sur la situation des changements approuveacutes en cours et acheveacutes Srsquoassurer que les changements approuveacutes sont mis en œuvre comme planifieacutes
AI65 Clocircture et documentation des changements A chaque mise en œuvre de changement mettre agrave jour les systegravemes associeacutes la documentation utilisateur et les proceacutedures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 94
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
GUIDE DE MANAGEMENT
AI6 Geacuterer les changements
De Entreacutees PO1 Portefeuille de projets informatiques PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques informatiques
PO10 Principes geacuteneacuteraux de gestion de projets et plans de projets deacutetailleacutes
DS3 Changements demandeacutes
DS5 Changements de seacutecuriteacute demandeacutes
DS8 Demande de servicedemande de changement
DS9shy10 Demande de changement (ougrave et comment faire la modification)
DS10 Historique des problegravemes
Sorties Vers Modifier la description du processus AI1hellipAI3 Modifier le rapport sur le statut SE1 Modifier lrsquoautorisation AI7 DS8 DS10
Deacutevelopper et mettre en place un processus pour enregistrer et eacutevaluer les demandes de changements et les classer par prioriteacutes
A I R C R C C C
Eacutevaluer lrsquoimpact des changements et deacutefinir leur prioriteacute en fonction des besoins des meacutetiers I R AR C R C R C
Srsquoassurer que toute modification drsquourgence ou critique suit le processus approuveacute I I AR I R C
Autoriser les changements I C AR R
Geacuterer et diffuser les informations utiles concernant les modifications A I R C R I R C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Reacuteduire les deacutefauts et les reprises touchant agrave la fourniture de solutions et de services bull Srsquoassurer qursquoun incident ou un changement dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
induit
induit
bull Nombre de reprises dues agrave des speacutecifications inadeacutequates de changements bull Diminution du temps et des efforts neacutecessaires pour effectuer les changements bull Pourcentage du total des changements qui sont des correctifs drsquourgence bull Pourcentage drsquoeacutechec des changements drsquoinfrastructure du fait de speacutecifications de changement inadeacutequates bull Nb de changements non formellement suivis non autoriseacutes ou sans compte-rendu bull Nb de demandes de changements encore non traiteacutees
bull Pourcentage de changements enregistreacutes et suivis par des outils automatiseacutes bull Pourcentage de changements respectant le processus formel de controcircle des changements bull Ratio demandes de changements accepteacuteesrefuseacutees bull Nb de versions diffeacuterentes de chaque application ou infrastructure meacutetiers maintenues bull Nb et type de modifications drsquourgence apporteacutees aux composants de lrsquoinfrastructure bull Nb et type de correctifs apporteacutes aux composants de lrsquoinfrastructure
Processus
bull Appliquer les changements autoriseacutes agrave lrsquoinfrastructure et aux applications informatiques bull Eacutevaluer lrsquoimpact des changements de lrsquoinfrastructure et des applications informatiques ainsi que des solutions techniques bull Suivre le statut des changements et en rendre compte aux parties prenantes cleacutes bull Reacuteduire le nombre drsquoerreurs dues agrave des speacutecifications incomplegravetes dans les demandes
Activiteacutes
bull Deacutefinir et communiquer les proceacutedures de changement y compris les modifications et les correctifs drsquourgence bull Eacutevaluer les changements deacutefinir leurs prioriteacutes et les autoriser bull Programmer les changements bull Faire un suivi des changements et en rendre compte
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de perturbations ou de donneacutees erroneacutees provoqueacutes par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 95
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
MODEgraveLE DE MATURITEacute
AI6 Geacuterer les changements
La gestion du processus Geacuterer les changements qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises est
0 Inexistante quand
Il nexiste pas de processus deacutefini de gestion des changements et les changements peuvent ecirctre faits pratiquement en dehors de tout controcircle On na pas conscience que les changements peuvent perturber le fonctionnement de linformatique et celui de lentreprise et on nest pas conscient non plus des beacuteneacutefices quapporterait une bonne gestion des changements
1 Initialiseacutee au cas par cas quand
On reconnaicirct qursquoil faudrait geacuterer et controcircler les changements Les pratiques varient et il est probable que des changements non autoriseacutes ont lieu La documentation des changements est pauvre ou absente et celle de la configuration est incomplegravete et peu fiable Des erreurs se produisent vraisemblablement ainsi que des interruptions dans lenvironnement de production du fait dune mauvaise gestion des changements
2 Reproductible mais intuitive quand
Il existe un processus informel de gestion des changements et la plupart des changements le suivent Il est cependant mal structureacute rudimentaire et sujet agrave erreurs La documentation de la configuration nest pas preacutecise et avant un changement on se contente dune planification et dune eacutevaluation de limpact limiteacutees
3 Deacutefinie quand
Il existe un processus deacutefini et formel de gestion des changements qui comporte leur reacutepartition par cateacutegories et par prioriteacutes les proceacutedures drsquourgence les autorisations de changements et la gestion de leur diffusion et on srsquoy conforme peu agrave peu On improvise des solutions et les processus sont souvent court-circuiteacutes Des erreurs peuvent toujours se produire et de temps en temps des changements sont pratiqueacutes sans autorisation On commence agrave formaliser lanalyse de limpact des changements informatiques sur les activiteacutes meacutetiers pour soutenir le deacuteploiement programmeacute de nouvelles applications et technologies
4 Geacutereacutee et mesurable quand
Le processus de gestion des changements est bien deacuteveloppeacute et suivi avec constance dans tous les cas Le management est convaincu quil ny a qursquoun minimum dexceptions Le processus est efficace et efficient mais sappuie sur de nombreuses proceacutedures et controcircles manuels pour garantir le niveau de qualiteacute Tous les changements sont assujettis agrave une planification complegravete et agrave une eacutevaluation dimpact de faccedilon agrave minimiser la probabiliteacute de problegravemes apregraves la mise en production On a mis en place un processus dapprobation des changements La documentation de la gestion des changements est bien faite et agrave jour les changements eacutetant formellement suivis de pregraves La documentation de la configuration est en geacuteneacuteral preacutecise La planification et la mise en place de la gestion des changements informatiques sont de plus en plus inteacutegreacutees aux eacutevolutions des processus meacutetiers de maniegravere agrave sassurer que les questions concernant la formation les changements organisationnels et la continuiteacute de lactiviteacute sont bien prises en compte Il y a une coordination accrue entre la gestion des changements informatiques et la redeacutefinition des processus meacutetiers Il existe un processus continu de surveillance de la qualiteacute et de la performance du processus de gestion des changements
5 Optimiseacutee quand
Le processus de gestion des changements est reacuteguliegraverement reacuteviseacute et mis agrave jour pour rester au niveau des bonnes pratiques Le processus de revue est le reflet des reacutesultats de la surveillance Linformation sur la configuration est informatiseacutee et permet de controcircler les diffeacuterentes versions Le suivi des changements est eacutelaboreacute et comporte des outils de deacutetection des logiciels non autoriseacutes etou sans licence La gestion des changements informatiques est inteacutegreacutee agrave la gestion des changements meacutetiers pour srsquoassurer que lrsquoinformatique apporte un plus en productiviteacute et en nouvelles opportuniteacutes meacutetiers pour lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 96
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7 DESCRIPTION DU PROCESSUS
AI7 Installer et valider les solutions et les modifications
Il faut mettre en exploitation les nouveaux systegravemes lorsque la phase de deacuteveloppement est acheveacutee Cela exige drsquoeffectuer les bons tests sur les donneacutees dans un environnement deacutedieacute de deacutefinir les instructions de deacuteploiement et de migration un planning de livraison et la mise en production proprement dite et des revues apregraves mise en place Cela garantit que les systegravemes opeacuterationnels sont en phase avec les attentes et les reacutesultats rechercheacutes
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Installer et valider les solutions et les modifications
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation
en se concentrant sur
la veacuterification que les applications et lrsquoinfrastructure sont approprieacutees agrave lrsquoobjectif proposeacute et libres drsquoerreurs et sur la planification de la mise en production des versions
atteint son objectif en
bull mettant en place une meacutethodologie de tests bull travaillant sur un planning des versions bull faisant eacutevaluer et approuver les reacutesultats de tests par le management bull effectuant des revues apregraves la mise en œuvre
et est mesureacute par
bull le nombre drsquoapplications indisponibles et de correctifs apporteacutes du fait de tests inapproprieacutes
bull le pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull le pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 97
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
OBJECTIFS DE CONTROcircLE
AI7 Installer et valider les solutions et les modifications
AI71 Formation Former le personnel des services utilisateurs concerneacutes et leacutequipe de production informatique conformeacutement au plan de formation deacutefini et aux supports associeacutes cette eacutetape doit faire partie inteacutegrante de tous les projets de deacuteveloppement de mise en place ou de modification des systegravemes dinformation
AI72 Plan de tests Eacutelaborer un plan de tests baseacute sur des standards de lrsquoentreprise deacutefinissant les rocircles les responsabiliteacutes et les critegraveres drsquoentreacutee et de sortie Srsquoassurer que le plan est approuveacute par les parties concerneacutees
AI73 Plan drsquoimpleacutementation Eacutelaborer un plan drsquoimpleacutementation de repli ou de retour en arriegravere Obtenir lrsquoapprobation des parties concerneacutees
AI74 Environnement de tests Deacutefinir et mettre en place un environnement seacutepareacute de tests seacutecuriseacute et repreacutesentatif de lrsquoenvironnement de production preacutevu sur le plan de la seacutecuriteacute des controcircles internes des pratiques drsquoexploitation de la qualiteacute des donneacutees des exigences lieacutees agrave la protection des donneacutees personnelles et de la charge de travail
AI75 Conversion des systegravemes et des donneacutees Planifier la conversion des donneacutees et la migration drsquoinfrastructure comme faisant partie des meacutethodes de deacuteveloppement de lrsquoentreprise et incluant les pistes drsquoaudit les reprises et les retours en arriegravere
AI76 Test des modifications Tester les modifications unitaires conformeacutement au plan de test deacutefini avant la migration dans lrsquoenvironnement drsquoexploitation Srsquoassurer que le plan prend en compte la seacutecuriteacute et la performance
AI77 Tests de recette deacutefinitive Srsquoassurer que les responsables des processus meacutetiers et les parties prenantes de lrsquoinformatique eacutevaluent les reacutesultats du processus de test tel que deacutefini dans le plan de test Corriger les erreurs significatives mises en lumiegravere par le processus de test apregraves avoir acheveacute lrsquoensemble des tests recenseacutes dans le plan de test ainsi que tous les tests de non reacutegression neacutecessaires Apregraves lrsquoeacutevaluation approuver la mise en production
AI78 Mise en production Apregraves les tests controcircler le passage en production du systegraveme modifieacute en veillant agrave ce qursquoil se reacutealise conformeacutement au plan drsquoimpleacutementation Obtenir lrsquoaccord des parties prenantes cleacutes comme les utilisateurs le proprieacutetaire du systegraveme et le management Si crsquoest opportun exploitez pendant un moment lrsquoancien systegraveme parallegravelement au nouveau de faccedilon agrave comparer leur fonctionnement et leurs reacutesultats
AI79 Revue post-impleacutementation Dans le cadre des standards de gestion des changements de lrsquoorganisation eacutelaborer des proceacutedures pour exiger une revue postshyimpleacutementation comme mentionneacutee dans le plan drsquoimpleacutementation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 98
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7
GUIDE DE MANAGEMENT
AI7 Installer et valider les solutions et les modifications
De Entreacutees PO3 Standards technologiques PO4 Documentation sur les proprieacutetaires de systegravemes
PO8 Standards de deacuteveloppement
PO10 Guides de gestion de projets et plans de projets deacutetailleacutes
AI3 Systegraveme configureacute agrave testerinstaller
AI4 Manuels utilisateur drsquoexploitation de support technique et drsquoadministration
AI5 Articles acheteacutes
AI6 Autorisation de changement
Sorties Vers Eacuteleacutements de configuration mis agrave disposition DS8 DS9 Erreurs connues et accepteacutees AI4 Mises en production DS13 Plan de publication et de diffusion de logiciel DS13 Revue postshydeacutemarrage PO2 PO5 PO10
Tableau RACI
Activiteacutes Construire et veacuterifier les plans drsquoimpleacutementation C A I C C R C C
Deacutefinir et veacuterifier une strateacutegie de tests (critegraveres drsquoentreacuteesortie) et une meacutethodologie de programme de tests C A C C C R C C
Constituer un dossier de reacutefeacuterence des exigences meacutetiers et techniques le tenir agrave jour et y joindre des reacutesultats de tests types pour les systegravemes valideacutes
A R
Faire des tests drsquointeacutegration et de conversion systegraveme sur lrsquoenvironnement de tests I I R C C AR I C
Deacuteployer lrsquoenvironnement de tests et conduire les tests de recette deacutefinitive I I R A C AR I C
Recommander le transfert en production selon des critegraveres de validation approuveacutes I R A R C R I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Reacuteduire le nombre de deacutefauts et de tacircches de reacutefection touchant la fourniture de solutions et de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Sassurer dune inteacutegration en douceur des applications aux processus meacutetiers bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de lrsquointeacutegriteacute des donneacutees des nouveaux systegravemes bull Pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull Nb drsquoerreurs trouveacutees agrave loccasion daudits internes ou externes concernant le processus dinstallation et de validation bull Reacutefections apregraves impleacutementation agrave cause de tests de validation inadeacutequats bull Appels au service drsquoassistance dus agrave une formation inadeacutequate bull Indisponibiliteacute des applications et correctifs apporteacutes du fait de tests inapproprieacutes
bull Degreacute dimplication des parties prenantes dans le processus dinstallation et de validation bull Pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute bull Nb de leccedilons tireacutees de la revue post-impleacutementation bull Nb drsquoerreurs deacutecouvertes lors de la revue dassurance qualiteacute des fonctions dinstallation et de validation bull Nb de modifications non avaliseacutees par le management avant impleacutementation
Processus
bull Veacuterifier et confirmer que les applications et les solutions technologiques sont adapteacutees au but rechercheacute bull Publier et deacuteployer de faccedilon approprieacutee les applications et les solutions informatiques bull Preacuteparer les utilisateurs meacutetiers et lrsquoexploitation agrave utiliser les applications et les solutions informatiques bull Srsquoassurer que les nouvelles applications meacutetiers et les modifications aux applications existantes sont libres drsquoerreurs
Activiteacutes
bull Constituer une meacutethodologie de tests qui garantisse des tests drsquoacceptation suffisants avant la mise en production bull Faire un suivi des modifications de tous les eacuteleacutements de configuration bull Travailler sur un planning de mise agrave disposition de versions bull Effectuer des revues post-impleacutementation bull Faire eacutevaluer et approuver les reacutesultats de tests par le management des meacutetiersdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 99
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
MODEgraveLE DE MATURITEacute
AI7 Installer et valider les solutions et les modifications
La gestion du processus Installer et valider les solutions et les modifications qui reacutepond agrave lexigence des meacutetiers mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation est
0 Inexistante quand Il ny a aucun processus formel dinstallation et de validation et ni la direction geacuteneacuterale ni les informaticiens ne reconnaissent le besoin de veacuterifier que les solutions correspondent aux objectifs preacutevus
1 Initialiseacutee au cas par cas quand On est conscient du besoin de veacuterifier et de confirmer que les solutions permettent datteindre les objectifs fixeacutes Certains projets sont soumis agrave des tests mais linitiative des tests est laisseacutee individuellement agrave chaque eacutequipe de projet et les approches sont diffeacuterentes La validation formelle et le visa opeacuterationnel sont rares ou inexistants
2 Reproductible mais intuitive quand Les approches de tests et de validation ont une certaine coheacuterence mais elles ne sont baseacutees sur aucune meacutethode Les eacutequipes de deacuteveloppement deacutecident en geacuteneacuteral individuellement de la faccedilon de faire les tests et il ny a habituellement pas de systegraveme de tests dinteacutegration Le processus drsquoapprobation existe mais il est informel
3 Deacutefinie quand On a mis en place une meacutethodologie formelle pour linstallation la migration la conversion et lacceptation Les processus dinstallation et de validation sont inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes en partie La formation les tests le passage en production et la validation peuvent diffeacuterer du processus deacutefini en fonction de deacutecisions individuelles La qualiteacute des systegravemes qui entrent en production est variable les nouveaux systegravemes pouvant souvent geacuteneacuterer un nombre significatif de problegravemes suite agrave leur mise en place
4 Geacutereacutee et mesurable quand Les proceacutedures sont formaliseacutees et deacuteveloppeacutees pour ecirctre bien organiseacutees et pratiques les environnements de tests et les proceacutedures de validation sont bien deacutefinis Dans la pratique toutes les modifications majeures apporteacutees aux systegravemes suivent cette approche formaliseacutee On a standardiseacute leacutevaluation des reacutesultats permettant de savoir si les exigences des utilisateurs sont satisfaites et on est capable de fournir des mesures qui peuvent effectivement ecirctre eacutetudieacutees et analyseacutees par le management La qualiteacute des systegravemes entrant en production satisfait le management et le nombre dincidents post-impleacutementation reste raisonnable Lautomatisation des processus se fait au cas par cas en fonction des projets Le management peut ecirctre satisfait du niveau drsquoefficaciteacute malgreacute lrsquoabsence drsquoeacutevaluation post-impleacutementation Le systegraveme de tests reflegravete bien les conditions reacuteelles On fait subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes pour les projets les plus importants
5 Optimiseacutee quand Les processus dinstallation et de validation ont atteint le niveau des bonnes pratiques du fait dameacuteliorations et perfectionnements continuels Ces processus sont pleinement inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes lorsque cest une bonne solution ce qui donne la meilleure efficaciteacute agrave la formation aux tests et au passage en production des nouveaux systegravemes Des environnements de tests bien deacuteveloppeacutes des releveacutes danomalies et des processus de correction de problegravemes assurent une transition efficace et performante vers lenvironnement de production La validation nrsquoimplique en geacuteneacuteral pas de reacutefections et les problegravemes post-impleacutementation sont habituellement limiteacutes agrave des corrections mineures Les revues post-impleacutementation sont elles aussi standardiseacutees et les enseignements qursquoon en tire sont en geacuteneacuteral dirigeacutes vers le processus pour assurer une ameacutelioration permanente de la qualiteacute On fait systeacutematiquement subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 100
DEacuteLIVRER ET SUPPORTER
DS1 Deacutefinir et geacuterer les niveaux de services DS2 Geacuterer les services tiers DS3 Geacuterer la performance et la capaciteacute DS4 Assurer un service continu DS5 Assurer la seacutecuriteacute des systegravemes DS6 Identifier et imputer les coucircts DS7 Instruire et former les utilisateurs DS8 Geacuterer le service drsquoassistance client et les incidents DS9 Geacuterer la configuration DS10 Geacuterer les problegravemes DS11 Geacuterer les donneacutees DS12 Geacuterer lrsquoenvironnement physique DS13 Geacuterer lrsquoexploitation
DEacute
LIV
RE
R E
T
SUPP
OR
TE
R
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
DESCRIPTION DU PROCESSUS
DS1 Deacutefinir et geacuterer les niveaux de services
Une communication efficace entre les responsables informatiques et les clients meacutetiers agrave propos des services demandeacutes est faciliteacutee par des accords sur les services informatiques et sur les niveaux de services et par leur deacutefinition et leur documentation Ce processus inclut aussi la surveillance et le compte-rendu en temps utile aux parties prenantes du respect des niveaux de services convenus Il permet lrsquoalignement entre les services informatiques et les exigences des meacutetiers qui srsquoy rapportent
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Le controcircle du processus informatique
Deacutefinir et geacuterer des niveaux de services
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers
en se concentrant sur
lrsquoidentification des exigences de service lrsquoaccord sur les niveaux de services et la surveillance du respect des niveaux de services convenus
atteint son objectif en
bull formalisant les accords internes et externes en tenant compte des exigences et des capaciteacutes de fourniture
bull rendant compte des niveaux de services atteints (rapports et reacuteunions) bull identifiant et en communiquant les nouvelles exigences de services et leur eacutevolution agrave la
planification strateacutegique
et est mesureacute par
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
bull le pourcentage de parties prenantes meacutetiers satisfaites de voir les fournitures de services atteindre les niveaux convenus
bull le nombre de services livreacutes qui ne sont pas reacutepertorieacutes bull le nombre annuel de reacuteunions avec les clients meacutetiers destineacutees agrave la reacutevision formelle des
contrats de services
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 101
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
OBJECTIFS DE CONTROcircLE
DS1 Deacutefinir et geacuterer les niveaux de services
DS11 Reacutefeacuterentiel pour la gestion des niveaux de services Deacutefinir un cadre de reacutefeacuterence qui propose un processus formaliseacute de gestion des niveaux de services entre les clients et les fournisseurs Ce cadre veille agrave lrsquoalignement continu avec les exigences des meacutetiers et avec les prioriteacutes pour faciliter une compreacutehension commune entre clients et fournisseur(s) Il comporte des processus de reacutecolte des exigences en matiegravere de services des deacutefinitions des services des contrats de services des contrats de niveau opeacuterationnel et des sources de financement Ces eacuteleacutements sont reacutepertorieacutes dans un catalogue de services Le reacutefeacuterentiel deacutefinit lrsquoorganisation de la gestion de niveau de service srsquointeacuteresse aux rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes et des clients
DS12 Deacutefinition des services Fonder les deacutefinitions des services informatiques sur les caracteacuteristiques des services et des exigences des meacutetiers Srsquoassurer qursquoils sont structureacutes et reacutepertorieacutes dans un catalogueportefeuille de services centraliseacute
DS13 Contrats ou conventions de services (CS) Deacutefinir et accepter les contratsconventions de services pour tous les services informatiques critiques en se fondant sur les besoins du client et les capaciteacutes de lrsquoinformatique Cela recouvre les engagements du client les besoins drsquoassistance les meacutetriques qualitatives et quantitatives pour mesurer le service contresigneacute par les parties prenantes les sources de financement et le cas eacutecheacuteant les accords commerciaux et les rocircles et responsabiliteacutes y compris la supervision des conventions de services Les principaux points agrave prendre en compte sont la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance le niveau drsquoassistance la planification de la continuiteacute les contraintes de seacutecuriteacute et de reacuteclamation
DS14 Contrats drsquoexploitation (CE) Deacutefinir des contrats drsquoexploitation expliquant comment les services seront techniquement fournis pour appuyer le mieux possible les conventions de services Les contrats drsquoexploitation doivent preacuteciser ce que sont les processus techniques en termes compreacutehensibles par le fournisseur et peuvent concerner plusieurs conventions de services
DS15 Surveillance et comptes-rendus des niveaux de services atteints Surveiller en continu les critegraveres de performance des niveaux de services La preacutesentation des comptes-rendus doit permettre aux parties prenantes de bien comprendre les niveaux de services atteints Les statistiques de surveillance doivent ecirctre analyseacutees et on y reacuteagit pour mettre en eacutevidence les tendances positives et neacutegatives de chaque service mais aussi globalement de lrsquoensemble des services
DS16 Revue des conventions de services et des contrats Faire une revue reacuteguliegravere des conventions de services et des contrats qui les accompagnent avec les fournisseurs de services internes et externes pour srsquoassurer qursquoelles sont efficaces agrave jour et qursquoon a pris en compte les modifications des exigences
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 102
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
GUIDE DE MANAGEMENT
DS1 Deacutefinir et geacuterer les niveaux de services
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de projets informatiques
PO2 Classifications attribueacutees aux donneacutees
PO5 Portefeuille actualiseacute des services informatiques
AI2 CS initialement preacutevus
AI3 CE initialement preacutevus
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
SE1 Entreacutee de la performance dans le planning informatique
Sorties Vers Rapport de revue des contrats DS2 Rapports sur la performance des processus SE1 Exigences de service nouvellesmodifieacutees PO1 CS AI1 DS2 DS3 DS4 DS6 DS8 DS13 CE DS4 DS5 DS6 DS7 DS8 DS11 DS13 Portefeuille actualiseacute des services informatiques PO1
Tableau RACI
Activiteacutes Creacuteer un reacutefeacuterentiel pour deacutefinir les services informatiques C A C C I C C I C R
Elaborer un catalogue des services informatiques I A C C I C C I I R
Deacutefinir les conventions de services pour les services informatiques critiques I I C C R I R R C C AR
Deacutefinir les contrats dexploitation pour atteindre les niveaux de services convenus I C R I R R C C AR
Surveiller la performance des services du deacutebut agrave la fin et rendre compte I I R I I I AR
Faire une revue des conventions de services et des contrats qui les supportent I I C R R R C AR
Faire une revuemise agrave jour du catalogue des services informatiques I A C C I C C I I R
Creacuteer un plan drsquoameacutelioration des services I A I R I R C C I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Chefde
service
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes meacutetiers satisfaites de voir les services fournis atteindre les niveaux convenus bull Pourcentage drsquoutilisateurs satisfaits de voir les services fournis atteindre les niveaux convenus
bull Nb de services fournis qui ne sont pas reacutepertorieacutes bull Pourcentage de services qui atteignent les niveaux convenus bull Pourcentage de niveaux services mesureacutes
bull Nb annuel de reacuteunions avec les meacutetiers pour la reacutevision formelle des conventions de services bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus automatiseacutes bull Nb de jours de travail passeacutes agrave ajuster un niveau de service apregraves accord avec le client
Processus
bull Eacutetablir un accord commun sur le niveau de service exigeacute bull Formaliser et surveiller les conventions de services et les critegraveres de performances bull Aligner les services fournis sur les niveaux convenus bull Creacuteer un catalogue de services agrave jour et aligneacute sur les objectifs des meacutetiers
Activiteacutes
bull Deacutefinir les services bull Formaliser les contrats internes et externes en accord avec les exigences et les capaciteacutes de fourniture bull Rendre compte des niveaux de services atteints (rapports et reacuteunions) bull Veacuterifier que la preacutesentation des comptes-rendus est adapteacutee au public viseacute bull Faire remonter les nouvelles exigences de services et les mises agrave jour agrave la planification strateacutegique
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 103
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
MODEgraveLE DE MATURITEacute
DS1 Deacutefinir et geacuterer les niveaux de services
La gestion du processus Deacutefinir et geacuterer les niveaux de services qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers est
0 Inexistante quand
Le management na pas ressenti le besoin de mettre en place un processus pour deacutefinir les niveaux de services Les responsabiliteacutes opeacuterationnelles et finales de leur surveillance ne sont pas attribueacutees
1 Initialiseacutee au cas par cas quand
On a pris conscience du besoin de geacuterer les niveaux de services mais le processus est informel et deacutepend des circonstances Les responsabiliteacutes opeacuterationnelle et finale de deacutefinition et de gestion des services ne sont pas attribueacutees Lorsque les mesures des performances existent elles sont qualitatives seulement et leurs buts ne sont pas clairement deacutefinis Les comptes-rendus sont informels peu freacutequents et peu meacutethodiques
2 Reproductible mais intuitive quand
Il existe des conventions de services mais elles ne sont ni formaliseacutees ni reacuteviseacutees Les comptes-rendus de niveaux de services sont incomplets et parfois non pertinents ou susceptibles drsquoinduire le client en erreur Les comptes-rendus sur les niveaux de services deacutependent des compeacutetences et des initiatives individuelles de responsables On a engageacute un coordinateur de niveaux de services et on lui a attribueacute des responsabiliteacutes deacutefinies mais une autoriteacute insuffisante Srsquoil existe un processus de conformiteacute aux conventions de services il deacutepend de bonnes volonteacutes individuelles
3 Deacutefinie quand
Les responsabiliteacutes sont bien deacutefinies mais elles ne sont pas exerceacutees avec meacutethode Le processus de deacuteveloppement des conventions de services est en place et il y a des controcircles programmeacutes pour reacuteeacutevaluer les niveaux de services et la satisfaction des clients Les services et les niveaux de services sont deacutefinis documenteacutes ils font lrsquoobjet de conventions et utilisent un processus standard Les insuffisances des niveaux de services sont identifieacutees mais les proceacutedures pour y remeacutedier sont informelles Le lien entre les niveaux de services attendus et le financement est clairement eacutetabli On srsquoest mis drsquoaccord sur les niveaux de services mais ils ne correspondent pas toujours aux exigences des meacutetiers
4 Geacutereacutee et mesurable quand
Les niveaux de services sont de plus en plus deacutefinis au cours de la phase de deacutefinition des exigences systegraveme et inteacutegreacutes dans la conception des environnements des applications et drsquoexploitation On mesure et on eacutevalue la satisfaction des clients de faccedilon reacuteguliegravere Les mesures de performance correspondent davantage aux besoins du client qursquoaux objectifs informatiques Les mesures drsquoeacutevaluation des niveaux de services se standardisent et correspondent aux normes de la profession Les critegraveres pour deacutefinir les niveaux de services sont baseacutes sur ce qui est critique pour les meacutetiers et recouvrent la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance lassistance aux utilisateurs la planification de la continuiteacute et les consideacuterations de seacutecuriteacute On pratique lanalyse causale lorsque les niveaux de services ne correspondent pas aux attentes Le systegraveme de comptes-rendus du suivi de niveaux de services sautomatise de plus en plus On a deacutefini et bien compris les risques financiers et opeacuterationnels lieacutes agrave des services qui natteignent pas les niveaux convenus On a formaliseacute un systegraveme de meacutetriques et on lrsquoactualise
5 Optimiseacutee quand
Les niveaux de services sont reacuteeacutevalueacutes en continu pour assurer lrsquoalignement des objectifs informatiques et meacutetiers ils tirent profit de lrsquoinformatique y compris du ratio coucirctsbeacuteneacutefices Tous les processus de niveaux de services font lrsquoobjet dameacuteliorations continues On surveille et on gegravere les niveaux de satisfaction clients Les niveaux de services convenus reflegravetent les objectifs strateacutegiques des uniteacutes meacutetiers et on les eacutevalue selon les normes de la profession Les responsables informatiques ont les ressources et la marge drsquoinitiatives voulues pour atteindre les objectifs de niveaux de services et le management beacuteneacuteficie de primes lorsque ces objectifs sont atteints La direction geacuteneacuterale surveille les meacutetriques de performance selon un processus drsquoameacutelioration continu
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 104
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Geacuterer les services tiers DS2
DESCRIPTION DU PROCESSUS
DS2 Geacuterer les services tiers
Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des meacutetiers impose un processus de gestion des services tiers Ce processus exige de deacutefinir clairement les rocircles responsabiliteacutes et les attentes dans les contrats avec des tiers et aussi drsquoeffectuer des revues et une surveillance de lrsquoefficaciteacute et de la conformiteacute de tels contrats Une gestion efficace des services fournis par des tiers minimise les risques meacutetiers lieacutes agrave des fournisseurs non performants
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Acqueacuterir et Impleacutementer
Planifier et Organiser
Le controcircle du processus informatique
Geacuterer les services tiers
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Surveiller et Evaluer
fournir des services tiers satisfaisants qui permettent une transparence sur les beacuteneacutefices coucircts et risques
en se concentrant sur
lrsquoinstauration de relations et de responsabiliteacutes bilateacuterales avec des tiers fournisseurs de services et sur la surveillance de la fourniture des services pour veacuterifier et garantir le respect des clauses contractuelles
atteint son objectif en
bull identifiant et en reacutepartissant les fournisseurs de services par cateacutegorie bull identifiant et en reacuteduisant le plus possible les risques fournisseurs bull surveillant et en mesurant leurs performances
et est mesureacute par
bull le nombre de plaintes utilisateurs dues aux services tiers bull le pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de
services clairement deacutefinis bull le pourcentage de fournisseurs principaux objets drsquoune surveillance
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 105
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
OBJECTIFS DE CONTROcircLE
DS2 Geacuterer les services tiers
DS21 Identification des relations avec tous les fournisseurs Identifier tous les services fournisseurs et les reacutepartir en cateacutegorie selon leur type importance et niveau critique Tenir agrave jour une documentation formelle des relations organisationnelles et techniques en preacutecisant les rocircles et responsabiliteacutes les objectifs les livrables attendus et les accreacuteditations des repreacutesentants de ces fournisseurs
DS22 Gestion des relations fournisseurs Formaliser le processus de gestion des relations fournisseurs pour chacun drsquoentre eux Les proprieacutetaires de relations doivent intervenir sur les questions qui concernent la relation clientsfournisseurs et garantir la qualiteacute de relations baseacutees sur la confiance et la transparence (par ex au moyen de conventions de services)
DS23 Gestion du risque fournisseurs Identifier et reacuteduire les risques lieacutes agrave lrsquoaptitude des fournisseurs agrave fournir de maniegravere continue des services efficaces sucircrs et efficients Srsquoassurer que les contrats se conforment aux standards universels de la profession en conformiteacute avec les exigences leacutegales et reacuteglementaires La gestion des risques doit par ailleurs prendre en compte les clauses de confidentialiteacute les contrats de mise sous seacutequestre la viabiliteacute du fournisseur (continuiteacute) la conformiteacute aux exigences de seacutecuriteacute les solutions alternatives en fourniture les peacutenaliteacutesreacutecompenses etc
DS24 Surveillance des performances fournisseurs Eacutetablir un processus de surveillance de la fourniture de services pour srsquoassurer que le fournisseur respecte les exigences des meacutetiers en cours et qursquoil continue agrave se conformer aux clauses de son contrat et agrave celles du contrat de service et que ses performances sont concurrentielles par rapport aux autres fournisseurs et aux conditions du marcheacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 106
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les services tiers DS2
GUIDE DE MANAGEMENT
DS2 Geacuterer les services tiers
De Entreacutees
PO1 Strateacutegie de fourniture informatique
PO8 Standards drsquoacquisition
AI5 Clauses contractuelles exigences de la gestion des relations avec les tiers
DS1 Compteshyrendu de revue de contrats conventions de services
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
Sorties Vers Rapports sur la performance des processus SE1 Catalogue fournisseurs AI5 Risques fournisseurs PO9
Identifier et cataloguer les relations avec les services tiers I C R C R AR C C
Deacutefinir et documenter les processus de gestion des fournisseurs C A I R I R R C C
Eacutetablir des politiques et des proceacutedures drsquoeacutevaluation et de seacutelection des fournisseurs C A C C C R C C
Identifier eacutevaluer et reacuteduire le plus possible les risques fournisseurs I A R R R C C
Surveiller la fourniture de services des fournisseurs R A R R R C C
Eacutevaluer les objectifs agrave long terme de la relation avec des services tiers pour toutes les parties prenantes C C C AR C C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les fournisseurs tiers bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer de la transparence et de la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques
induit
induit
bull Pourcentage de fournisseurs principaux qui satisfont des exigences et des niveaux de services clairement deacutefinis bull Nb de litiges aveacutereacutes avec les fournisseurs bull Pourcentage de factures fournisseurs contesteacutees
bull Pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de services clairement deacutefinis bull Pourcentage de fournisseurs principaux objets drsquoun suivi bull Niveau de satisfaction des meacutetiers de lrsquoefficaciteacute de la communication du fournisseur bull Niveau de satisfaction du fournisseur de lrsquoefficaciteacute de la communication meacutetiers bull Nb drsquoincidents significatifs concernant la non conformiteacute fournisseurs par peacuteriode de temps deacutefinie
Processus
bull Eacutetablir des relations et des responsabiliteacutes bilateacuterales avec des fournisseurs de services tiers qualifieacutes bull Surveiller la fourniture des services et veacuterifier le respect des clauses contractuelles bull Srsquoassurer que le fournisseur se conforme aux normes internes et externes applicables bull Entretenir la motivation du fournisseur agrave poursuivre la relation
Activiteacutes
bull Identifier et reacutepartir les fournisseurs de services par cateacutegories bull Identifier et reacuteduire le plus possible les risques fournisseurs bull Surveiller et mesurer leurs performances
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de plaintes utilisateurs dues aux services tiers bull Pourcentage de deacutepenses drsquoachats qui reacutesultent drsquoune mise en concurrence des fournisseurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 107
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
MODEgraveLE DE MATURITEacute
DS2 Geacuterer les services tiers
La gestion du processus Geacuterer les services tiers qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique fournir des services tiers satisfaisants qui permettent une transparence des beacuteneacutefices des coucircts et des risques est
0 Inexistante quand
On na pas deacutefini qui est responsable de quoi et devant qui (responsabiliteacutes opeacuterationnelles et finales) Il ny a ni proceacutedures ni politiques formelles concernant la passation de contrats avec des tiers Le management ne veacuterifie ni nagreacutee les services tiers Les tiers ne reacutealisent pas de mesures de leurs activiteacutes ni ne fournissent de rapports En labsence dobligations contractuelles de rendre compte la direction geacuteneacuterale nest pas en mesure de connaicirctre la qualiteacute des services fournis
1 Initialiseacutee au cas par cas quand
Le management est conscient du besoin davoir des politiques et des proceacutedures documenteacutees pour la fourniture de services par des tiers y compris davoir des contrats signeacutes Il ny a pas de conditions contractuelles standard pour les fournisseurs de services La mesure du service fourni est informelle et se fait au cas par cas Les pratiques deacutependent de lexpeacuterience individuelle et de celle du fournisseur (par ex fourniture agrave la demande)
2 Reproductible mais intuitive quand
Le processus de surveillance des fournisseurs de services tiers des risques associeacutes et de la fourniture de services reste informel On signe des contrats pro forma dans les termes et conditions du fournisseur (ex description des services agrave fournir) On dispose de rapports sur les services fournis mais ils ne correspondent pas aux objectifs des meacutetiers
3 Deacutefinie quand
On a mis en place des proceacutedures bien documenteacutees pour piloter la fourniture de services par des tiers avec des processus clairs pour deacutefinir des exigences et neacutegocier avec les fournisseurs Lorsqursquoon a signeacute un contrat de services la relation avec le tiers devient purement contractuelle La nature des services agrave fournir est deacutetailleacutee dans les contrats et elle inclut les exigences juridiques opeacuterationnelles et de controcircle On a attribueacute agrave quelqursquoun la responsabiliteacute de la surveillance de la fourniture de services par des tiers Les clauses contractuelles sont emprunteacutees agrave des modegraveles standardiseacutes On eacutevalue les risques meacutetiers lieacutes aux services tiers et on les consigne dans des rapports
4 Geacutereacutee et mesurable quand
On a eacutetabli des critegraveres formels et standardiseacutes pour deacutefinir les clauses contractuelles comme leacutetendue du travail les serviceslivrables agrave fournir les hypothegraveses les eacutecheacuteanciers les coucircts les conditions de facturation et les responsabiliteacutes On a nommeacute un responsable de la gestion des contrats et des fournisseurs On veacuterifie en continu les qualifications les risques et les capaciteacutes des fournisseurs On deacutefinit les exigences de services en liaison avec les objectifs des meacutetiers Il existe un processus de veacuterification de la performance des services fournis par rapport aux termes du contrat qui fournit des donneacutees pour eacutevaluer les services tiers actuels et futurs On utilise des modegraveles de prix de transfert dans le processus dachat Toutes les parties impliqueacutees sont conscientes des attentes en ce qui concerne les services les coucircts et les principaux jalons On a mis en place drsquoun commun accord des objectifs et des meacutetriques pour la supervision des fournisseurs de services
5 Optimiseacutee quand
On fait une revue des contrats signeacutes avec des tiers selon une freacutequence preacutedeacutefinie On a nommeacute un responsable de la gestion des fournisseurs et de la qualiteacute des services fournis On surveille que les contrats respectent les dispositions de conformiteacute opeacuterationnelle juridique et de controcircle et on impose les corrections neacutecessaires Le tiers est soumis agrave des revues indeacutependantes peacuteriodiques et on obtient des retours drsquoinformation sur la performance utiliseacutes pour ameacuteliorer la fourniture de services Les mesures choisies varient en fonction des changements des conditions dexercice de lactiviteacute Les meacutetriques permettent de deacutetecter rapidement les problegravemes qui peuvent se poser avec des services tiers Leacutetablissement de rapports deacutefinis et complets sur les niveaux de services est lieacute agrave la reacutetribution du tiers Le management ajuste le processus drsquoacquisition et de surveillance de services tiers drsquoapregraves les reacutesultats des indicateurs de mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 108
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P S
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
DESCRIPTION DU PROCESSUS
DS3 Geacuterer la performance et la capaciteacute
La bonne gestion des performances et des capaciteacutes des ressources informatiques exige qursquoun processus les passe reacuteguliegraverement en revue Ce processus comporte la preacutevision des besoins futurs en fonction des exigences de charge de travail de stockage et des impreacutevus Ce processus assure que les ressources informatiques qui appuient les exigences des meacutetiers sont constamment disponibles
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la performance et la capaciteacute
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers
en se concentrant sur
le respect du temps de reacuteponse preacutevu dans les conventions de services la reacuteduction des peacuteriodes drsquoindisponibiliteacute et lrsquoameacutelioration continue des performances et des capaciteacutes informatiques gracircce agrave la surveillance et aux mesures
atteint son objectif en
bull planifiant la capaciteacute et la disponibiliteacute des systegravemes et en y subvenant bull surveillant les performances systegravemes et en en rendant compte bull modeacutelisant et en preacutevoyant les performances systegravemes
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquoune planification insuffisante des capaciteacutes
bull le pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull le pourcentage des temps de reacuteponse preacutevus dans les conventions qui sont deacutepasseacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 109
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
OBJECTIFS DE CONTROcircLE
DS3 Geacuterer la performance et la capaciteacute
DS31 Planification de la performance et de la capaciteacute Eacutetablir un processus de planification pour la revue des performances et des capaciteacutes des ressources informatiques pour garantir que des capaciteacutes et des performances sont disponibles agrave des coucircts justifieacutes pour traiter les charges de travail convenues et deacutetermineacutees par les conventions de niveaux de services Les plans de capaciteacute et de performance doivent mobiliser les techniques de modeacutelisation approprieacutees pour proposer un modegravele de performance de capaciteacute et de deacutebit actuels et preacutevus des ressources informatiques
DS32 Performance et capaciteacute actuelles Eacutevaluer les performances et les capaciteacutes des ressources informatiques pour deacuteterminer si elles sont suffisantes pour satisfaire aux conventions de services signeacutees
DS33 Performance et capaciteacute futures Faire agrave intervalles reacuteguliers des preacutevisions de performance et de capaciteacute des ressources informatiques pour reacuteduire le risque drsquointerruption de service agrave cause de la deacutegradation de leurs performances et de lrsquoinsuffisance de leurs capaciteacutes Relever les excegraves de capaciteacute pour un eacuteventuel redeacuteploiement Relever les tendances de la charge de travail et deacuteterminer les preacutevisions agrave inclure dans les plans de performance et de capaciteacute
DS34 Disponibiliteacute des ressources informatiques Fournir les capaciteacutes et les performances requises en prenant en compte des caracteacuteristiques comme les charges de travail normales les impreacutevus les exigences de stockage et les cycles de vie des ressources informatiques Il faut preacutevoir des dispositions telles qursquoun classement des tacircches par prioriteacute des machines agrave toleacuterance de pannes et des allocations de ressources Le management doit srsquoassurer que les plans drsquourgence peuvent correctement faire face agrave des problegravemes de disponibiliteacute de capaciteacute et de performance des ressources informatiques individuelles
DS35 Surveillance et comptes-rendus Surveiller en continu les performances et les capaciteacutes des ressources informatiques Les donneacutees recueillies doivent servir agrave deux objectifs bull Maintenir et ajuster les performances actuelles de lrsquoinformatique et traiter des questions comme la reacutesilience les impreacutevus les charges de
travail actuelles et futures les plans drsquoarchivage et lrsquoacquisition de ressources bull Rendre compte de la disponibiliteacute des services livreacutes aux meacutetiers comme le preacutevoient les conventions de services Assortir tous les rapports drsquoincidents de recommandations pour les reacutesoudre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 110
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
GUIDE DE MANAGEMENT
DS3 Geacuterer la performance et la capaciteacute
De Entreacutees
AI2 Speacutecifications de disponibiliteacute continuiteacute et reacutecupeacuteration
AI3 Exigences de surveillance des systegravemes
DS1 CS
Sorties Vers Information sur la performance et la capaciteacute PO2 PO3 Plan de performance et capaciteacute (exigences) PO5 AI1 AI3 SE1 Changements requis AI6 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Mettre en place un processus pour planifier les revues de performance et de capaciteacute des ressources informatiques
A R C C C C
Reacuteviser les performances et les capaciteacutes actuelles des ressources informatiques C I AR C C C
Faire des preacutevisions de performance et de capaciteacute des ressources informatiques C C AR C C C C
Faire des analyses drsquoeacutecarts pour identifier les insuffisances des ressources informatiques C I AR R C C I
Faire un plan drsquourgence pour les indisponibiliteacutes potentielles des ressources informatiques C I AR C C I C
Surveiller en continu et rendre compte de la disponibiliteacute de la performance et de la capaciteacute des ressources informatiques
I I AR I I I I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Nb drsquoheures perdues par mois par les utilisateurs du fait drsquoun planning insuffisant des capaciteacutes bull Nb de processus critiques pour lentreprise qui ne sont pas associeacutes agrave un plan deacutefini de disponibiliteacute de service
bull Pics de charge de travail et taux globaux drsquoutilisation bull Pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull Pourcentage de temps de reacuteponse preacutevus dans les conventions de services qui sont deacutepasseacutes bull Taux drsquoeacutechec des traitements
bull Freacutequence des preacutevisions de performance et de capaciteacute bull Pourcentage drsquoactifs inclus dans les revues de capaciteacute bull Pourcentage drsquoactifs surveilleacutes par des outils centraliseacutes
Processus
bull Surveiller et mesurer les pics de charge de travail et les temps de reacuteponse des traitements bull Atteindre les temps de reacuteponse requis dans les conventions de services bull Reacuteduire le nombre drsquoeacutechecs de traitements bull Reacuteduire le temps drsquoindisponibiliteacute bull Optimiser lrsquoutilisation des ressources informatiques
Activiteacutes
bull Planifier la capaciteacute et la disponibiliteacute des systegravemes et y subvenir bull Surveiller les performances systegravemes et en rendre compte bull Modeacuteliser et preacutevoir les performances systegravemes
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 111
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
MODEgraveLE DE MATURITEacute
DS3 Geacuterer la performance et la capaciteacute
La gestion du processus Geacuterer la performance et la capaciteacute qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers est
0 Inexistante quand
Le management ne reacutealise pas que les processus cleacutes de lentreprise peuvent exiger de lrsquoinformatique de hauts niveaux de performance ou que les besoins globaux de lentreprise en services informatiques peuvent exceacuteder la capaciteacute de linfrastructure existante Il ny a pas de processus de planification de la capaciteacute
1 Initialiseacutee au cas par cas quand
Les utilisateurs conccediloivent des solutions de contournement pour reacutepondre aux contraintes de puissance et de capaciteacute Les besoins de planification de la capaciteacute et de la performance sont mal appreacutecieacutes par les proprieacutetaires des processus meacutetiers Les initiatives pour geacuterer la performance et la capaciteacute sont typiquement provoqueacutees par une situation particuliegravere Le processus de planification de la capaciteacute et de la performance est informel On a une connaissance limiteacutee des capaciteacutes et des performances des ressources informatiques actuelles et des besoins futurs
2 Reproductible mais intuitive quand
Le management des meacutetiers et de lrsquoinformatique est conscient des conseacutequences de labsence de gestion de la performance et de la capaciteacute On dispose en geacuteneacuteral des niveaux de performance neacutecessaires gracircce agrave leacutevaluation faite sur des systegravemes individuels et aux connaissances des eacutequipes dassistance et de projets Certains outils individuels peuvent ecirctre utiliseacutes pour diagnostiquer les problegravemes de performance et de capaciteacute mais la coheacuterence des reacutesultats deacutepend de lexpertise dindividus cleacutes Il ny a pas deacutevaluation globale du niveau de performance possible des SI ou danticipation de situations de deacutepassement ou de crise Des problegravemes de disponibiliteacute se produiront vraisemblablement de faccedilon inattendue et aleacuteatoire ce qui fera perdre beaucoup de temps en diagnostic et en correction Toute mesure de performance se base drsquoabord sur les besoins de lrsquoinformatique et non sur ceux du client
3 Deacutefinie quand
Les exigences de performance et de capaciteacute sont deacutefinies pour la dureacutee du cycle de vie du systegraveme On a deacutefini des exigences de niveaux de services et les meacutetriques qui peuvent ecirctre utiliseacutees pour mesurer la performance opeacuterationnelle On a modeacuteliseacute les exigences futures de performance et de capaciteacute selon un processus deacutefini On produit des rapports sur les statistiques de performance Il y a toujours une probabiliteacute drsquoanomalies lieacutees agrave la performance et agrave la capaciteacute dont la correction prendra du temps Malgreacute les niveaux de services publieacutes les utilisateurs et les clients peuvent ecirctre parfois sceptiques sur la capaciteacute de service
4 Geacutereacutee et mesurable quand
On dispose de processus et drsquooutils pour mesurer lrsquoutilisation la performance et la capaciteacute des systegravemes et on compare les reacutesultats aux objectifs deacutefinis On dispose aussi dinformations agrave jour qui donnent des statistiques normaliseacutees sur la performance et qui alertent sur des incidents provoqueacutes par des performances ou des capaciteacutes insuffisantes On utilise des proceacutedures deacutefinies et standardiseacutees pour traiter les insuffisances de performance ou les problegravemes de capaciteacute On utilise des outils automatiseacutes pour surveiller des ressources speacutecifiques comme lrsquoespace disque les reacuteseaux les serveurs et les passerelles reacuteseau Les statistiques de performance et de capaciteacute font lrsquoobjet de comptes-rendus en termes de processus meacutetiers de faccedilon agrave ce que les utilisateurs et les clients comprennent les niveaux de services informatiques Les utilisateurs se disent en geacuteneacuteral satisfaits de la capaciteacute de service offerte et sont susceptibles drsquoexiger de nouveaux ou de meilleurs niveaux de disponibiliteacute On srsquoest mis drsquoaccord sur des meacutetriques pour eacutevaluer la performance et la capaciteacute des SI mais il est possible qursquoon ne les utilise que sporadiquement et sans meacutethode
5 Optimiseacutee quand
Les plans de performance et de capaciteacute sont tout agrave fait synchroniseacutes avec les preacutevisions drsquoexigences des meacutetiers Linfrastructure technologique et les exigences des meacutetiers sont sujettes agrave des revues reacuteguliegraveres pour sassurer quon atteint la capaciteacute optimale au meilleur prix On a standardiseacute et on utilise sur les diffeacuterentes plates-formes les outils de surveillance des ressources informatiques critiques et on les a inteacutegreacutes au systegraveme de gestion des incidents de lentreprise Des outils de surveillance deacutetectent et peuvent automatiquement corriger des problegravemes de performance et de capaciteacute Lrsquoanalyse des tendances fait apparaicirctre les baisses imminentes de performance causeacutees par une augmentation des volumes dactiviteacute ce qui permet de sorganiser et deacuteviter les impreacutevus Les meacutetriques drsquoeacutevaluation de la performance et de la capaciteacute des SI sont bien ajusteacutees en termes de mesures de reacutesultat et drsquoindicateurs de performance pour tous les processus meacutetiers critiques et elles fournissent des mesures en continu Le management ajuste la planification de la performance et de la capaciteacute en fonction de lrsquoanalyse de ces mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 112
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P S P
Deacutelivrer et Supporter Assurer un service continu DS4
DESCRIPTION DU PROCESSUS
DS4 Assurer un service continu
Le besoin drsquoassurer la continuiteacute des services informatiques exige de deacutevelopper de maintenir et de tester des plans de continuiteacute des SI drsquoutiliser des capaciteacutes de stockage de sauvegardes hors site et drsquoassurer une formation peacuteriodique au plan de continuiteacute Un processus de service continu efficace reacuteduit les risques et les conseacutequences drsquoune interruption majeure des services informatiques aux fonctions et processus meacutetiers cleacutes
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S P
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Le controcircle du processus informatique
Assurer un service continu
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers
en se concentrant sur
donner une capaciteacute de reacutesistance aux solutions automatiseacutees et deacutevelopper tenir agrave jour et tester les plans de continuiteacute des SI
atteint son objectif en
bull deacuteveloppant et en actualisantameacuteliorant les plans de secours des SI bull srsquoexerccedilant sur les plans de secours des SI et en les testant bull stockant hors site des copies des plans de secours et des donneacutees
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquointerruptions impreacutevues bull le nombre de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte
par le plan de continuiteacute des SI
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 113
Deacutelivrer et Supporter DS4 Assurer un service continu
OBJECTIFS DE CONTROcircLE
DS4 Assurer un service continu
DS41 Reacutefeacuterentiel de continuiteacute informatique Deacutevelopper un cadre de reacutefeacuterence de la continuiteacute informatique pour assister la gestion de la continuiteacute des activiteacutes meacutetiers dans lrsquoensemble de lrsquoentreprise selon un processus coheacuterent Lrsquoobjectif de ce cadre de reacutefeacuterence doit aider agrave deacuteterminer la reacutesilience requise de lrsquoinfrastructure et inciter au deacuteveloppement drsquoun plan de secours informatique Il doit prendre en compte la structure de gestion de la continuiteacute de lrsquoentreprise couvrir les rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes leur management et leurs clients et les processus drsquoeacutelaboration des regravegles et des structures pour documenter tester et mettre en œuvre les plans de reprise et de secours informatique Ce plan doit aussi traiter des questions comme lrsquoidentification des ressources critiques des interdeacutependances cleacutes la surveillance et les comptes-rendus sur la disponibiliteacute des ressources critiques les traitements alternatifs et les principes de sauvegarde et de restauration
DS42 Plans de continuiteacute informatique En se basant sur le reacutefeacuterentiel deacutevelopper des plans de continuiteacute des SI destineacutes agrave reacuteduire les conseacutequences drsquoune perturbation majeure des fonctions et processus meacutetiers cleacutes Les plans doivent tenir compte drsquoune eacutevaluation du risque en termes drsquoimpacts potentiels pour les meacutetiers et doivent traiter des exigences de reacutesilience des traitements alternatifs et des capaciteacutes de restauration pour tous les services informatiques critiques Ils doivent aussi prendre en compte les guides de mise en oeuvre les rocircles et responsabiliteacutes les proceacutedures les processus de communication et les modaliteacutes de tests
DS43 Ressources informatiques critiques Concentrer lrsquoattention sur les eacuteleacutements consideacutereacutes comme les plus vitaux dans le plan de continuiteacute des SI pour en renforcer la capaciteacute de reacutesilience et eacutetablir les prioriteacutes lorsqursquoon est dans une situation de reprise Eacuteviter de perdre du temps agrave reacutecupeacuterer les eacuteleacutements les moins importants et tenir compte des prioriteacutes des besoins meacutetiers pour la reacuteaction et la reprise srsquoassurer aussi que les coucircts restent agrave un niveau acceptable et se conformer aux exigences reacuteglementaires et contractuelles Prendre en compte les exigences de dureacutee en matiegravere de reacutesilience reacuteactiviteacute et reprise pour diffeacuterents laps de temps par ex 1 agrave 2 heures 4 agrave 24 heures plus de 24 heures et les peacuteriodes critiques drsquoexploitation des meacutetiers
DS44 Maintenance du plan de continuiteacute des SI Encourager la direction informatique agrave deacutefinir et agrave mettre en œuvre des proceacutedures de controcircle des modifications pour sassurer que le plan de continuiteacute des SI est maintenu agrave jour et reflegravete en continu les veacuteritables exigences meacutetiers Communiquer clairement et en temps opportun les modifications de proceacutedures et de responsabiliteacutes
DS45 Tests du plan de continuiteacute des SI Tester reacuteguliegraverement le plan de continuiteacute des SI pour srsquoassurer qursquoon peut restaurer efficacement les systegravemes informatiques qursquoon traite les anomalies et que le plan reste pertinent Cela exige de faire une preacuteparation minutieuse de documenter les tests de rendre compte des reacutesultats et de mettre en place un plan drsquoaction en fonction de ces reacutesultats Envisager drsquoeacutetendre les tests de restauration drsquoapplications individuelles agrave des sceacutenarios de tests inteacutegreacutes agrave des tests exhaustifs et agrave lrsquointeacutegration de tests fournisseurs
DS46 Formation au plan de continuiteacute des SI Assurer pour toutes les parties concerneacutees des sessions de formation peacuteriodiques sur les proceacutedures et sur leurs rocircles et responsabiliteacutes en cas dincident ou de sinistre Veacuterifier et ameacuteliorer la formation en fonction des reacutesultats des tests de situations drsquourgence
DS47 Diffusion du plan de continuiteacute des SI Veacuterifier ou faire en sorte qursquoil existe une strateacutegie de diffusion deacutefinie et geacutereacutee pour srsquoassurer que tous les plans sont distribueacutes de faccedilon sucircre et qursquoils sont disponibles pour les parties ducircment autoriseacutees et inteacuteresseacutees agrave lrsquoendroit et au moment ougrave elles en ont besoin Bien veacuterifier que les plans soient accessibles selon tous les sceacutenarios de sinistres
DS48 Reprise et redeacutemarrage des services informatiques Preacutevoir les actions agrave entreprendre pendant la peacuteriode de reprise et de redeacutemarrage des services informatiques Cela peut concerner lrsquoactivation de sites de secours le lancement de traitements alternatifs la communication en direction des parties prenantes et des clients les proceacutedures de redeacutemarrage etc Srsquoassurer que les meacutetiers comprennent les deacutelais de restauration et les investissements informatiques neacutecessaires pour faire face aux besoins de reprise et de redeacutemarrage des meacutetiers
DS49 Stockage de sauvegardes hors site Stocker hors site tous les supports de sauvegarde critiques la documentation et les autres ressources informatiques neacutecessaires agrave la reprise des SI et aux plans de continuiteacute meacutetiers Le contenu de ce stockage de sauvegarde doit ecirctre deacutetermineacute par une collaboration entre les proprieacutetaires des processus meacutetiers et le personnel informatique Les responsables de lrsquoinstallation de stockage hors site doivent srsquoaligner sur la politique de classification des donneacutees et sur les pratiques de stockage des supports de lrsquoentreprise La direction informatique doit sassurer que les eacutequipements hors site sont eacutevalueacutes peacuteriodiquement au moins annuellement en ce qui concerne leur contenu leur protection vis-agrave-vis de lenvironnement et leur seacutecuriteacute Srsquoassurer que la compatibiliteacute des mateacuteriels et de logiciels permet de restaurer les donneacutees archiveacutees et tester et rafraicircchir peacuteriodiquement les archives
DS410 Revue apregraves redeacutemarrage Veacuterifier si la direction informatique a mis en place des proceacutedures pour eacutevaluer ladeacutequation du plan de reprise de lrsquoinformatique dans de bonnes conditions apregraves un sinistre et mettre agrave jour le plan en conseacutequence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 114
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer un service continu DS4
GUIDE DE MANAGEMENT
DS4 Assurer un service continu
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI2 Speacutecifications de disponibiliteacute continuiteacute et reprise
AI4 Manuels utilisateur drsquoassistance technique et drsquoadministration
DS1 CS et CE
Sorties Vers Reacutesultats des tests de secours PO9 Eleacutements de configuration informatique critiques DS9 Plan de stockage et de protection hors site DS11 DS13 Seuils incidentssinistres DS8 Exigences de service en cas de sinistres y compris rocircles et responsabiliteacutes
DS1 DS2
Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Deacutevelopper un reacutefeacuterentiel de continuiteacute des SI C C A C R R R C C R
Reacutealiser des analyses drsquoimpact et des eacutevaluations des risques au niveau des meacutetiers C C C C AR C C C C C
Deacutevelopper et maintenir les plans de continuiteacute des SI I C C C I AR C C C C
Identifier et reacutepartir par cateacutegories les ressources informatiques en fonction des objectifs de reprise C AR C I C I
Deacutefinir et mettre en œuvre des proceacutedures de controcircle des changements pour srsquoassurer que le plan de continuiteacute des SI est agrave jour
I AR R R R I
Tester reacuteguliegraverement le plan de continuiteacute des SI I I AR C C I I
Eacutelaborer un plan drsquoactions agrave entreprendre agrave la suite des reacutesultats des tests C I AR C R R R I
Planifier et mettre en œuvre la formation agrave la continuiteacute des SI I R AR C R I I
Planifier la reprise et le redeacutemarrage des services informatiques I I C C AR C R R R C
Planifier et mettre en place le stockage et la protection des sauvegardes I AR C C I I
Eacutelaborer des proceacutedures pour conduire des revues apregraves reprise C I AR C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
induit
induit
bull Pourcentage de conventions de services disponibles satisfaites bull Nb de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte par le plan de continuiteacute des SI bull Pourcentage de tests qui atteignent les objectifs de secours bull Freacutequence des interruptions de services des systegravemes critiques
bull Deacutelai entre les tests de tout eacuteleacutement du plan de continuiteacute des SI bull Nombre annuel drsquoheures de formation sur la continuiteacute des SI suivies par employeacute informatique concerneacute bull Pourcentage de composants dinfrastructures critiques dont la disponibiliteacute est surveilleacutee automatiquement bull Freacutequence des revues du plan de continuiteacute des SI
Meacutetriq
ues
bull Nb drsquoheures mensuelles perdues par utilisateur du fait drsquointerruptions impreacutevues
Processus
bull Eacutetablir un plan de continuiteacute des SI qui srsquoappuie sur les plans de continuiteacute des meacutetiers bull Deacutevelopper des plans de continuiteacute des SI testeacutes et tenus agrave jour qui puissent ecirctre mis en œuvre bull Reacuteduire le plus possible la probabiliteacute drsquointerruption des services informatiques
Activiteacutes
bull Deacutevelopper et maintenir (ameacuteliorer) les plans de secours informatiques bull Srsquoexercer sur les plans de secours informatiques et les tester bull Stocker hors site des copies des plans de secours et des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 115
Deacutelivrer et Supporter DS4 Assurer un service continu
MODEgraveLE DE MATURITEacute
DS4 Assurer un service continu
La gestion du processus Assurer un service continu qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers est
0 Inexistante quand
On na pas conscience des risques ni des menaces qui pegravesent sur lrsquoinformatique de ses points vulneacuterables ni de lrsquoimpact drsquoune perte de services informatiques sur les meacutetiers On ne considegravere pas que la continuiteacute des services doive mobiliser lattention du management
1 Initialiseacute au cas par cas quand
Les responsabiliteacutes pour assurer un service continu sont informelles et lrsquoautoriteacute pour exercer ces responsabiliteacutes est limiteacutee Le management commence agrave prendre conscience du besoin dune continuiteacute des services et des risques lieacutes au manque de continuiteacute Lrsquoattention que precircte le management agrave la continuiteacute se porte davantage sur les ressources de lrsquoinfrastructure que sur les services informatiques Les utilisateurs mettent en place des solutions de contournement lorsque le service srsquointerrompt Les reacuteponses de lrsquoinformatique aux interruptions majeures de continuiteacute deacutependent des circonstances et ne sont pas preacutepareacutees On programme des interruptions de services en fonction des besoins de linformatique mais elles ne tiennent pas compte des exigences des meacutetiers
2 Reproductible mais intuitive quand
On a nommeacute des responsables de la continuiteacute des services Les approches du problegraveme sont fragmentaires Les rapports sur la disponibiliteacute des systegravemes sont sporadiques eacuteventuellement incomplets et ne prennent pas en compte limpact sur les meacutetiers Il nexiste pas de plans de continuiteacute des SI documenteacutes bien quil y ait un engagement agrave assurer un service continu et quon en connaisse les principes essentiels Un inventaire des systegravemes et des composants critiques existe mais il nrsquoest pas toujours fiable On voit eacutemerger des pratiques de service continu mais leur succegraves repose sur certaines personnes
3 Deacutefinie quand
Il nrsquoy a pas drsquoambiguiumlteacute sur la responsabiliteacute finale de la gestion de la continuiteacute On a clairement deacutefini et attribueacute les responsabiliteacutes opeacuterationnelles de la planification et des tests de continuiteacute des services Les plans de continuiteacute des SI sont documenteacutes et axeacutes sur les points vitaux des systegravemes et sur lrsquoimpact pour les meacutetiers Les tests de continuiteacute de services donnent lieu agrave des rapports reacuteguliers Certaines personnes prennent lrsquoinitiative de suivre les normes et de recevoir une formation pour affronter des incidents majeurs ou des sinistres Le management communique constamment sur la neacutecessiteacute drsquoun plan de continuiteacute des services On utilise des composants de haute disponibiliteacute et des systegravemes redondants On tient agrave jour un inventaire des systegravemes et composants les plus vitaux
4 Geacutereacutee et mesurable quand
On impose les responsabiliteacutes et les standards du service continu Les responsables de la maintenance du plan de continuiteacute sont deacutesigneacutes Les activiteacutes de maintenance se basent sur les reacutesultats des tests de service continu sur les bonnes pratiques internes et sur les eacutevolutions de lrsquoenvironnement informatique et meacutetiers On recueille dans une base structureacutee des informations sur la continuiteacute des services on les analyse on eacutelabore des rapports et on agit en conseacutequence Il existe une formation formaliseacutee et obligatoire sur les processus de service continu On deacuteploie systeacutematiquement les bonnes pratiques de disponibiliteacute des systegravemes Les pratiques de redondance et de planification de la continuiteacute des services sinfluencent reacuteciproquement Les incidents de rupture de continuiteacute sont reacutepartis par cateacutegorie et les proceacutedures drsquoescalade graduelles pour y remeacutedier sont bien connues de toutes les personnes concerneacutees On a deacuteveloppeacute et fait adopter des objectifs et des meacutetriques pour la continuiteacute des services mais ils ne sont pas toujours systeacutematiquement mesureacutes
5 Optimiseacutee quand
Les processus inteacutegreacutes de continuiteacute de services tiennent compte des tests comparatifs et des meilleures pratiques externes Le plan de continuiteacute des SI est inteacutegreacute aux plans de continuiteacute des meacutetiers et il est systeacutematiquement tenu agrave jour On sassure aupregraves des vendeurs et des fournisseurs principaux quils respecteront les exigences de continuiteacute des services On pratique des tests globaux du plan de continuiteacute des SI et leurs reacutesultats servent agrave mettre le plan agrave jour On utilise la collecte et lanalyse de donneacutees pour lrsquoameacutelioration continue du processus Les pratiques de disponibiliteacute et de service continu sont complegravetement aligneacutees Le management veacuterifie qursquoun sinistre ou un incident majeur ne se produiront pas du fait drsquoun seul maillon faible On comprend et on applique complegravetement les proceacutedures descalade On eacutevalue systeacutematiquement les objectifs et les meacutetriques qui concernent les reacutesultats du service continu Le management ajuste les plans de continuiteacute des services en fonction du reacutesultat des mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 116
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
DESCRIPTION DU PROCESSUS
DS5 Assurer la seacutecuriteacute des systegravemes
Le besoin de maintenir lrsquointeacutegriteacute de lrsquoinformation et de proteacuteger les actifs informatiques exige un processus de gestion de la seacutecuriteacute Ce processus comporte la mise en place et la maintenance de rocircles et responsabiliteacutes politiques plans et proceacutedures informatiques La gestion de la seacutecuriteacute implique aussi une surveillance de la seacutecuriteacute des tests peacuteriodiques et des actions correctives lors drsquoincidents ou de deacutecouverte de failles dans la seacutecuriteacute Une gestion efficace de la seacutecuriteacute protegravege tous les actifs informatiques pour reacuteduire le plus possible les conseacutequences de vulneacuterabiliteacutes et drsquoincidents de seacutecuriteacute
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S
Le controcircle du processus informatique
Assurer la seacutecuriteacute des systegravemes
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute
en se concentrant sur
la deacutefinition de politiques de proceacutedures et de plans de seacutecuriteacute informatique et la surveillance et la deacutetection des vulneacuterabiliteacutes et des incidents de seacutecuriteacute leur reacutesolution et leur compte-rendu
atteint son objectif en
bull comprenant les exigences les vulneacuterabiliteacutes et les menaces de seacutecuriteacute bull geacuterant les identiteacutes et les autorisations des utilisateurs de faccedilon standardiseacutee bull testant reacuteguliegraverement la seacutecuriteacute
et est mesureacute par
bull le nombre drsquoincidents qui portent atteinte agrave la reacuteputation de lrsquoentreprise bull le nombre de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull le nombre de manquements au principe de seacuteparation des tacircches
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 117
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
OBJECTIFS DE CONTROcircLE
DS5 Assurer la seacutecuriteacute des systegravemes
DS51 Gestion de la seacutecuriteacute informatique Geacuterer la seacutecuriteacute informatique au plus haut niveau approprieacute de lrsquoentreprise de faccedilon agrave ce que la gestion des actions de seacutecuriteacute soit aligneacutee sur les exigences des meacutetiers
DS52 Plan de seacutecuriteacute informatique Traduire les exigences des meacutetiers des risques et de la conformiteacute dans un plan global de seacutecuriteacute informatique tenant compte de lrsquoinfrastructure informatique et de la culture de la seacutecuriteacute Srsquoassurer que le plan se deacutecline en politiques et proceacutedures de seacutecuriteacute assorties des investissements approprieacutes en services personnels logiciels et mateacuteriels Communiquer les politiques et les proceacutedures de seacutecuriteacute aux parties prenantes et aux utilisateurs
DS53 Gestion des identiteacutes Srsquoassurer que tous les utilisateurs (internes externes et temporaires) et leur action sur les systegravemes informatiques (applications meacutetiers environnement informatique exploitation deacuteveloppement et maintenance des systegravemes) sont identifiables sans ambiguiumlteacute Geacuterer les identiteacutes agrave lrsquoaide de systegravemes drsquoauthentification Srsquoassurer que les droits drsquoaccegraves des utilisateurs aux systegravemes et aux donneacutees sont en accord avec des besoins meacutetiers deacutefinis et documenteacutes et que des profils de fonctions sont attacheacutes aux identiteacutes Srsquoassurer que les droits drsquoaccegraves des utilisateurs sont demandeacutes par leur management approuveacutes par le proprieacutetaire du systegraveme et mis en place par la personne responsable de la seacutecuriteacute Tenir agrave jour les identiteacutes et les droits drsquoaccegraves des utilisateurs dans un entrepocirct de donneacutees centraliseacute Deacuteployer et maintenir opeacuterationnelles au meilleur coucirct des techniques et des proceacutedures pour creacuteer lrsquoidentiteacute des utilisateurs mettre en œuvre leur authentification et pour faire respecter les droits drsquoaccegraves
DS54 Gestion des comptes utilisateurs Disposer de proceacutedures de gestion des comptes utilisateurs permettant de traiter les demandes attributions ouvertures suspensions modifications et clocirctures des comptes utilisateurs et des droits associeacutes Y inclure une proceacutedure dapprobation speacutecifiant le nom du proprieacutetaire des donneacutees ou du systegraveme qui attribue les droits daccegraves Ces proceacutedures doivent srsquoappliquer agrave tous les utilisateurs y compris les administrateurs (utilisateurs privileacutegieacutes) les utilisateurs internes et externes dans les circonstances normales ou dans les cas drsquourgence Les droits et obligations relatifs agrave lrsquoaccegraves aux systegravemes et aux donneacutees de lrsquoentreprise doivent faire lrsquoobjet drsquoaccord contractuel avec tous les types drsquoutilisateurs Effectuer une revue reacuteguliegravere de la gestion de tous les comptes et des privilegraveges associeacutes
DS55 Tests de seacutecuriteacute vigilance et surveillance Tester et surveiller de faccedilon proactive la mise en place de la seacutecuriteacute informatique Pour srsquoassurer que la seacutecuriteacute informatique se maintient au niveau convenu il faut revoir et renouveler en temps voulu sa validation Une fonction de surveillance des identifications doit permettre une preacutevention deacutetection rapide suivie drsquoun rapport en temps voulu des activiteacutes inhabituellesanormales qursquoil peut ecirctre neacutecessaire de traiter
DS56 Deacutefinition des incidents de seacutecuriteacute Deacutefinir clairement et communiquer les caracteacuteristiques des incidents de seacutecuriteacute potentiels de faccedilon agrave ce que ceux-ci soient classifieacutes et traiteacutes comme il convient par le processus de gestion des incidents et des problegravemes
DS57 Protection de la technologie de seacutecuriteacute Rendre reacutesistants agrave des tentatives drsquointrusion les composants de seacutecuriteacute et ne pas divulguer la documentation sur la seacutecuriteacute inutilement
DS58 Gestion des clefs de chiffrement Srsquoassurer que sont en place des politiques et des proceacutedures pour geacuterer la geacuteneacuteration la modification la reacutevocation la destruction la distribution la certification le stockage lentreacutee lutilisation et larchivage de cleacutes de chiffrement afin de garantir leur protection contre toute modification ou divulgation non autoriseacutee
DS59 Preacutevention deacutetection et neutralisation des logiciels malveillants Mettre en place des mesures de preacutevention deacutetection et neutralisation (en particulier des correctifs de seacutecuriteacute et des anti-virus agrave jour) dans lrsquoensemble de lrsquoentreprise pour proteacuteger les systegravemes drsquoinformation et la technologie des logiciels malveillants (par ex virus vers logiciels espion pourriels (spams))
DS510 Seacutecuriteacute des reacuteseaux Mettre en œuvre des techniques de seacutecuriteacute et des proceacutedures de gestion associeacutees (ex pare-feux dispositifs de seacutecuriteacute compartimentage reacuteseau deacutetection drsquointrusion) pour autoriser et controcircler les flux drsquoinformations entre reacuteseaux
DS511 Eacutechange de donneacutees sensibles Ne faire circuler les eacutechanges de donneacutees sensibles que sur des circuits sucircrs ou sur des supports doteacutes de controcircles qui garantissent lrsquoauthenticiteacute du contenu et fournissent la preuve de la reacuteception et celle de non-reacutepudiation de la part de lrsquoexpeacutediteur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 118
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
GUIDE DE MANAGEMENT
DS5 Assurer la seacutecuriteacute des systegravemes
De Entreacutees
PO2 Architecture de lrsquoinformation classifications attribueacutees aux donneacutees
PO3 Standards informatiques
PO9 Eacutevaluation des risques
AI2 Speacutecification des controcircles de seacutecuriteacute des applications
DS1 CE
Sorties Vers Deacutefinition des incidents de seacutecuriteacute DS8 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS7
Rapports sur la performance des processus SE1 Modifications de seacutecuriteacute requises AI6 Menaces et vulneacuterabiliteacutes de seacutecuriteacute PO9 Plan et politiques de seacutecuriteacute informatique DS11
Tableau RACI
Activiteacutes Deacutefinir et tenir agrave jour un plan de seacutecuriteacute informatique I C C A C C C C I I R
Deacutefinir mettre en place et appliquer un processus de gestion des identiteacutescomptes utilisateurs I A C R R I C
Surveiller les incidents de seacutecuriteacute aveacutereacutes et potentiels A I R C C R
Reacuteviser et valider peacuteriodiquement les droits drsquoaccegraves et privilegraveges utilisateurs I A C R
Installer et tenir agrave jour des proceacutedures de maintenance et de sauvegarde des cleacutes de chiffrement A R I C
Mettre en place et tenir agrave jour des controcircles techniques et proceacuteduraux pour proteacuteger les flux de donneacutees entre reacuteseaux
A C C R R C
Pratiquer des eacutevaluations reacuteguliegraveres de la vulneacuterabiliteacute I A I C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les donneacutees critiques et confidentielles ne sont pas accessibles agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement bull Proteacuteger tous les actifs informatiques et en ecirctre responsable bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Nb drsquoincidents qui ont un impact meacutetier bull Nb de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull Deacutelai pour attribuer modifier et annuler les privilegraveges drsquoaccegraves
bull Nb et types drsquoaccegraves frauduleux suspecteacutes et aveacutereacutes bull Nb de manquements au principe de seacuteparation des tacircches bull Pourcentage drsquoutilisateurs qui ne se conforment pas aux normes des mots de passe bull Nb et types de codes malveillants bloqueacutes
bull Freacutequence des revues des types drsquoeacuteveacutenements de seacutecuriteacute agrave surveiller bull Nb et type de comptes dormants bull Nb drsquoadresses IP non autoriseacutees de ports et de types de trafic refuseacutes bull Pourcentage de cleacutes de chiffrement compromises et deacutesactiveacutees bull Nb de droits drsquoaccegraves autoriseacutes deacutesactiveacutes reacuteinitialiseacutes ou modifieacutes
Processus
bull Ne permettre lrsquoaccegraves aux donneacutees critiques et sensibles qursquoaux seuls utilisateurs autoriseacutes bull Identifier et surveiller les failles et les incidents de seacutecuriteacute et en rendre compte bull Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications et agrave lrsquoinfrastructure bull Reacuteduire au maximum les conseacutequences des failles identifieacutees et des incidents de seacutecuriteacute
Activiteacutes
bull Comprendre les exigences vulneacuterabiliteacutes et menaces de seacutecuriteacute bull Geacuterer les identiteacutes et les habilitations des utilisateurs de faccedilon standardiseacutee bull Deacutefinir les incidents de seacutecuriteacute bull Tester reacuteguliegraverement la seacutecuriteacute
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 119
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
MODEgraveLE DE MATURITEacute
DS5 Assurer la seacutecuriteacute des systegravemes
La gestion du processus Assurer la seacutecuriteacute des systegravemes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute est
0 Inexistante quand
Lrsquoentreprise ne reconnaicirct pas le besoin de seacutecuriteacute informatique Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute ne sont pas attribueacutees On na pas mis en place de mesures pour geacuterer la seacutecuriteacute informatique Il ny a pas de rapports sur cette question ni de processus pour reacuteagir aux atteintes agrave la seacutecuriteacute informatique Il y a une absence totale de processus reconnaissable dadministration de la seacutecuriteacute des systegravemes
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de seacutecuriteacute informatique La sensibilisation au besoin de seacutecuriteacute est principalement une affaire individuelle On reacuteagit aux circonstances La seacutecuriteacute informatique ne fait pas lrsquoobjet de mesures Chacun deacutesigne quelquun dautre lorsque des atteintes agrave la seacutecuriteacute sont deacutetecteacutees parce que les responsabiliteacutes ne sont pas clairement deacutefinies On ne peut pas preacutevoir quelles reacuteponses seront donneacutees aux incidents de seacutecuriteacute
2 Reproductible mais intuitive quand
Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute des SI sont confieacutees agrave un coordinateur bien que son autoriteacute soit limiteacutee La sensibilisation au besoin de seacutecuriteacute est fragmentaire et limiteacutee Bien que les systegravemes produisent des informations relatives agrave la seacutecuriteacute on ne les analyse pas Les services fournis par des tiers ne reacutepondent pas toujours aux besoins de seacutecuriteacute speacutecifiques de lrsquoentreprise On deacuteveloppe des politiques de seacutecuriteacute mais les compeacutetences et les outils sont inadeacutequats Les rapports sur la seacutecuriteacute sont incomplets trompeurs ou sans pertinence Il existe une formation agrave la seacutecuriteacute mais elle reste avant tout une initiative individuelle La seacutecuriteacute informatique est consideacutereacutee surtout comme de la responsabiliteacute et du domaine de lrsquoinformatique et les meacutetiers ne voient pas qursquoelle fait partie du sien
3 Deacutefinie quand
Le management fait la promotion de la seacutecuriteacute et le personnel commence agrave y ecirctre sensibiliseacute Les proceacutedures de seacutecuriteacute informatique sont deacutefinies et aligneacutees sur la politique de seacutecuriteacute des SI Les responsabiliteacutes dans ce domaine sont attribueacutees et comprises mais pas systeacutematiquement exerceacutees Il existe un plan de seacutecuriteacute des SI et des solutions eacutelaboreacutees agrave partir de lrsquoanalyse des risques Les rapports sur la seacutecuriteacute ne sont pas clairement axeacutes sur les meacutetiers On fait des tests de seacutecuriteacute (ex tests drsquointrusion) au cas par cas La formation agrave la seacutecuriteacute est accessible au personnel informatique et des meacutetiers mais elle nrsquoest geacutereacutee et planifieacutee que de faccedilon informelle
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes de la seacutecuriteacute des SI sont clairement attribueacutees geacutereacutees et exerceacutees On analyse reacuteguliegraverement les risques informatiques et leurs conseacutequences On complegravete les politiques et les proceacutedures de seacutecuriteacute par des principes de base speacutecifiques agrave la seacutecuriteacute On rend obligatoire les meacutethodes pour promouvoir la sensibilisation agrave la seacutecuriteacute On a standardiseacute lidentification des utilisateurs leur authentification et leurs droits daccegraves On poursuit la certification des personnels responsables de lrsquoaudit et de la gestion de la seacutecuriteacute Les tests de seacutecuriteacute utilisent un processus standardiseacute et formaliseacute qui conduit agrave des ameacuteliorations des niveaux de seacutecuriteacute Les processus de seacutecuriteacute des SI sont coordonneacutes avec la fonction de seacutecuriteacute geacuteneacuterale de lentreprise Les rapports sur la seacutecuriteacute informatique sont lieacutes aux objectifs meacutetiers La formation agrave la seacutecuriteacute est suivie agrave la fois par le personnel informatique et par le personnel des meacutetiers La formation agrave la seacutecuriteacute est planifieacutee et geacutereacutee de faccedilon agrave reacutepondre aux besoins des meacutetiers et aux profils de risques deacutefinis pour la seacutecuriteacute On a deacutefini des objectifs et des meacutetriques de gestion de la seacutecuriteacute mais on ne les eacutevalue pas encore
5 Optimiseacutee quand
La seacutecuriteacute des SI est sous la responsabiliteacute conjointe des responsables meacutetiers et informatique et elle fait partie des objectifs de seacutecuriteacute de lentreprise Les exigences de seacutecuriteacute informatique sont clairement deacutefinies optimiseacutees et incluses dans un plan de seacutecuriteacute approuveacute Les utilisateurs et les clients sont de plus en plus responsables de la deacutefinition des exigences de seacutecuriteacute et les fonctions de seacutecuriteacute sont inteacutegreacutees aux applications degraves la conception On traite rapidement les incidents de seacutecuriteacute agrave lrsquoaide de proceacutedures speacutecifiques formaliseacutees qui srsquoappuient sur des outils informatiques Des eacutevaluations peacuteriodiques de la seacutecuriteacute permettent drsquoeacutevaluer le bon fonctionnement du plan de seacutecuriteacute On collecte et on analyse systeacutematiquement les informations sur les menaces et sur les failles de seacutecuriteacute On communique et on met rapidement en place des controcircles adapteacutes pour reacuteduire les risques Lameacutelioration permanente des processus sappuie sur des tests de seacutecuriteacute une analyse causale des incidents de seacutecuriteacute et une identification proactive des risques Les processus et technologies de seacutecuriteacute sont inteacutegreacutes dans lensemble de lentreprise On eacutevalue on recueille les meacutetriques de la gestion de la seacutecuriteacute et on en communique le reacutesultat Le management en utilise les reacutesultats pour adapter le plan de seacutecuriteacute selon un processus drsquoameacutelioration continue
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 120
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
DESCRIPTION DU PROCESSUS
DS6 Identifier et imputer les coucircts
La neacutecessiteacute drsquoun systegraveme loyal et eacutequitable pour affecter les coucircts informatiques aux meacutetiers exige qursquoils soient chiffreacutes avec preacutecision et qursquoun accord soit conclu avec les utilisateurs meacutetiers sur une juste reacutepartition Ce processus comprend lrsquoeacutelaboration et la mise en œuvre drsquoun systegraveme pour calculer et affecter les coucircts informatiques et en rendre compte aux utilisateurs de services Un systegraveme de reacutepartition juste permet aux meacutetiers de prendre des deacutecisions mieux documenteacutees agrave propos de lrsquoutilisation des services informatiques
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Surveiller et Evaluer
Identifier et imputer les coucircts
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques
en se concentrant sur
un recensement complet et preacutecis des coucircts informatiques un systegraveme de reacutepartition juste qui a lrsquoaccord des utilisateurs meacutetiers et un systegraveme de comptes-rendus en temps opportun de lrsquoutilisation des SI et de lrsquoaffectation des coucircts
atteint son objectif en
bull faisant correspondre les charges avec la qualiteacute et la quantiteacute des services fournis bull eacutelaborant et en faisant adopter un modegravele de coucircts exhaustif bull reacutepercutant les charges conformeacutement agrave la politique agreacuteeacutee
et est mesureacute par
bull le pourcentage de factures de services informatiques accepteacuteespayeacutees par la direction des meacutetiers
bull le pourcentage des eacutecarts entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull le pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux
modegraveles de coucircts agreacuteeacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 121
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
OBJECTIFS DE CONTROcircLE
DS6 Identifier et imputer les coucircts
DS61 Deacutefinition des services Identifier tous les coucircts informatiques et les faire correspondre aux services informatiques pour aider agrave bacirctir un modegravele de coucircts transparent Il faut lier les services informatiques aux processus meacutetiers pour que les meacutetiers puissent identifier les niveaux de facturation de services associeacutes
DS62 Comptabiliteacute de lrsquoinformatique Calculer et affecter les coucircts reacuteels en respectant le modegravele de coucircts de lrsquoentreprise Les eacutecarts entre les preacutevisions et les coucircts reacuteels doivent faire lrsquoobjet drsquoanalyses et de comptes-rendus conformes aux systegravemes de mesure financiers de lrsquoentreprise
DS63 Modegravele de coucircts et facturation En se basant sur la deacutefinition des services deacutefinir et mettre en place un modegravele de coucircts qui permette le calcul du taux de refacturation interne par service Le modegravele de coucircts informatiques doit permettre aux utilisateurs drsquoidentifier de mesurer et de preacutevoir la facturation des services pour encourager une bonne utilisation des ressources
DS64 Maintenance du modegravele de coucircts Faire reacuteguliegraverement des revues et des tests comparatifs du modegravele de coucircts et de refacturation pour en maintenir la pertinence et lrsquoadeacutequation aux eacutevolutions des activiteacutes meacutetiers et informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 122
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
GUIDE DE MANAGEMENT
DS6 Identifier et imputer les coucircts
De Entreacutees
PO4 Proprieacutetaires de systegravemes documenteacutes
PO5 Rapports coucirctsbeacuteneacutefices budgets informatiques
PO10 Plans deacutetailleacutes des projets
DS1 CS et CE
Sorties Vers Donneacutees financiegraveres informatiques PO5 Rapports sur la performance des processus SE1
Faire correspondre les infrastructures informatiques aux services fournis etou aux processus meacutetiers qursquoelles supportent
C C A C C C C R C
Identifier tous les coucircts informatiques (personnel technologie etc) et les faire correspondre aux services informatiques sur la base de leur coucirct unitaire
C A C C C R C
Mettre en place et maintenir opeacuterationnel un processus de comptabiliteacute et de controcircle des coucircts informatiques C C A C C C C R C
Mettre en place et maintenir opeacuterationnelles des politiques et des proceacutedures de facturation C C A C C C C R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Ameacuteliorer la rentabiliteacute lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Pourcentage de factures de services informatiques accepteacuteespayeacutees par les directions meacutetiers bull Coucirct unitaire par service du deacutepassement de temps bull Pourcentage de satisfaction meacutetiers (sondage) du modegravele de coucircts des services informatiques
bull Pourcentage deacutecart entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull Pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux modegraveles de coucircts agreacuteeacutes bull Pourcentage des coucircts contesteacutes par les meacutetiers
bull Pourcentage drsquoutilisateurs meacutetiers impliqueacutes dans la deacutefinition des modegraveles de coucircts bull Freacutequence des revues des modegraveles drsquoaffectation des coucircts bull Pourcentage des coucircts qui sont imputeacutes automatiquementmanuellement
Processus
bull Eacutelaborer une deacutefinition loyale et eacutequitable des coucircts et des services informatiques bull Calculer avec preacutecision les coucircts des services informatiques bull Imputer loyalement et eacutequitablement les coucircts informatiques aux consommateurs de services informatiques
Activiteacutes
bull Revues par les directions meacutetiers des coucircts affecteacutes bull Faire correspondre les factures avec la qualiteacute des services fournis bull Eacutelaborer et faire adopter un modegravele de coucircts exhaustif bull Mettre en place une facturation conforme agrave la politique agreacuteeacutee bull Faire reacuteguliegraverement des tests comparatifs de coucirctsdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 123
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
MODEgraveLE DE MATURITEacute
DS6 Identifier et imputer les coucircts
La gestion du processus Identifier et imputer les coucircts qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques est
0 Inexistante quand
Il y a une absence totale de processus reconnaissable susceptible de faire ressortir et dimputer les coucircts en ce qui concerne les services informatiques fournis Lentreprise ne reacutealise mecircme pas quil y a lagrave une question agrave traiter et personne ne communique sur ce sujet
1 Initialiseacutee au cas par cas quand
On comprend que les services informatiques ont un coucirct global mais ces coucircts ne sont pas reacutepartis par utilisateur client service groupe dutilisateurs fonction projet ou livrable Il nexiste pratiquement pas de suivi des coucircts seuls des comptes rendus sur les coucircts globaux non deacutetailleacutes sont fournis au management dans les rapports Les coucircts informatiques sont imputeacutes comme des frais geacuteneacuteraux opeacuterationnels Les meacutetiers ne reccediloivent aucune information sur les coucircts ou les beacuteneacutefices de la fourniture de services
2 Reproductible mais intuitive quand
On a geacuteneacuteralement pris conscience du besoin de faire ressortir les coucircts et de les imputer Limputation est baseacutee sur des hypothegraveses informelles et rudimentaires telles que les coucircts des mateacuteriels et il ny a pratiquement aucun lien avec la valeur geacuteneacutereacutee Les processus drsquoimputation des coucircts sont reproductibles Il nexiste ni formation ni communication formelles sur les proceacutedures standard didentification et dimputation des coucircts On nrsquoa pas affecteacute la responsabiliteacute de collecter ou drsquoaffecter les coucircts
3 Deacutefinie quand
Il existe un modegravele de coucircts des services informatiques deacutefini et documenteacute On deacutefinit un processus qui rend compte des coucircts informatiques des services fournis aux utilisateurs On a une bonne conscience des coucircts imputables aux services informatiques Les meacutetiers disposent drsquoinformations rudimentaires sur les coucircts
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes opeacuterationnelles et finales de gestion des coucircts des services informatiques sont bien deacutefinies et pleinement comprises agrave tous les niveaux et sappuient sur des formations formelles On sait identifier les coucircts directs et indirects qui font lrsquoobjet de rapports eacutelaboreacutes de faccedilon automatique et en temps voulu destineacutes au management aux proprieacutetaires de processus et aux utilisateurs Drsquoune faccedilon geacuteneacuterale on fait un suivi et une eacutevaluation des coucircts et on reacuteagit si on constate des deacuterives Les comptes-rendus sur les services informatiques sont lieacutes aux objectifs meacutetiers et aux conventions de services et ils sont surveilleacutes par les proprieacutetaires des processus meacutetiers Une fonction financiegravere veacuterifie reacuteguliegraverement si le processus drsquoaffectation des coucircts est raisonnable Il existe un systegraveme de comptabilisation automatiseacute des coucircts mais il est plus axeacute sur la fonction informatique que sur les processus meacutetiers On a adopteacute des objectifs et des meacutetriques drsquoeacutevaluation des coucircts mais ils ne sont pas systeacutematiquement mesureacutes
5 Optimiseacutee quand
On identifie consigne reacutesume et fait le suivi des coucircts des services fournis au management aux proprieacutetaires de processus et aux utilisateurs Les coucircts sont vus comme des articles facturables et peuvent alimenter un systegraveme de refacturation qui facture les utilisateurs de faccedilon approprieacutee en fonction de lutilisation Les conventions de services sappuient sur des coucircts deacutetailleacutes On utilise la surveillance et lrsquoeacutevaluation des coucircts des services pour optimiser les coucircts des ressources informatiques On utilise les chiffres obtenus pour veacuterifier les beacuteneacutefices dans le processus de gestion du budget de lentreprise Les rapports sur les coucircts informatiques permettent decirctre alerteacute assez tocirct en cas drsquoeacutevolutions des exigences des meacutetiers gracircce agrave des systegravemes de reporting intelligents On utilise un modegravele de coucirct variable qui est fonction des volumes traiteacutes pour chaque service fourni On eacutelegraveve la gestion des coucircts au niveau des pratiques de la profession gracircce aux reacutesultats du processus drsquoameacutelioration permanente et agrave la comparaison avec dautres entreprises Lrsquooptimisation des coucircts est un processus permanent La revue des objectifs et des meacutetriques par le management fait partie du processus drsquoameacutelioration continue par lrsquoajustement des systegravemes de mesure des coucircts
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 124
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
DESCRIPTION DU PROCESSUS
DS7 Instruire et former les utilisateurs
La formation efficace de tous les utilisateurs des systegravemes informatiques y compris les informaticiens exige de connaicirctre les besoins en formation de chaque groupe drsquoutilisateurs Outre lrsquoidentification des besoins ce processus doit aussi deacutefinir et mettre en œuvre une strateacutegie de formation efficace et en mesurer les reacutesultats Un programme de formation efficace augmente lrsquoefficaciteacute de lrsquoutilisation de lrsquoinformatique en reacuteduisant le nombre drsquoerreurs commises par les utilisateurs en augmentant la productiviteacute et en ameacuteliorant la conformiteacute aux controcircles cleacutes tels que les mesures de seacutecuriteacute utilisateurs
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Le controcircle du processus informatique
Surveiller et Evaluer
Instruire et former les utilisateurs
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs
en se concentrant sur
une bonne connaissance des besoins en formation des utilisateurs des SI la mise en œuvre drsquoune strateacutegie efficace de formation et la mesure des reacutesultats
atteint son objectif en
bull eacutetablissant des programmes de formation bull organisant la formation bull dispensant la formation bull surveillant et en rendant compte de lrsquoefficaciteacute de la formation
et est mesureacute par
bull le nombre drsquoappels au service drsquoassistance par insuffisance de formation des utilisateurs bull le pourcentage de parties prenantes satisfaites de la formation reccedilue bull le deacutelai entre lidentification dun besoin de formation et la mise en place de cette
formation
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 125
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
OBJECTIFS DE CONTROcircLE
DS7 Instruire et former les utilisateurs
DS71 Identification des besoins en savoir et en formation Eacutetablir et mettre reacuteguliegraverement agrave jour un programme pour chaque groupe cible de salarieacutes en prenant en compte bull Les besoins des meacutetiers et la strateacutegie actuels et futurs bull La valeur de lrsquoinformation en tant qursquoactif bull Les valeurs de lrsquoentreprise (valeurs eacutethiques culture de la seacutecuriteacute et du controcircle etc) bull La mise en place drsquoune nouvelle infrastructure informatique et de nouveaux logiciels (par ex progiciels et applications) bull Les qualifications existantes et futures les profils de compeacutetences et les besoins de certification etou drsquoaccreacuteditation ou de reacuteaccreacuteditation bull Les meacutethodes drsquoenseignement (par ex classe en ligne) la dimension des groupes cibles lrsquoaccessibiliteacute et les horaires
DS72 Fourniture de formation et drsquoenseignement En se basant sur les besoins identifieacutes en formation et en enseignement identifier les groupes cibles et leurs membres les meacutecanismes efficaces les enseignants formateurs et conseillers peacutedagogiques Engager des formateurs et organiser des sessions de formation en temps voulu Enregistrer les inscriptions (y compris les conditions preacutealables) lrsquoassiduiteacute et lrsquoeacutevaluation des performances de la session
DS73 Eacutevaluation de la formation reccedilue Eacutevaluer en fin de session le contenu de lrsquoenseignement et de la formation pour en deacuteterminer la pertinence la qualiteacute lrsquoefficaciteacute ce qui a eacuteteacute retenu le coucirct et la valeur Les reacutesultats de cette eacutevaluation doivent nourrir la deacutefinition des programmes des sessions de formation agrave venir
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 126
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
GUIDE DE MANAGEMENT
DS7 Instruire et former les utilisateurs
De Entreacutees
PO7 Compeacutetences et connaissances des utilisateurs formation individuelle besoins speacutecifiques de formation
AI4 Mateacuteriels de formation besoins de transfert de connaissances pour la mise en place de solutions
DS1 CE
DS5 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS8 Rapports sur la satisfaction des utilisateurs
Sorties Vers Rapports sur la performance des processus SE1 Mises agrave jour de la documentation requise AI4
Identifier et caracteacuteriser les besoins de formation des utilisateurs C A R C C C C C C R
Construire un programme de formation C A R C I C C C I R
Diriger les activiteacutes de sensibilisation drsquoenseignement et de formation I A C C I C C C I R
Eacutevaluer la formation I A R C I C C C I R
Identifier et eacutevaluer les meilleures meacutethodes et les meilleurs outils pour dispenser la formation I AR R C C C C C C R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Taux dameacutelioration de la productiviteacute des employeacutes reacutesultant drsquoune meilleure compreacutehension des systegravemes bull Pourcentage daugmentation de la satisfaction des utilisateurs agrave lrsquoeacutegard du deacuteploiement des services des systegravemes ou des nouvelles technologies
bull Nb dappels au service dassistance pour des besoins de formation ou pour obtenir des reacuteponses agrave des questions bull Pourcentage de parties prenantes satisfaites de la formation reccedilue bull Pourcentage de salarieacutes ayant beacuteneacuteficieacute drsquoune formation
bull Freacutequence des mises agrave jour des programmes de formation bull Deacutelai entre lidentification dun besoin de formation et la mise en place de cette formation
Processus
bull Eacutetablir un programme de formation pour tous les niveaux drsquoutilisateurs en recherchant les meacutethodes ayant le meilleur rapport qualiteacutecoucirct bull Transfeacuterer la connaissance vers les utilisateurs drsquoapplications et de solutions informatiques bull Augmenter la sensibilisation aux responsabiliteacutes et aux risques lieacutes agrave lrsquoutilisation des applications et des solutions informatiques
Activiteacutes
bull Eacutetablir des modules de formation bull Organiser la formation bull Dispenser la formation bull Surveiller et rendre compte de lrsquoefficaciteacute de la formation
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 127
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
MODEgraveLE DE MATURITEacute
DS7 Instruire et former les utilisateurs
La gestion du processus Instruire et former les utilisateurs qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs est
0 Inexistante quand
Il y a une absence totale de programme denseignement et de formation Lentreprise na mecircme pas conscience que la formation est une probleacutematique agrave traiter et elle ne communique pas sur ce sujet
1 Initialiseacutee au cas par cas quand
On constate que lentreprise a reconnu le besoin dun programme denseignement et de formation mais il ny a pas de processus standardiseacute En labsence dun programme organiseacute les employeacutes trouvent et suivent des formations de leur cocircteacute Certaines de ces formations traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et aux pratiques de seacutecuriteacute Lapproche globale du management manque complegravetement de coheacutesion et la communication sur ces thegravemes reste sporadique et sans meacutethode
2 Reproductible mais intuitive quand
On a conscience du besoin dun programme denseignement et de formation et des processus associeacutes dans lensemble de lentreprise On commence agrave trouver des formations dans les plans de performance individuels des employeacutes Les processus se sont multiplieacutes au point que des formations informelles et des enseignements ont recours agrave de formateurs diffeacuterents qui traitent des mecircmes questions avec des approches diffeacuterentes Certains cours traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et des pratiques de seacutecuriteacute On se repose beaucoup sur les connaissances de certains individus Cependant on communique sur les difficulteacutes dordre geacuteneacuteral et sur le besoin de les traiter
3 Deacutefinie quand
Le programme denseignement et de formation est eacutelaboreacute et fait lobjet de communications et les employeacutes et le management identifient les besoins de formation et les documentent On standardise et documente les processus denseignement et de formation On mobilise des budgets des ressources des eacutequipements et des formateurs pour ces programmes On donne des cours formels aux employeacutes sur leacutethique du comportement sur la sensibilisation agrave la seacutecuriteacute des systegravemes et sur les pratiques de seacutecuriteacute La plupart des processus denseignement et de formation font lobjet drsquoune surveillance mais le management ne deacutetecte vraisemblablement pas tous les eacutecarts par rapport agrave ces processus On nanalyse quoccasionnellement les problegravemes de formation et denseignement
4 Geacutereacutee et mesurable quand
Il existe un programme complet de formation et drsquoenseignement qui donne des reacutesultats mesurables Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Lenseignement et la formation font partie des plans de carriegravere des employeacutes Le management favorise la tenue de sessions denseignement et de formation et y assiste Tous les employeacutes reccediloivent une formation sur les conduites eacutethiques et sur la sensibilisation agrave la seacutecuriteacute des systegravemes Tous les employeacutes reccediloivent une formation adeacutequate sur les pratiques de seacutecuriteacute agrave loccasion de laquelle ils apprennent agrave proteacuteger les systegravemes des deacutefaillances affectant la disponibiliteacute la confidentialiteacute et linteacutegriteacute Le management veille agrave la conformiteacute en veacuterifiant et en mettant constamment agrave jour les processus et les contenus des programmes de formation et denseignement Les processus sameacuteliorent et on applique les meilleures pratiques internes
5 Optimiseacutee quand
La formation et lenseignement deacutebouchent sur une ameacutelioration des performances individuelles Ils sont devenus des composants essentiels des plans de carriegravere des employeacutes On mobilise les budgets ressources eacutequipements et formateurs qui permettent de mener agrave bien les programmes de formation et denseignement On perfectionne les processus qui sameacuteliorent en permanence tirant profit des meilleures pratiques externes et en se comparant aux autres entreprises sur leacutechelle de maturiteacute On fait lanalyse causale de tous les problegravemes et eacutecarts qui surviennent de faccedilon agrave trouver rapidement des solutions efficaces Lattitude vis-agrave-vis des questions deacutethique et des principes de seacutecuriteacute des systegravemes est positive On utilise largement linformatique de faccedilon inteacutegreacutee et optimiseacutee pour fournir des outils aux programmes de formation et denseignement et pour en automatiser certaines fonctions On mobilise des formateurs externes et on srsquoinspire des reacutesultats des tests comparatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 128
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8 DESCRIPTION DU PROCESSUS
DS8 Geacuterer le service drsquoassistance client et les incidents
Apporter des reacuteponses efficaces et au bon moment aux requecirctes et aux problegravemes des utilisateurs exige un processus bien conduit de gestion du service drsquoassistance et de gestion des incidents Ce processus comporte la mise en place drsquoun service drsquoassistance qui srsquooccupe de lenregistrement et de lescalade des incidents de lrsquoanalyse des tendances et des causes et des solutions Lrsquointeacuterecirct de lrsquoentreprise passe par lrsquoameacutelioration de la productiviteacute gracircce agrave la reacutesolution rapide des demandes des utilisateurs Par ailleurs les meacutetiers peuvent rechercher les causes premiegraveres (comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Geacuterer le service drsquoassistance client et les incidents
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux
en se concentrant sur
une fonction assistance client professionnelle avec des reacuteponses rapides des proceacutedures drsquoescalade claires et des analyses de reacutesolution drsquoincidents et de tendances
atteint son objectif en
bull installant et en faisant fonctionner un service drsquoassistance bull surveillant et en rendant compte des tendances bull deacutefinissant des critegraveres et des proceacutedures drsquoescalade clairs
et est mesureacute par
bull le niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau bull le pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable bull le taux drsquoabandon des demandes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 129
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
OBJECTIFS DE CONTROcircLE
DS8 Geacuterer le service drsquoassistance client et les incidents
DS81 Service drsquoassistance client Mettre en place un service client qui doit faire lrsquointerface entre lrsquoutilisateur et lrsquoinformatique pour enregistrer communiquer et analyser tous les appels les rapports drsquoincidents les demandes de services et drsquoinformation Il faut des proceacutedures de surveillance et drsquoescalade baseacutees sur les niveaux de services deacutefinis dans les conventions de services approprieacutees cela doit permettre de classer tout problegraveme ou incident rapporteacute demande de service ou drsquoinformation et de lui attribuer des prioriteacutes Mesurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard de la qualiteacute du service drsquoassistance client et des services informatiques
DS82 Enregistrement des demandes des clients Mettre en place une fonction et un systegraveme qui permette drsquoenregistrer et de suivre les appels les incidents les demandes de services et les besoins en information Cette fonction doit travailler en eacutetroite association avec des processus tels que la gestion des incidents des problegravemes des changements des capaciteacutes et de la disponibiliteacute Les incidents doivent ecirctre classeacutes selon une prioriteacute meacutetier et une prioriteacute de service et dirigeacutes vers lrsquoeacutequipe de gestion de problegravemes approprieacutee quand neacutecessaire Les clients doivent ecirctre tenus informeacutes de lrsquoeacutetat drsquoavancement de leurs demandes
DS83 Escalade des incidents Mettre en place des proceacutedures drsquoassistance client de faccedilon agrave ce que les incidents qui ne peuvent pas ecirctre immeacutediatement reacutesolus soient transmis au niveau de support supeacuterieur approprieacute dans les limites preacutevues par les conventions de services et que des solutions de contournement soient identifieacutees si neacutecessaire Srsquoassurer que la proprieacuteteacute des incidents et la surveillance du cycle de vie restent entre les mains du service drsquoassistance client pour les incidents qui concernent les utilisateurs quelle que soit lrsquoeacutequipe informatique qui travaille agrave la reacutesolution des problegravemes
DS84 Clocircture des incidents Mettre en place des proceacutedures de surveillance de la reacutesolution des demandes des clients dans les temps Lorsque lrsquoincident a eacuteteacute reacutesolu srsquoassurer que le service drsquoassistance client enregistre les eacutetapes de sa reacutesolution et confirmer que la solution apporteacutee a reccedilu lrsquoagreacutement du client Enregistrer eacutegalement les incidents non reacutesolus (erreurs connues et palliatifs) et en effectuer le rapport de faccedilon agrave disposer drsquoinformations pour une gestion correcte des problegravemes
DS85 Rapports et analyse des tendances Produire des rapports de lrsquoactiviteacute du service drsquoassistance client pour permettre au management de mesurer la performance du service et les temps de reacuteponse et drsquoidentifier les tendances ou les problegravemes reacutecurrents de faccedilon agrave ce que le service srsquoameacuteliore en permanence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 130
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8
GUIDE DE MANAGEMENT
DS8 Geacuterer le service drsquoassistance client et les incidents
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI6 Autorisation de modification
AI7 Eacuteleacutements de configuration mis agrave disposition
DS1 CS et CE
DS4 Seuils incidentssinistres
DS5 Deacutefinition des incidents de seacutecuriteacute
DS9 Configuration informatiquedeacutetail des actifs
DS10 Problegravemes connus erreurs connues et solutions de contournement
DS13 Tickets drsquoincidents
Sorties Vers Demande de servicedemande de modification AI6 Rapports dincidents DS10 Rapports sur la performance des processus SE1 Rapports sur la satisfaction des utilisateurs DS7 SE1
Creacuteer une classification (graviteacute et conseacutequences) et des proceacutedures drsquoescalade (fonctionnelles et hieacuterarchiques) C C C C C C C AR
Deacutetecter et enregistrer les incidentsdemandes de servicesdemandes drsquoinformation AR
Classer et investiguer les demandes et faire les diagnostics I C C C I AR
Trouver les solutions les appliquer et clocircturer lrsquoincident I R R R C AR
Informer les utilisateurs (ex eacutetat drsquoavancement) I I AR
Produire des rapports pour le management I I I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
ResponsableassistanceincidentsTableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau (service drsquoassistance client ou base de connaissances) bull Pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable
bull Pourcentage de problegravemes reacutesolus degraves le premier niveau par rapport au nombre total de demandes bull Pourcentage de tickets drsquoincident reacuteouverts bull Taux drsquoabandon des demandes bull Dureacutee moyenne des incidents classeacutes par graviteacute bull Deacutelai moyen de reacuteponse aux demandes par teacuteleacutephone et par courrier eacutelectronique
bull Pourcentage drsquoincidents et de demandes de services dont les comptes-rendus et les enregistrements utilisent des outils automatiseacutes bull Nb de jours de formation par personne du service drsquoassistance client et par an bull Nb drsquoappels traiteacutes par personne du service drsquoassistance client et par heure bull Pourcentage drsquoincidents qui neacutecessitent un deacuteplacement sur place (support sur place visite personnelle) bull Nombre de demandes non reacutesolues
Processus
bull Analyser documenter et faire remonter les incidents dans les deacutelais preacutevus bull Reacutepondre avec pertinence et preacutecision aux demandes dans les deacutelais preacutevus bull Faire reacuteguliegraverement des analyses de tendances sur les incidents et les demandes
Activiteacutes
bull Installer et faire fonctionner un service drsquoassistance client bull Surveiller et rendre compte des tendances bull Aligner les prioriteacutes de la reacutesolution drsquoincidents sur les impeacuteratifs meacutetiers bull Deacutefinir des critegraveres et des proceacutedures drsquoescalade clairs
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 131
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
MODEgraveLE DE MATURITEacute
DS8 Geacuterer le service drsquoassistance client et les incidents
La gestion du processus Geacuterer le service drsquoassistance client et les incidents qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux est
0 Inexistante quand
Les utilisateurs nont pas dinterlocuteurs deacutesigneacutes pour reacutepondre agrave leurs questions et problegravemes Il nrsquoexiste aucun processus de gestion des incidents Lentreprise ne reacutealise pas que cest une probleacutematique agrave traiter
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct qursquoun processus srsquoappuyant sur des outils et du personnel est neacutecessaire pour reacutepondre aux demandes des utilisateurs et geacuterer la reacutesolution des incidents Il ny a cependant pas de processus standardiseacute et on ne fournit dassistance quau cas par cas Le management norganise pas de suivi des demandes des utilisateurs des incidents ou des tendances On na pas preacutevu de processus descalade pour reacutesoudre les problegravemes
2 Reproductible mais intuitive quand
Lrsquoentreprise est consciente du besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents Il existe une forme dassistance informelle gracircce agrave un reacuteseau dindividus qui ont un bon niveau de connaissances Ces personnes disposent de certains outils daide agrave la reacutesolution des incidents qui leur sont communs Il ny a pas de formation formelle ni de communication sur les proceacutedures standard et la responsabiliteacute est laisseacutee aux individus
3 Deacutefinie quand
On reconnaicirct et on accepte le besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents On standardise et documente les proceacutedures et des formations informelles ont lieu On laisse cependant aux individus linitiative de se former et de se conformer aux normes Les Foires Aux Questions (FAQ) et les guides utilisateurs se sont deacuteveloppeacutes mais cest agrave chacun de les trouver et de sy conformer eacuteventuellement On consigne agrave la main les questions et les incidents souleveacutes et on les suit individuellement mais cette activiteacute ne donne pas lieu agrave des rapports formels On ne chiffre pas les questions et incidents souleveacutes qui ont reccedilu une reacuteponse en temps opportun et il est vraisemblable que certains problegravemes ne trouvent pas de solutions Les utilisateurs ont reccedilu des informations claires sur ce quils doivent faire en cas de problegraveme ou drsquoincident comment faire un rapport et agrave qui
4 Geacutereacutee et mesurable quand
On comprend pleinement les avantages dun processus de gestion des incidents agrave tous les niveaux de lentreprise et on met en place le service drsquoassistance client en le structurant en uniteacutes adeacutequates Les outils et les techniques sont automatiseacutes et on dispose drsquoune base de connaissances centraliseacutee Leacutequipe du service dassistance client a des contacts eacutetroits avec celle qui soccupe de la reacutesolution des problegravemes Les responsabiliteacutes sont claires et on surveille lefficaciteacute du service On a mis en place des proceacutedures de communication descalade et de reacutesolution des incidents et on le fait savoir On forme les personnels dassistance et on ameacuteliore les processus au moyen de logiciels speacutecifiques Le management a mis au point des meacutetriques pour appreacutecier la performance du service drsquoassistance client
5 Optimiseacutee quand
Le processus de gestion des incidents et la fonction drsquoassistance client sont en place et bien organiseacutes lrsquoeacutetat drsquoesprit est orienteacute vers lrsquoassistance au client avec une attention agrave ses besoins les connaissances neacutecessaires et le deacutesir de lrsquoaider Les meacutetriques sont systeacutematiquement eacutevalueacutees et font lrsquoobjet de rapports Des FAQ riches exhaustives font partie inteacutegrante de la base de connaissances Les utilisateurs disposent doutils qui leur permettent de reacutealiser des auto-diagnostics et de reacutesoudre eux-mecircmes certains incidents Les conseils sont professionnels et les incidents sont reacutesolus rapidement au travers dun processus descalade structureacute Le management utilise un outil inteacutegreacute pour les statistiques de performances du processus de gestion des incidents et de la fonction drsquoassistance client Les processus se sont hisseacutes au niveau des meilleures pratiques du secteur gracircce aux reacutesultats de lrsquoanalyse des indicateurs de performance aux ameacuteliorations permanentes et aux tests comparatifs avec drsquoautres entreprises
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 132
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S S S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer la configuration DS9
DESCRIPTION DU PROCESSUS
DS9 Geacuterer la configuration
Assurer lrsquointeacutegriteacute des configurations mateacuterielles et logicielles exige de constituer et de tenir agrave jour un reacutefeacuterentiel de configuration preacutecis et complet Ce processus doit comporter la collecte des informations de la configuration initiale lrsquoeacutetablissement de configurations de base la veacuterification et lrsquoaudit des informations de configuration et la mise agrave jour du reacutefeacuterentiel de configuration lorsque crsquoest neacutecessaire Une gestion efficace de la configuration facilite une plus grande disponibiliteacute du systegraveme la reacuteduction des problegravemes de production et une reacutesolution plus rapide de ceux-ci
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S S S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la configuration
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques
en se concentrant sur
la mise en place et la mise agrave jour drsquoun reacutefeacuterentiel preacutecis et complet des attributs de configuration des actifs informatiques et des configurations de base et leur comparaison avec la configuration reacuteelle
atteint son objectif en
bull constituant un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull identifiant les eacuteleacutements de configuration et en les maintenant agrave jour bull veacuterifiant lrsquointeacutegriteacute des donneacutees de configuration
et est mesureacute par
bull le nombre de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
bull le nombre de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteelles bull le pourcentage de licences acheteacutees qui ne sont pas prises en compte par le reacutefeacuterentiel
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 133
Deacutelivrer et Supporter DS9 Geacuterer la configuration
OBJECTIFS DE CONTROcircLE
DS9 Geacuterer la configuration
DS91 Reacutefeacuterentiel de configuration et configuration de base Constituer un reacutefeacuterentiel centraliseacute et mettre en place un outil pour recenser toutes les informations qui concernent les eacuteleacutements de configuration Surveiller et enregistrer tous les actifs et les changements qui y sont apporteacutes Pour chaque systegraveme et chaque service tenir agrave jour une base des composants de sa configuration pour pouvoir srsquoy reacutefeacuterer apregraves une modification
DS92 Identification et maintenance des eacuteleacutements de configuration Mettre en place des proceacutedures speacutecifiques pour faciliter la gestion et lrsquoenregistrement de tous les changements apporteacutes au reacutefeacuterentiel de configuration Inteacutegrer ces proceacutedures aux proceacutedures de gestion des changements de gestion des incidents et de gestion des problegravemes
DS93 Revue drsquointeacutegriteacute des configurations Passer en revue de maniegravere peacuteriodique les donneacutees de la configuration afin de veacuterifier et confirmer lrsquointeacutegriteacute de la configuration en cours par rapport agrave son historique Veacuterifier reacuteguliegraverement les logiciels installeacutes par rapport aux politiques drsquoutilisation des logiciels afin drsquoidentifier les logiciels personnels ou sans licence ou tout nombre de licences excessif par rapport aux contrats de licence en cours Reacutediger un rapport et agir pour corriger les erreurs ou les anomalies
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 134
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
Deacutelivrer et Supporter Geacuterer la configuration DS9
GUIDE DE MANAGEMENT
DS9 Geacuterer la configuration
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Eleacutements de configuration mis agrave disposition DS4 Eleacutements de configuration informatique critiques
Sorties Vers Configuration informatiquedeacutetail des actifs DS8 D10 DS13 Demande de modification (ougrave et comment faire la modification)
AI6
Rapports sur la performance des processus SE1
Deacutevelopper les proceacutedures de planification de la gestion des configurations C A C I C C R
Collecter les informations des configurations initiales et eacutetablir les configurations de base C C C I AR
Veacuterifier et auditer les informations de configuration (y compris deacutetection des logiciels non autoriseacutes) I A I I AR
Mettre agrave jour le reacutefeacuterentiel de configuration R R R I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Responsableconfiguration
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre responsable
deacutefinit
bull Eacutetablir un reacutefeacuterentiel de tous les mateacuteriels et logiciels des attributs de configuration et des configurations de base bull Maintenir lrsquointeacutegriteacute du reacutefeacuterentiel de configuration bull Veacuterifier la conformiteacute des configurations reacuteelles avec les configurations de base du reacutefeacuterentiel
deacutefinit
mesure induit mesure
induit mesure
bull Nb de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteellement utiliseacutees bull Pourcentage de licences acheteacutees et de licences ignoreacutees du reacutefeacuterentiel
bull Deacutelai moyen entre la deacutecouverte drsquoanomalies et leur correction bull Nb drsquoanomalies dues agrave des informations de configuration incomplegravetes ou absentes bull Pourcentage drsquoeacuteleacutements de configuration conformes aux niveaux de services en ce qui concerne la performance la seacutecuriteacute et la disponibiliteacute
Meacutetriq
ues
bull Nb de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
Activiteacutes
bull Constituer un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull Identifier les eacuteleacutements de configuration et maintenir leurs donneacutees agrave jour bull Veacuterifier lrsquointeacutegriteacute des donneacutees de configuration
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 135
Deacutelivrer et Supporter DS9 Geacuterer la configuration
MODEgraveLE DE MATURITEacute
DS9 Geacuterer la configuration
La gestion du processus Geacuterer la configuration qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques est
0 Inexistante quand
Le management ne voit pas dinteacuterecirct agrave disposer dun processus capable de geacuterer la configuration mateacuterielle et logicielle et de faire des rapports
1 Initialiseacutee au cas par cas quand
On reconnaicirct le besoin drsquoune gestion de la configuration Les tacircches de base de cette gestion comme tenir agrave jour les inventaires des mateacuteriels et des logiciels sont accomplies sur initiatives individuelles Il nexiste pas de pratiques standard
2 Reproductible mais intuitive quand
Le management est conscient du besoin de controcircler la configuration informatique et comprend les avantages drsquoune information exacte et complegravete sur la configuration mais on se fie implicitement aux connaissances et aux compeacutetences du personnel technique On utilise jusquagrave un certain point des outils de gestion de configuration mais ils diffegraverent selon les plates-formes De plus aucune pratique standard nest deacutefinie Le contenu des donneacutees de configuration est limiteacute et ne concerne pas les processus lieacutes les uns aux autres comme la gestion des changements et des incidents
3 Deacutefinie quand
On documente standardise et communique les proceacutedures et les pratiques de travail mais chacun deacutecide de suivre ou non une formation et dappliquer ou non les normes De plus on est en train de mettre en place des outils de gestion des configurations communs aux diffeacuterentes plates-formes Il est peu vraisemblable que lon deacutetecte les cas de non-respect des proceacutedures et les veacuterifications physiques ne sont pas systeacutematiques On a recours agrave certains automatismes pour permettre de tracer plus facilement les modifications des mateacuteriels et des logiciels Les donneacutees de configurations sont utiliseacutees par des processus lieacutes les uns aux autres
4 Geacutereacutee et mesurable quand
Le besoin de geacuterer la configuration est reconnu agrave tous les niveaux de lentreprise et les bonnes pratiques continuent agrave eacutevoluer On communique sur les proceacutedures et les normes on les inclut dans les formations et on veille agrave leur respect les cas de non-respect sont surveilleacutes deacutetecteacutes et font lobjet de rapports On utilise des outils automatiseacutes comme la technologie push pour imposer les normes et ameacuteliorer la stabiliteacute des systegravemes Les systegravemes de gestion de configuration recouvrent effectivement la plus grande partie des actifs informatiques et permettent une bonne gestion des versions et du controcircle de la distribution des mateacuteriels et des logiciels On pratique systeacutematiquement les veacuterifications physiques et lanalyse des anomalies on recherche les causes initiales des anomalies
5 Optimiseacutee quand
Tous les actifs informatiques sont geacutereacutes au sein drsquoun systegraveme de gestion centraliseacute des configurations qui contient toute lrsquoinformation neacutecessaire sur les composants leurs interrelations et lrsquohistorique de leur eacutevolution Les donneacutees de configuration sont conformes aux descriptifs fournis par les fournisseurs Les processus relieacutes entre eux sont pleinement inteacutegreacutes et ils utilisent et mettent agrave jour les donneacutees de configuration de faccedilon automatique Les rapports daudits de base fournissent pour chaque eacuteleacutement mateacuteriel et logiciel les donneacutees essentielles pour les reacuteparations la maintenance la garantie la mise agrave niveau et les eacutevaluations techniques On applique les regravegles destineacutees agrave limiter lrsquoinstallation de logiciels non autoriseacutes Le management preacutevoit les reacuteparations et les mises agrave niveau agrave partir de rapports danalyses qui proposent un planning des eacutevolutions et qui preacutecisent les possibiliteacutes dactualisation des technologies Chaque actif informatique est proteacutegeacute par un suivi et une surveillance individuels contre le vol le mauvais usage et les usages abusifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 136
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
DESCRIPTION DU PROCESSUS
DS10 Geacuterer les problegravemes
Une gestion efficace des problegravemes exige de les identifier de les classer drsquoanalyser leurs causes initiales et de leur trouver des solutions Le processus de gestion des problegravemes implique aussi de formuler des recommandations drsquoameacutelioration de tenir agrave jour les enregistrements des problegravemes et de veacuterifier ougrave en sont les actions correctives Un processus efficace de gestion des problegravemes favorise la disponibiliteacute des systegravemes ameacuteliore les niveaux de services reacuteduit les coucircts reacutepond mieux aux besoins des clients et augmente donc leur satisfaction
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique Surveiller et Evaluer
Geacuterer les problegravemes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire
en se concentrant sur
lrsquoenregistrement le suivi et la reacutesolution des problegravemes drsquoexploitation la recherche des causes initiales de tous les problegravemes significatifs et la deacutefinition de solutions pour les problegravemes drsquoexploitation identifieacutes
atteint son objectif en
bull faisant lrsquoanalyse causale des problegravemes identifieacutes bull analysant les tendances bull assumant la proprieacuteteacute des problegravemes et en faisant avancer leur reacutesolution
et est mesureacute par
bull le nombre de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull le pourcentage de problegravemes reacutesolus dans les deacutelais requis bull la freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant en
fonction de la graviteacute du problegraveme
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 137
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
OBJECTIFS DE CONTROcircLE
DS10 Geacuterer les problegravemes
DS101 Identification et classification des problegravemes Mettre en place des processus pour rapporter et classer les problegravemes qui ont eacuteteacute identifieacutes comme relevant de la gestion des incidents Les eacutetapes de la classification des problegravemes sont similaires agrave celles de la classification des incidents elles consistent agrave deacuteterminer la cateacutegorie lrsquoimpact lrsquourgence et la prioriteacute Reacutepartir les problegravemes selon les groupes ou domaines auxquels ils appartiennent (par ex mateacuteriel logiciel logiciel drsquoassistance) Ces groupes peuvent correspondre aux responsabiliteacutes dans lrsquoentreprise ou au service auquel appartient lrsquoutilisateur ou le client et doivent servir agrave deacuteterminer lrsquoeacutequipe drsquoassistance agrave laquelle ils seront affecteacutes
DS102 Suivi et reacutesolution des problegravemes Srsquoassurer que le systegraveme de gestion des problegravemes fournit les outils de pistes drsquoaudit adeacutequats qui permettent de suivre drsquoanalyser et de deacuteterminer les causes initiales de tous les problegravemes rapporteacutes en prenant en compte bull Tous les eacuteleacutements de configuration associeacutes bull Les problegravemes et les incidents non reacutesolus bull Les erreurs connues et soupccedilonneacutees bull Le repeacuterage des tendances en matiegravere de problegravemes
Trouver et initier des solutions viables qui srsquoappliquent aux causes initiales en suscitant des demandes de modification par lrsquointermeacutediaire du processus de gestion des changements Au cours du processus de reacutesolution les responsables de la gestion des problegravemes doivent obtenir des rapports reacuteguliers de lrsquoeacutequipe de gestion des modifications sur la progression de la reacutesolution des problegravemes et des erreurs La gestion des problegravemes doit surveiller en continu les conseacutequences sur les services utilisateurs des erreurs et des problegravemes connus Dans le cas ougrave ces conseacutequences deviendraient graves lrsquoeacutequipe de gestion des problegravemes doit faire remonter le problegraveme peut-ecirctre agrave un niveau de direction approprieacute pour augmenter la prioriteacute de la demande de modification ou pour mettre en œuvre une modification drsquourgence selon le cas Suivre la progression de la reacutesolution du problegraveme conformeacutement aux contrats de services
DS103 Clocircture des problegravemes Mettre en place une proceacutedure pour clocircturer les enregistrements de problegravemes soit apregraves confirmation de lrsquoeacutelimination reacuteussie de lrsquoerreur connue soit apregraves un accord avec les meacutetiers sur la faccedilon de trouver une solution alternative
DS104 Inteacutegration de la gestion de la configuration des incidents et des problegravemes Pour assurer une gestion efficace des problegravemes et faciliter le progregraves inteacutegrer les processus de gestion de la configuration de gestion des incidents et de gestion des problegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 138
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
GUIDE DE MANAGEMENT
DS10 Geacuterer les problegravemes
De Entreacutees
AI6 Autorisation de modification
DS8 Rapports dincidents
DS9 Configuration informatiquedeacutetail des actifs DS13 Historiques des erreurs
Sorties Vers Demandes de modification AI6 Historiques des problegravemes AI6 Rapports sur la performance des processus SE1 Problegravemes connus erreurs connues et solutions de contournement
DS8
Identifier et classer les problegravemes I I C A C C I R
Effectuer les analyses causales C C AR
Reacutesoudre les problegravemes C A R R R C C
Passer en revue la situation en cours des problegravemes I I C AR C C C C R
Eacutemettre des recommandations drsquoameacutelioration et eacutetablir une demande de modification en rapport I A I I I R
Tenir agrave jour les enregistrements des problegravemes I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Resp gestiondesproblegravemes
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire le nombre de deacutefaillances et de tacircches agrave refaire touchant la fourniture de solutions et de services bull Preacuteserver le succegraves des objectifs informatiques
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull Nb drsquointerruptions de lrsquoactiviteacute provoqueacutees par des problegravemes drsquoexploitation
bull Pourcentage de problegravemes enregistreacutes et suivis bull Pourcentage de problegravemes reacutecurrents (dans une peacuteriode de temps donneacutee) selon leur graviteacute bull Pourcentage de problegravemes reacutesolus dans les deacutelais requis bull Nb de problegravemes identifieacutesnouveauxclocirctureacutes selon leur graviteacute bull Moyenne et eacutecart type du deacutelai entre lrsquoidentification et la reacutesolution drsquoun problegraveme bull Moyenne et eacutecart type du deacutelai entre la reacutesolution drsquoun problegraveme et sa clocircture
bull Deacutelai moyen entre lrsquoenregistrement drsquoun problegraveme et lrsquoidentification de la cause initiale bull Pourcentage de problegravemes pour lesquels on a entrepris une analyse causale bull Freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant selon la graviteacute du problegraveme
Processus
bull Enregistrer et suivre les problegravemes drsquoexploitation jusqursquoagrave leur reacutesolution bull Chercher la cause initiale de tous les problegravemes significatifs bull Deacutefinir des solutions pour les problegravemes drsquoexploitation identifieacutes
Activiteacutes
bull Donner une autoriteacute suffisante au responsable de la gestion des problegravemes bull Faire lrsquoanalyse causale des problegravemes identifieacutes bull Analyser les tendances bull Assumer la proprieacuteteacute des problegravemes et faire avancer leur reacutesolution
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 139
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
MODEgraveLE DE MATURITEacute
DS10 Geacuterer les problegravemes
La gestion du processus Geacuterer les problegravemes qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire est
0 Inexistante quand
On nrsquoa pas conscience du besoin de geacuterer les problegravemes car on ne fait pas de diffeacuterence entre les problegravemes et les incidents Il nrsquoy a donc pas de tentatives pour identifier les causes initiales des incidents
1 Initialiseacutee au cas par cas quand
Le personnel reconnaicirct le besoin de geacuterer les problegravemes et drsquoeacuteliminer les causes Des personnes cleacutes apportent leur aide pour des problegravemes qui relegravevent de leur speacutecialiteacute mais la responsabiliteacute de la gestion des problegravemes nrsquoest pas attribueacutee Lrsquoinformation nrsquoest pas partageacutee ce qui fait naicirctre des problegravemes suppleacutementaires et une perte de temps productif pendant qursquoon cherche des reacuteponses
2 Reproductible mais intuitive quand
On est largement conscient du besoin et de lrsquoavantage de geacuterer les problegravemes lieacutes aux SI aussi bien dans les uniteacutes meacutetiers quau sein de la fonction informatique Le processus de reacutesolution eacutevolue et est deacutesormais entre les mains de quelques individus cleacutes qui ont la responsabiliteacute drsquoidentifier et de reacutesoudre les problegravemes Lrsquoinformation est partageacutee parmi les employeacutes de faccedilon informelle et en fonction des circonstances Le niveau de services fournis agrave la communauteacute des utilisateurs est variable et est entraveacute par le manque de connaissances structureacutees accessibles au responsable de la gestion des problegravemes
3 Deacutefinie quand
Le besoin drsquoun systegraveme inteacutegreacute de gestion des problegravemes efficace est accepteacute et soutenu par le management et on dispose de budgets pour le personnel et pour la formation Les processus de reacutesolution et drsquoescalade ont eacuteteacute standardiseacutes La recherche et lenregistrement des problegravemes et de leurs solutions sont reacutepartis au sein de leacutequipe de traitement des problegravemes de faccedilon fragmentaire on utilise les outils disponibles mais il nrsquoy a pas de centralisation On ne deacutetectera vraisemblablement pas les eacutecarts par rapport aux normes et aux standards eacutetablis Lrsquoinformation est partageacutee par le personnel de faccedilon proactive et formelle Le management passe les incidents en revue et fait une analyse de lrsquoidentification et de la reacutesolution des problegravemes mais de faccedilon limiteacutee et informelle
4 Geacutereacutee et mesurable quand
Tous les niveaux de lentreprise ont compris le processus de gestion des problegravemes On a clairement reacuteparti les responsabiliteacutes et la proprieacuteteacute du processus On a documenteacute les meacutethodes et les proceacutedures on les a communiqueacutees et on a mesureacute leur efficaciteacute La majoriteacute des problegravemes sont identifieacutes enregistreacutes et rapporteacutes et leur reacutesolution est mise en chantier On cultive et on entretient le niveau de connaissances et de compeacutetence on leacutelegraveve agrave des niveaux de plus en plus eacuteleveacutes du fait que la fonction reacutesolution des problegravemes est consideacutereacutee comme un atout essentiel pour atteindre les objectifs informatique et pour lrsquoameacutelioration des services informatiques La gestion des problegravemes est bien inteacutegreacutee aux processus qui lui sont lieacutes tels que gestion des incidents des changements de la disponibiliteacute et de la configuration elle aide les clients agrave geacuterer les donneacutees les eacutequipements et lexploitation On srsquoest mis drsquoaccord sur les ICP et le ICO du processus de gestion des problegravemes
5 Optimiseacutee quand
Le processus de gestion des problegravemes eacutevolue il est deacutesormais capable danticiper agrave plus long terme contribuant ainsi aux objectifs des SI On anticipe et on preacutevient les problegravemes On entretient les connaissances gracircce agrave des contacts reacuteguliers avec les fournisseurs et les experts sur des types de problegravemes passeacutes ou agrave venir Lenregistrement le compte rendu et lanalyse des problegravemes et de leur reacutesolution sont automatiseacutes et pleinement inteacutegreacutes agrave la gestion des donneacutees de configuration On mesure reacuteguliegraverement les objectifs La plupart des systegravemes ont eacuteteacute eacutequipeacutes de meacutecanismes de deacutetection et drsquoalertes automatiques qui sont suivis et eacutevalueacutes en permanence On analyse le processus de gestion des problegravemes pour son ameacutelioration continue en fonction des mesures et on en fait des comptes-rendus aux parties prenantes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 140
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
DESCRIPTION DU PROCESSUS
DS11 Geacuterer les donneacutees
Une gestion efficace des donneacutees impose drsquoidentifier les exigences qui les concernent Le processus de gestion des donneacutees neacutecessite aussi de mettre en place des proceacutedures efficaces pour geacuterer la meacutediathegraveque les sauvegardes et la restauration des donneacutees et lrsquoeacutelimination des meacutedias de faccedilon approprieacutee Une gestion efficace des donneacutees aide agrave garantir la qualiteacute et la disponibiliteacute au moment opportun des donneacutees meacutetiers
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Geacuterer les donneacutees
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin
en se concentrant sur
lrsquoexhaustiviteacute lrsquoexactitude la disponibiliteacute et la protection des donneacutees
atteint son objectif en
bull sauvegardant les donneacutees et en testant leur restauration bull geacuterant le stockage des donneacutees sur site et hors site bull disposant drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
et est mesureacute par
bull le pourcentage drsquoutilisateurs satisfaits de la disponibiliteacute des donneacutees bull le pourcentage de restaurations des donneacutees reacuteussies bull le nombre drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute restaureacutees apregraves la
mise au rebut des meacutedias
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 141
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
OBJECTIFS DE CONTROcircLE
DS11 Geacuterer les donneacutees
DS111 Exigences des meacutetiers pour la gestion des donneacutees Veacuterifier qursquoon reccediloit toutes les donneacutees attendues drsquoun traitement et qursquoelles sont traiteacutees complegravetement avec justesse en temps opportun et que tous les reacutesultats sont fournis conformeacutement aux exigences des meacutetiers Prendre en compte les besoins de redeacutemarrage et de retraitement
DS112 Dispositifs de stockage et de conservation Deacutefinir et mettre en place des proceacutedures efficaces et efficientes de stockage de conservation et drsquoarchivage des donneacutees en reacuteponse aux objectifs des meacutetiers ainsi qursquoaux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
DS113 Systegraveme de gestion de la meacutediathegraveque Deacutefinir et mettre en place des proceacutedures pour tenir agrave jour un inventaire des meacutedias stockeacutes et archiveacutes de faccedilon agrave srsquoassurer qursquoils sont utilisables et garantir leur inteacutegriteacute
DS114 Mise au rebut Deacutefinir et mettre en œuvre des proceacutedures permettant de srsquoassurer que les exigences des meacutetiers en termes de protection de donneacutees sensibles et de logiciels sont satisfaites lors de la mise au rebut ou du transfert de donneacutees et de mateacuteriel
DS115 Sauvegarde et restauration Deacutefinir et mettre en place des proceacutedures pour la sauvegarde et la restauration des systegravemes des applications des donneacutees et de la documentation conformes aux exigences des meacutetiers et au plan de continuiteacute
DS116 Exigences de seacutecuriteacute pour la gestion des donneacutees Deacutefinir et mettre en place des politiques et proceacutedures pour identifier et mettre en œuvre les exigences de seacutecuriteacute applicables agrave la reacuteception au traitement au stockage physique et agrave la sortie de donneacutees conformeacutement aux objectifs des meacutetiers aux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 142
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
GUIDE DE MANAGEMENT
DS11 Geacuterer les donneacutees
De Entreacutees
PO2 Dictionnaire des donneacutees classifications attribueacutees aux donneacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
DS1 CE
DS4 Plans de stockage et de protection des sauvegardes
DS5 Plan et politiques de seacutecuriteacute informatique
Sorties Vers Rapports sur la performance des processus SE1 Instructions drsquoexploitation pour la gestion des donneacutees DS13
Traduire en proceacutedures les exigences de stockage et de conservation des donneacutees A I C R C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour geacuterer la meacutediathegraveque A R C C I C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour une mise au rebut seacutecuriseacutee des meacutedias et des eacutequipements
A C R I C
Sauvegarder les donneacutees selon le plan preacutevu A R
Deacutefinir tenir agrave jour et mettre en place les proceacutedures de restauration des donneacutees A C R C C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Assurer la conformiteacute des SI aux lois et regraveglements
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave il a eacuteteacute impossible des reacutecupeacuterer des donneacutees vitales pour lrsquoactiviteacute des meacutetiers bull Pourcentage dutilisateurs satisfaits de la disponibiliteacute des donneacutees bull Nb dincidents de non-conformiteacute aux lois agrave cause de problegravemes de gestion des donneacutees
bull Pourcentage de restaurations de donneacutees reacuteussies bull Nb drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute reacutecupeacutereacutees apregraves la mise au rebut des meacutedias bull Nb de pannes ou drsquoincidents affectant lrsquointeacutegriteacute des donneacutees du fait de capaciteacutes de stockage insuffisantes
bull Freacutequence des tests des meacutedias de sauvegarde bull Deacutelai moyen pour la restauration des donneacutees
Processus
bull Srsquoassurer que les donneacutees stockeacutees restent complegravetes exactes valides et accessibles bull Assurer la seacutecuriteacute des donneacutees lors de la mise au rebut des medias bull Geacuterer efficacement le stockage des meacutedias
Activiteacutes
bull Sauvegarder les donneacutees et tester leur restauration bull Geacuterer le stockage des donneacutees sur site et hors site bull Disposer drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 143
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
MODEgraveLE DE MATURITEacute
DS11 Geacuterer les donneacutees
La gestion du processus Geacuterer les donneacutees qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin est
0 Inexistante quand
Les donneacutees ne sont pas consideacutereacutees comme des ressources ni comme des actifs de lrsquoentreprise Elles nont pas de proprieacutetaire et personne nest individuellement responsable de leur gestion La qualiteacute et la seacutecuriteacute des donneacutees sont faibles ou nulles
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin drsquoune gestion efficace des donneacutees Il existe une approche au cas par cas pour speacutecifier les exigences de seacutecuriteacute concernant la gestion des donneacutees mais il nrsquoexiste pas de proceacutedures formelles de communication Il nrsquoy a pas de formation sur la gestion des donneacutees La responsabiliteacute de la gestion des donneacutees nrsquoest pas claire Les proceacutedures de sauvegarderestauration et les dispositifs de mise au rebut sont en place
2 Reproductible mais intuitive quand
La conscience du besoin drsquoune gestion preacutecise des donneacutees existe dans lrsquoensemble de lrsquoentreprise On commence agrave attribuer la proprieacuteteacute des donneacutees agrave haut niveau Les exigences de seacutecuriteacute pour la gestion des donneacutees sont documenteacutees par des individus cleacutes On fait une certaine surveillance des activiteacutes cleacutes de gestion des donneacutees au sein de lrsquoinformatique (par ex sauvegarde restauration destruction) On a attribueacute de faccedilon informelle les responsabiliteacutes de la gestion des donneacutees agrave des individus cleacutes de lrsquoinformatique
3 Deacutefinie quand
On a compris et accepteacute le besoin de gestion des donneacutees dans toute lorganisation La responsabiliteacute de la gestion des donneacutees est eacutetablie La proprieacuteteacute des donneacutees est attribueacutee au groupe responsable qui controcircle lrsquointeacutegriteacute et la seacutecuriteacute Les proceacutedures de gestion des donneacutees sont formaliseacutees au sein de lrsquoinformatique et on utilise certains outils de sauvegarderestauration et de mise au rebut des eacutequipements Une certaine surveillance de la gestion des donneacutees est en place Les meacutetriques de base de performance sont deacutefinies On commence agrave voir des formations pour le personnel en charge de la gestion des donneacutees
4 Geacutereacutee et mesurable quand
On comprend le besoin de geacuterer les donneacutees et on accepte les actions neacutecessaires agrave cet objectif dans lrsquoentreprise Les responsabiliteacutes de la proprieacuteteacute et de la gestion des donneacutees sont clairement deacutefinies attribueacutees et communiqueacutees dans lrsquoentreprise On a formaliseacute les proceacutedures elles sont largement connues et on partage les connaissances On commence agrave utiliser les outils disponibles Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients et surveilleacutes au moyen drsquoun processus bien deacutefini Une formation formaliseacutee agrave lrsquointention du personnel de gestion des donneacutees est en place
5 Optimiseacutee quand
Le besoin de geacuterer les donneacutees et toutes les actions neacutecessaires agrave cet objectif sont compris et accepteacutes dans lrsquoentreprise On analyse de faccedilon proactive les besoins et les exigences futurs On a clairement eacutetabli les responsabiliteacutes de la proprieacuteteacute des donneacutees et de leur gestion elles sont largement connues dans lrsquoentreprise et reacuteviseacutees lorsque crsquoest opportun On a formaliseacute les proceacutedures elles sont largement connues et le partage les connaissances est devenu une pratique standard On utilise des outils sophistiqueacutes et automatiseacutes au maximum pour la gestion des donneacutees Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients ils sont lieacutes aux objectifs des meacutetiers et reacuteguliegraverement surveilleacutes au moyen drsquoun processus bien deacutefini On explore en permanence les opportuniteacutes drsquoameacutelioration On a institutionnaliseacute la formation du personnel de gestion des donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 144
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
DESCRIPTION DU PROCESSUS
DS12 Geacuterer lrsquoenvironnement physique
La protection des eacutequipements informatiques et du personnel exige des installations mateacuterielles bien conccedilues et bien geacutereacutees Le processus de gestion de lrsquoenvironnement mateacuteriel comporte la deacutefinition des exigences du site physique le choix des installations adeacutequates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accegraves physiques La gestion efficace de lrsquoenvironnement physique reacuteduit les risques drsquointerruption de lrsquoactiviteacute du fait de dommages subis par le mateacuteriel informatique et par le personnel
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoenvironnement physique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute
en se concentrant sur
la fourniture et la maintenance drsquoun environnement physique adapteacute pour proteacuteger lrsquoaccegraves aux ressources informatiques leur deacuteteacuterioration ou leur vol
atteint son objectif en
bull mettant en place des mesures de seacutecuriteacute bull seacutelectionnant et en geacuterant les installations
et est mesureacute par
bull le nombre drsquointerruptions de service dues agrave des incidents touchant lrsquoenvironnement physique
bull le nombre drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull la freacutequence des eacutevaluations et des revues du risque physique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 145
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
OBJECTIFS DE CONTROcircLE
DS12 Geacuterer lrsquoenvironnement physique
DS121 Seacutelection du site et agencement Deacutefinir et seacutelectionner les sites physiques des eacutequipements informatiques en conformiteacute avec la strateacutegie informatique elle-mecircme lieacutee agrave la strateacutegie des meacutetiers La seacutelection et la conception de lrsquoagencement drsquoun site doivent prendre en compte les risques lieacutes aux sinistres drsquoorigine naturelle ou humaine ainsi que les lois et regraveglements concernant par exemple la meacutedecine du travail et les reacuteglementations sur la seacutecuriteacute
DS122 Mesures de seacutecuriteacute physique Deacutefinir et mettre en place des mesures de seacutecuriteacute physique conformes aux exigences des meacutetiers pour seacutecuriser le site et les actifs physiques Les mesures de seacutecuriteacute physique doivent permettre de preacutevenir deacutetecter et reacuteduire de maniegravere efficace les risques lieacutes au vol agrave la tempeacuterature agrave lrsquoincendie agrave la fumeacutee agrave lrsquoeau aux vibrations au terrorisme au vandalisme aux pannes drsquoeacutelectriciteacute aux produits chimiques et aux explosifs
DS123 Accegraves physique Deacutefinir et mettre en place les proceacutedures drsquoautorisation de limitation et de suppression drsquoaccegraves aux sites bacirctiments et zones selon les besoins des meacutetiers sans oublier les cas drsquourgence Les accegraves aux sites bacirctiments et zones doivent ecirctre justifieacutes autoriseacutes enregistreacutes et faire lrsquoobjet drsquoune surveillance Cela doit srsquoappliquer agrave toutes les personnes qui entrent sur le site y compris le personnel permanent ou temporaire les clients les fournisseurs les visiteurs et tout autre tiers
DS124 Protection contre les risques lieacutes agrave lenvironnement Eacutelaborer et mettre en place des mesures de protection contre les facteurs environnementaux Installer des eacutequipements et des dispositifs speacutecialiseacutes pour surveiller et controcircler lenvironnement
DS125 Gestion des installations mateacuterielles Geacuterer les installations y compris les eacutequipements eacutelectriques et de communication conformeacutement aux lois et regraveglements aux exigences techniques et meacutetiers aux speacutecifications des fournisseurs et aux regravegles concernant la santeacute et la seacutecuriteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 146
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
GUIDE DE MANAGEMENT
DS12 Geacuterer lrsquoenvironnement physique
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI3 Exigences de lrsquoenvironnement physique
Sorties Vers Rapports sur la performance des processus SE1
Deacutefinir le niveau de protection physique requis C AR C C
Choisir le site et se le faire attribuer (centre de traitement bureaux etc) I C C C C AR C C C C
Mettre en place des mesures relatives agrave lrsquoenvironnement physique I AR I I C
Geacuterer lrsquoenvironnement physique (y compris maintenance surveillance comptesshyrendus) AR C
Deacutefinir et mettre en place les proceacutedures drsquoaccegraves physique drsquoautorisation et de mise agrave jour C I AR I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister convenablement agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb dinterruptions de service dues agrave des incidents touchant lrsquoenvironnement physique bull Nb de blessures provoqueacutees par lrsquoenvironnement physique bull Nb de mises en cause de la seacutecuriteacute du fait drsquoincidents qui ont pour origine lrsquoenvironnement physique
bull Nb drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull Nb drsquoaccegraves non autoriseacutes aux installations informatiques
bull Freacutequence des sessions de formation du personnel aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Pourcentage du personnel formeacute aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Nb de tests de reacuteduction des risques effectueacutes au cours de lrsquoanneacutee eacutecouleacutee bull Freacutequence des eacutevaluations et des revues du risque physique
bull Mettre en place des mesures de seacutecuriteacute physique bull Seacutelectionner et geacuterer les installations avec rigueur
Processus
bull Fournir et maintenir agrave niveau un environnement physique adapteacute aux infrastructures et aux ressources informatiques bull Interdire lrsquoaccegraves agrave lrsquoenvironnement physique de ceux qui nrsquoen ont pas besoin
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 147
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
MODEgraveLE DE MATURITEacute
DS12 Geacuterer lrsquoenvironnement physique
La gestion du processus Geacuterer lrsquoenvironnement physique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique de proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute est
0 Inexistante quand
Personne na conscience de la neacutecessiteacute de proteacuteger les installations ou les investissements en ressources informatiques On nexerce ni surveillance ni controcircle sur les facteurs de risques environnementaux comme le feu la poussiegravere leacutelectriciteacute ou les excegraves de chaleur ou dhumiditeacute
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil est neacutecessaire pour lactiviteacute professionnelle de mettre en place un environnement physique adapteacute qui protegravege les ressources et le personnel contre les dangers dorigine naturelle ou humaine La gestion des installations et des eacutequipements ne deacutepend que des compeacutetences et aptitudes de certains individus cleacutes Le personnel peut circuler dans les locaux sans restriction Le management ne surveille pas le controcircle de lenvironnement des installations ni les mouvements du personnel
2 Reproductible mais intuitive quand
Les controcircles de lenvironnement sont mis en place et suivis par le personnel dexploitation La seacutecuriteacute physique est un processus informel initieacute par un petit groupe demployeacutes tregraves sensibles agrave la seacutecuriteacute des installations mateacuterielles Les proceacutedures de maintenance des installations ne sont pas bien documenteacutees et sappuient sur les bonnes pratiques de quelques individus Les objectifs de seacutecuriteacute physique ne sont baseacutes sur aucune norme formelle et le management ne sassure pas que les objectifs sont atteints
3 Deacutefinie quand
Le besoin de maintenir un environnement informatique controcircleacute est compris et accepteacute dans lentreprise Les controcircles environnementaux la maintenance preacuteventive et la seacutecuriteacute physique sont des postes budgeacutetaires approuveacutes et suivis par les dirigeants On applique des restrictions daccegraves et seul le personnel accreacutediteacute peut acceacuteder aux installations informatiques On enregistre les visiteurs et on les escorte si cela paraicirct neacutecessaire Les installations mateacuterielles ne se font pas remarquer et ne sont pas identifiables au premier coup dœil Les autoriteacutes civiles surveillent la conformiteacute avec les regravegles dhygiegravene et de seacutecuriteacute Lentreprise a contracteacute une assurance risques mais leffort pour optimiser son coucirct est minime
4 Geacutereacutee et mesurable quand
Le besoin de maintenir un environnement informatique controcircleacute apparaicirct comme une eacutevidence dans la structure de lentreprise et dans lattribution du budget Les exigences de seacutecuriteacute de lenvironnement et des installations sont documenteacutees et les accegraves sont strictement controcircleacutes et surveilleacutes On a deacutesigneacute les responsables et les proprieacutetaires et on a fait connaicirctre leurs noms Le personnel qui travaille sur les installations est complegravetement formeacute aux situations durgence ainsi quaux pratiques dhygiegravene et de seacutecuriteacute Des meacutecanismes de controcircle standardiseacutes sont en place pour restreindre les accegraves aux installations et pour agir sur les facteurs denvironnement et de seacutecuriteacute Le management surveille lefficaciteacute des controcircles et leur conformiteacute aux normes eacutetablies Le management a mis au point des objectifs et des meacutetriques pour eacutevaluer la gestion de lrsquoenvironnement informatique La possibiliteacute de reacutetablir les ressources informatiques fait partie du processus de gestion des risques de lrsquoentreprise On integravegre lrsquoinformation pour optimiser la couverture des assurances et leur coucirct
5 Optimiseacutee quand
Il existe un plan agrave long terme qui concerne les installations neacutecessaires agrave lenvironnement informatique de lentreprise On a deacutefini pour toutes les installations des normes qui sappliquent au choix des sites agrave la construction au gardiennage au personnel de seacutecuriteacute aux systegravemes meacutecaniques et eacutelectriques agrave la protection contre les risques lieacutes agrave lrsquoenvironnement (ex feu foudre inondations) Toutes les installations sont inventorieacutees et classeacutees en conformiteacute avec le processus continu de gestion des risques de lentreprise Les accegraves sont strictement controcircleacutes et surveilleacutes en permanence en fonction des besoins professionnels et les visiteurs sont systeacutematiquement escorteacutes Lenvironnement est surveilleacute et controcircleacute au moyen de mateacuteriels speacutecialiseacutes et personne nrsquoest preacutesent dans les locaux techniques On eacutevalue et on mesure reacuteguliegraverement les objectifs Les programmes de maintenance preacuteventive suivent en pratique un respect strict des plannings et on fait reacuteguliegraverement subir des tests aux eacutequipements sensibles La strateacutegie et les normes qui concernent les installations sont aligneacutees sur les objectifs de disponibiliteacute des services informatiques et elles font partie inteacutegrante de la planification de la continuiteacute de lactiviteacute de lentreprise et de la gestion de crise Le management passe en revue et optimise les installations reacuteguliegraverement en srsquoappuyant sur les objectifs et les meacutetriques et il profite des occasions qui se preacutesentent pour ameacuteliorer la contribution des SI aux meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 148
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
DESCRIPTION DU PROCESSUS
DS13 Geacuterer lrsquoexploitation
Pour un traitement complet et exact des donneacutees il faut une gestion efficace des proceacutedures de traitement des donneacutees et une maintenance appliqueacutee du mateacuteriel informatique Ce processus implique de deacutefinir des politiques et des proceacutedures drsquoexploitation neacutecessaires agrave une gestion efficace des traitements programmeacutes de proteacuteger les sorties sensibles de surveiller lrsquoinfrastructure et drsquoeffectuer une maintenance preacuteventive du mateacuteriel La gestion efficace de lrsquoexploitation aide agrave maintenir lrsquointeacutegriteacute des donneacutees et agrave reacuteduire les deacutelais et les coucircts drsquoexploitation informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoexploitation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances
en se concentrant sur
la gestion des niveaux de services drsquoexploitation pour les traitements programmeacutes la protection des sorties sensibles et la surveillance et la maintenance de lrsquoinfrastructure
atteint son objectif en
bull exploitant lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus et aux instructions deacutefinies
bull assurant la maintenance de lrsquoinfrastructure informatique
et est mesureacute par
bull le nombre de contrats de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull le nombre drsquoheures drsquoinactiviteacute non preacutevues provoqueacutees par des incidents drsquoexploitation bull le pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance
preacuteventive
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 149
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
OBJECTIFS DE CONTROcircLE
DS13 Geacuterer lrsquoexploitation
DS131 Proceacutedures et instructions drsquoexploitation Deacutefinir mettre en place et tenir agrave jour des proceacutedures standard pour lrsquoexploitation informatique en srsquoassurant que le personnel connaicirct bien toutes les tacircches drsquoexploitation qui deacutependent de lui Les proceacutedures drsquoexploitation doivent tenir compte des changements drsquoeacutequipes (passation des consignes formaliseacutee eacutetats drsquoavancement problegravemes drsquoexploitation proceacutedures drsquoescalade et rapports sur les responsabiliteacutes en cours) pour reacutepondre aux contrats de services convenus et garantir la continuiteacute de lrsquoexploitation
DS132 Planification des travaux Organiser la planification des travaux processus et tacircches selon la seacutequence la plus efficace en optimisant le deacutebit et lrsquoutilisation des ressources pour reacutepondre aux exigences des meacutetiers
DS133 Surveillance de lrsquoinfrastructure informatique Deacutefinir et mettre en place des proceacutedures pour surveiller lrsquoinfrastructure informatique et les eacuteveacutenements qui srsquoy rapportent Srsquoassurer qursquoun historique suffisant des opeacuterations est stockeacute dans les journaux dexploitation pour permettre la reconstruction la revue et lanalyse des seacutequences chronologiques des traitements et des autres activiteacutes lieacutees agrave ces traitements ou leur apportant un soutien
DS134 Documents sensibles et dispositifs de sortie Mettre en place des dispositifs de seacutecuriteacute physique approprieacutes les pratiques de comptabiliteacute et de gestion drsquoinventaires pour les actifs informatiques sensibles comme les formulaires speacuteciaux les effets de commerce les imprimantes speacutecialiseacutees et les systegravemes drsquoidentification
DS135 Maintenance preacuteventive du mateacuteriel Deacutefinir et mettre en place des proceacutedures pour garantir la maintenance en temps opportun de lrsquoinfrastructure afin de reacuteduire la freacutequence et les conseacutequences de deacutefaillances ou de deacutegradation des performances
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 150
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
GUIDE DE MANAGEMENT
DS13 Geacuterer lrsquoexploitation
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Plans de mises en production de publication et de diffusion de logiciels
DS1 CS et CE
DS4 Plan de stockage et de protection des sauvegardes
DS9 Configuration informatiquedeacutetail des actifs
DS11
Instructions drsquoexploitation pour la gestion des donneacutees
Sorties Vers Tickets drsquoincidents DS8 Historiques des erreurs DS10 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes
Creacuteermodifier les proceacutedures drsquoexploitation (comme manuels listes de controcircle planning des changements drsquoeacutequipes documentation pour la passation des consignes proceacutedures drsquoescalade etc)
AR I
Programmer la charge de travail et les traitements par lots C AR C C
Surveiller lrsquoinfrastructure et le traitement et reacutesoudre les problegravemes AR I
Geacuterer les sorties et en assurer la seacutecuriteacute (par exemple papier supports eacutelectroniques) AR C
Appliquer les correctifs et les modifications au planning et agrave lrsquoinfrastructure C AR C C C
Mettre en place un processus pour preacuteserver les systegravemes drsquoauthentification des intrusions des pertes et du vol A R I C
Planifier et effectuer une maintenance preacuteventive AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
induit
induit
Meacutetriq
ues
bull Nb de niveaux de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull Nb drsquoheures drsquoinactiviteacute non preacutevues dues agrave des incidents drsquoexploitation
bull Nb drsquointerruptions de service et de retards provoqueacutes par le non respect des proceacutedures drsquoexploitation bull Pourcentage de traitements programmeacutes et de traitements speacuteciaux exeacutecuteacutes avec retard bull Nb drsquointerruptions de service et de retards provoqueacutes par des proceacutedures inadapteacutees
bull Nb de journeacutees de formation par personnel drsquoexploitation et par an bull Pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance preacuteventive bull Pourcentage de programmes de travail automatiseacutes bull Freacutequence des mises agrave jour des proceacutedures drsquoexploitation
Processus
bull Deacutefinir des proceacutedures drsquoexploitation conformes aux niveaux de services convenus bull Effectuer les traitements programmeacutes et les demandes de traitements speacuteciaux conformeacutement aux niveaux de services convenus bull Mettre en place des dispositifs de seacutecuriteacute physique pour les informations sensibles
Activiteacutes
bull Exploiter lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus avec les instructions deacutefinies et une supervision eacutetroite bull Assurer une maintenance preacuteventive et une surveillance de lrsquoinfrastructure informatique
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 151
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
MODEgraveLE DE MATURITEacute
DS13 Geacuterer lrsquoexploitation
La gestion du processus Geacuterer lrsquoexploitation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances est
0 Inexistante quand
Lentreprise ne consacre ni temps ni ressources agrave la mise en place des eacuteleacutements de base dune activiteacute drsquoassistance informatique ou drsquoactiviteacutes drsquoexploitation informatique
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil faut structurer les fonctions de support informatique Cependant on na eacutetabli que peu de proceacutedures standard et les activiteacutes drsquoexploitation nrsquointerviennent qursquoau cas par cas La plus grande partie de lexploitation nest pas formellement planifieacutee et les demandes de traitements informatiques sont accepteacutees sans validation preacutealable Les ordinateurs les systegravemes et les applications qui assistent les processus meacutetiers sont souvent interrompus retardeacutes indisponibles Les employeacutes perdent du temps agrave attendre des ressources disponibles Les reacutesultats des traitements sortent parfois agrave des endroits inattendus ou pas du tout
2 Reproductible mais intuitive quand
Lentreprise est consciente du rocircle essentiel que joue lrsquoexploitation informatique en assurant des fonctions drsquoassistance informatique On attribue au cas par cas les budgets pour les outils informatiques Lassistance de linformatique aux autres fonctions est informelle et intuitive On deacutepend largement des compeacutetences et des aptitudes de certains individus Les instructions preacutecisant ce quil faut faire quand et dans quel ordre ne sont pas documenteacutees Il existe des formations drsquoexploitant et il existe quelques normes officielles de fonctionnement
3 Deacutefinie quand
La neacutecessiteacute dune gestion de lexploitation informatique est comprise et accepteacutee dans lentreprise On attribue les ressources correspondantes et certaines formations sont faites sur le tas Les fonctions reacutepeacutetitives sont formellement deacutefinies standardiseacutees documenteacutees et diffuseacutees Les eacuteveacutenements et les reacutesultats des travaux acheveacutes sont enregistreacutes avec des comptes-rendus succincts au management On introduit lutilisation doutils de planification automatique et autres pour limiter les interventions humaines On introduit des controcircles pour la mise en traitement de nouveaux travaux On deacuteveloppe une politique formelle pour reacuteduire le nombre drsquoeacuteveacutenements impreacutevus Les contrats de maintenance et de services avec les fournisseurs sont encore de nature informelle
4 Geacutereacutee et mesurable quand
On a clairement deacutefini les responsabiliteacutes de lexploitation informatique et des activiteacutes de support et on en a deacutesigneacute les proprieacutetaires On a deacutegageacute pour lexploitation des ressources dans les budgets dinvestissements et dans les ressources humaines La formation est formaliseacutee et permanente Les plannings et les tacircches sont documenteacutes et diffuseacutes agrave la fois au sein de la fonction informatique et aux clients meacutetiers Il est possible de mesurer et de surveiller les activiteacutes quotidiennes en relation avec les contrats de performance standard et les niveaux de services convenus On relegraveve et on corrige rapidement tout eacutecart par rapport aux normes eacutetablies Le management surveille lutilisation des ressources informatiques et la bonne fin des travaux et des tacircches assigneacutees Il existe un effort constant pour ameacuteliorer le niveau dautomatisation des processus comme moyen drsquoameacutelioration continue On a eacutetabli des contrats formels de maintenance et de services avec les fournisseurs Lalignement est total avec les processus de gestion des problegravemes et de la capaciteacute entre autres gracircce agrave lanalyse des causes des eacutechecs et des erreurs
5 Optimiseacutee quand
Le support informatique et lexploitation sont efficaces efficients et suffisamment souples pour atteindre les niveaux de services souhaiteacutes avec des pertes de productiviteacute minimales Les processus de gestion de lexploitation sont standardiseacutes et documenteacutes dans une base de connaissances et sont sujets agrave de continuelles ameacuteliorations Les processus automatiseacutes qui supportent les systegravemes fonctionnent sans agrave-coups et contribuent agrave un environnement stable On analyse tous les problegravemes et les eacutechecs pour trouver les causes initiales Des reacuteunions reacuteguliegraveres avec leacutequipe de gestion des changements permettent dinclure en temps utile des modifications dans les plannings de production Lacircge et les disfonctionnements des mateacuteriels sont analyseacutes en coopeacuteration avec les fournisseurs et la maintenance devient essentiellement preacuteventive
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 152
SURVEILLER ET EVALUER
SE1 Surveiller et eacutevaluer la performance des SI SE2 Surveiller et eacutevaluer le controcircle interne SE3 Srsquoassurer de la conformiteacute aux obligations externes SE4 Mettre en place une gouvernance des SI
SUR
VE
ILL
ER
ET
EacuteV
AL
UE
R
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
DESCRIPTION DU PROCESSUS
SE1 Surveiller et eacutevaluer les performances des SI
Une gestion efficace des SI exige un processus de surveillance Ce processus inclut la deacutefinition dindicateurs pertinents de performance la publication systeacutematique et en temps opportun de rapports sur la performance et une reacuteaction rapide aux anomalies Il faut une surveillance pour srsquoassurer qursquoon fait ce qursquoil faut conformeacutement aux orientations et aux politiques deacutefinies
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance
en se concentrant sur
la surveillance des meacutetriques des processus et leurs comptes-rendus et la recherche et la mise en place drsquoactions destineacutees agrave ameacuteliorer la performance
atteint son objectif en
bull collationnant des rapports de performance et en les traduisant en rapports de gestion bull comparant les performances aux objectifs convenus et en mettant en place des actions correctrices
lorsque crsquoest neacutecessaire
et est mesureacute par
bull la satisfaction du management et des responsables de la gouvernance agrave propos des rapports de performance
bull le nombre drsquoactions drsquoameacuteliorations susciteacutees par les activiteacutes de surveillance le nombre de processus critiques surveilleacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 153
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
OBJECTIFS DE CONTROcircLE
SE1 Surveiller et eacutevaluer la performance des SI
SE11 Approche de la surveillance Constituer un reacutefeacuterentiel et une approche geacuteneacuterale de la surveillance qui deacutefinisse lrsquoeacutetendue la meacutethodologie et le processus agrave suivre pour mesurer la deacutelivrance de solutions et de services informatiques et surveiller la contribution des SI aux meacutetiers Inteacutegrer ce reacutefeacuterentiel au systegraveme de gestion des performances de lrsquoentreprise
SE12 Deacutefinition et collationnement des donneacutees de surveillance En associant les meacutetiers deacutefinir un ensemble eacutequilibreacute drsquoobjectifs de performance et les faire approuver par les meacutetiers et par les autres parties prenantes concerneacutees Mettre en place des analyses comparatives pour deacutefinir les objectifs et recenser les donneacutees neacutecessaires agrave collecter pour mesurer ces objectifs Mettre en place les processus pour collecter des donneacutees exactes au bon moment et rendre compte de la progression vers les objectifs viseacutes
SE13 Meacutethode de surveillance Mettre en place une meacutethode de surveillance (par ex tableau de bord eacutequilibreacute) qui prend en compte les objectifs enregistre les mesures offre une vision condenseacutee geacuteneacuterale de la performance des SI et est compatible avec le systegraveme de surveillance de lrsquoentreprise
SE14 Eacutevaluation de la performance Comparer peacuteriodiquement les performances aux objectifs analyser les causes des eacutecarts et initier des actions correctives pour traiter les causes sous-jacentes De temps en temps reacutealiser des analyses causales de ces eacutecarts
SE15 Comptes-rendus destineacutes au conseil drsquoadministration et agrave la direction geacuteneacuterale Produire agrave la direction geacuteneacuterale des rapports sur la contribution des SI aux meacutetiers particuliegraverement en ce qui concerne la performance du portefeuille de lrsquoentreprise les programmes drsquoinvestissements deacutependant de lrsquoinformatique et la performance des solutions et services deacutelivreacutes par chacun des programmes Les rapports indiquent dans quelle mesure les objectifs preacutevus ont eacuteteacute atteints les ressources budgeacutetiseacutees utiliseacutees les objectifs de performance preacutevus atteints et les risques reacuteduits Anticiper sur la revue qui en sera faite par la direction geacuteneacuterale en proposant des actions correctives pour remeacutedier aux eacutecarts les plus importants Fournir les rapports agrave la direction geacuteneacuterale et lui demander un retour apregraves revue
SE16 Actions correctives Deacutefinir et entreprendre les actions correctives qui srsquoappuient sur la surveillance lrsquoeacutevaluation et le compte-rendu de la performance Cela implique un suivi de toutes les actions de surveillance de compte-rendu et drsquoeacutevaluation par bull Lrsquoexamen la discussion et lrsquoeacutelaboration de propositions drsquoactions correctives par le management bull Lrsquoattribution de la responsabiliteacute de lrsquoaction corrective bull Le suivi des reacutesultats de cette action
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 154
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
GUIDE DE MANAGEMENT
SE1 Surveiller et eacutevaluer la performance des SI
De Entreacutees
PO5 Rapports coucirctsbeacuteneacutefices
PO10 Rapports sur la performance des projets
AI6 Rapports sur le statut des changements
DS1shy13 Rapports sur la performance des processus
DS8 Rapports sur la satisfaction des utilisateurs
SE2 Rapport sur lrsquoefficaciteacute des controcircles informatiques
SE3 Rapports sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE4 Etat de situation de la gouvernance des SI
Sorties Vers Entreacutee de la performance dans le planning SI PO1 PO2 DS1 Plans drsquoactions correctives PO4 PO8 Historique des eacuteveacutenements de risque et des tendances PO9 Rapports sur la performance des processus SE2
Bacirctir lrsquoapproche de surveillance A R C R I C I C I C
Identifier et faire la liste des objectifs mesurables qui vont dans le sens des objectifs meacutetiers C C C A R R R
Creacuteer des tableaux de bord A R C R C
Eacutevaluer la performance I I A R R C R C
Rendre compte de la performance I I I R A R R C R C I
Identifier et surveiller les actions destineacutees agrave ameacuteliorer la performance A R R C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de gouvernance en accord avec les orientations de la direction geacuteneacuteraledu CA bull Reacutepondre aux exigences des meacutetiers en accord avec la strateacutegie des meacutetiers bull Srsquoassurer que les SI font preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services des SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de modifications drsquoobjectifs pour les indicateurs drsquoefficaciteacute et drsquoefficience des processus informatiques bull Taux de satisfaction du management et de la gouvernance agrave propos des rapports sur la performance bull Nb de reacuteduction du nombre de carences flagrantes des processus
bull Taux de satisfaction des parties prenantes par le processus de mesure bull Pourcentage de processus critiques surveilleacutes bull Nb drsquoactions drsquoameacuteliorations induites par les activiteacutes de surveillance bull Nb drsquoobjectifs de surveillance atteints (indicateurs controcircleacutes)
bull Deacutelai entre le rapport sur une deacutefaillance et le deacutebut de laction entreprise pour y remeacutedier bull Deacutelai pour mettre agrave jour les outils de mesure pour qursquoils reflegravetent veacuteritablement les objectifs de performance les mesures les cibles viseacutees et les tests comparatifs bull Nb de meacutetriques (par processus) bull Nb de relations de causes agrave effets deacutecouvertes et inteacutegreacutees dans la surveillance bull Nb efforts neacutecessaires pour reacuteunir les donneacutees de surveillance bull Nb de problegravemes non identifieacutes par les processus de mesure bull Pourcentage de meacutetriques qui permettent de se comparer aux standards et aux objectifs du secteur
Processus
bull Fixer des objectifs mesurables des ICO et des ICP pour les processus informatiques cleacutes bull Mesurer et surveiller et en rendre compte des meacutetriques des processus bull Identifier et mettre en place les actions destineacutees agrave ameacuteliorer la performance
Activiteacutes
bull Reacutecupeacuterer et rassembler les rapports sur la performance et les traduire en rapports de gestion bull Comparer les performances aux objectifs convenus et mettre en place des actions correctrices lorsque crsquoest neacutecessaire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 155
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
MODEgraveLE DE MATURITEacute
SE1 Surveiller et eacutevaluer la performance des SI
La gestion du processus Surveiller et Eacutevaluer les performances des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance est
0 Inexistante quand
Lentreprise na pas mis en place de processus de surveillance La DSI nexerce pas de faccedilon indeacutependante de surveillance des projets ou des processus On ne dispose pas en temps opportun de rapports utiles ou preacutecis On ne reconnaicirct pas le besoin de fixer des objectifs clairs pour les processus
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct le besoin de collecter et deacutevaluer des informations pour la surveillance des processus On na pas deacutefini de normes pour la collecte des informations et leacutevaluation des processus La surveillance est mise en place et les meacutetriques sont choisies au cas par cas en fonction des besoins de projets et de processus informatiques speacutecifiques La surveillance est geacuteneacuteralement mise en place suite agrave un incident qui a causeacute des pertes ou une gecircne agrave lentreprise La fonction comptable surveille les mesures financiegraveres de base concernant les SI
2 Reproductible mais intuitive quand
On identifie les mesures de base agrave surveiller Il existe des meacutethodes et des techniques de collecte et deacutevaluation mais les processus ne sont pas adopteacutes dans lrsquoensemble de lentreprise Lrsquointerpreacutetation des reacutesultats de la surveillance se base sur les compeacutetences drsquoindividus cleacutes On choisit et on met en place des outils limiteacutes pour collecter les informations mais sans planification
3 Deacutefinie quand
Le management communique et met en place des processus de surveillance standard Des programmes denseignement et de formation sur la surveillance sont mis en place On deacuteveloppe et formalise une base de connaissances qui conserve lhistorique des performances Leacutevaluation est encore faite individuellement pour certains projets et certains processus informatiques mais elle nest pas geacuteneacuteraliseacutee On met en place des outils de suivi des processus et des niveaux de services internes agrave linformatique On preacutecise comment mesurer la contribution de lrsquoinformatique aux performances de lentreprise en utilisant des critegraveres financiers et opeacuterationnels traditionnels On deacutefinit des mesures de performance des mesures non financiegraveres des mesures strateacutegiques des mesures de la satisfaction des clients et de niveaux de services speacutecifiques agrave lrsquoinformatique On deacutefinit un cadre de reacutefeacuterence pour mesurer la performance
4 Geacutereacutee et mesurable quand
Le management deacutefinit les marges de toleacuterance acceptables pour les processus Les rapports sur les reacutesultats de la surveillance sont standardiseacutes et normaliseacutes On integravegre des outils de mesure agrave tous les projets et processus informatiseacutes Les systegravemes de reporting de gestion de la fonction informatique de lrsquoentreprise sont formaliseacutes On integravegre des outils automatiques de collecte et de surveillance des informations sur lactiviteacute dans toute lentreprise et on les mobilise pour faire le suivi des applications des systegravemes et des processus Le management est capable drsquoeacutevaluer la performance en se basant sur des critegraveres approuveacutes par les parties prenantes Les mesures effectueacutees par la fonction informatique sont conformes aux objectifs geacuteneacuteraux de lrsquoentreprise
5 Optimiseacutee quand
On deacuteveloppe un processus continu dameacutelioration de la qualiteacute pour mettre agrave niveau les standards et les politiques de surveillance agrave leacutechelle de lentreprise et pour adopter les meilleures pratiques de la profession Tous les processus de surveillance sont optimiseacutes et travaillent pour les objectifs geacuteneacuteraux de lentreprise On utilise couramment des meacutetriques inspireacutees par les meacutetiers pour mesurer les performances et on les integravegre dans les scheacutemas deacutevaluation strateacutegiques comme le tableau de bord eacutequilibreacute La surveillance et lrsquoameacutelioration permanente des processus sont conformes aux plans drsquoameacutelioration des processus meacutetiers dans lrsquoensemble de lrsquoentreprise Les tests comparatifs avec les autres entreprises et avec les principaux concurrents se sont formaliseacutes et utilisent des critegraveres de comparaison bien compris
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 156
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
DESCRIPTION DU PROCESSUS
SE2 Surveiller et eacutevaluer le controcircle interne
Eacutetablir un programme efficace de controcircle interne de lrsquoinformatique impose de bien deacutefinir un processus de surveillance Ce processus comporte la surveillance et les rapports sur les anomalies releveacutees les reacutesultats des autoeacutevaluations et des revues par des tiers Un des beacuteneacutefices essentiel de la surveillance du controcircle interne est de fournir lrsquoassurance drsquoune exploitation efficace et efficiente et la conformiteacute aux lois et reacuteglementations en vigueur
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Surveiller et eacutevaluer le controcircle interne
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI
en se concentrant sur
la surveillance des processus de controcircle interne pour les activiteacutes lieacutees aux SI et identifier les actions qui permettront des ameacuteliorations
atteint son objectif en
bull deacutefinissant un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull surveillant et en rendant compte de lrsquoefficaciteacute des controcircles internes des SI bull rapportant au management les anomalies deacutetecteacutees par les controcircles pour action
et est mesureacute par
bull le nombre de manquements majeurs au controcircle interne bull le nombre dinitiatives visant agrave lameacutelioration du controcircle bull le nombre des autoeacutevaluations de controcircle interne et lrsquoeacuteventail drsquoactiviteacutes couvertes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 157
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
OBJECTIFS DE CONTROcircLE
SE2 Surveiller et eacutevaluer le controcircle interne
SE21 Surveillance du reacutefeacuterentiel de controcircle interne Surveiller comparer agrave lrsquoaide drsquoanalyses et ameacuteliorer de faccedilon continue lrsquoenvironnement de controcircle de lrsquoinformatique et le reacutefeacuterentiel de controcircle pour atteindre les objectifs de lrsquoentreprise
SE22 Revue geacuteneacuterale Surveiller et eacutevaluer lrsquoefficaciteacute et lrsquoefficience des revues de controcircle interne effectueacutees par le management de lrsquoinformatique
SE23 Anomalies deacutetecteacutees par le controcircle Identifier les anomalies deacutetecteacutees par le controcircle les analyser et en identifier les causes sous-jacentes Faire remonter les anomalies et en produire un rapport pertinent aux parties prenantes Mettre en place les actions correctives neacutecessaires
SE24 Autoeacutevaluation du controcircle Veacuterifier que les controcircles du management sur les processus informatiques les politiques et les contrats sont complets et efficaces et reacutealiseacutes au moyen drsquoun programme permanent drsquoautoeacutevaluation
SE25 Assurance de controcircle interne Obtenir en fonction des besoins lrsquoassurance suppleacutementaire de lrsquoexhaustiviteacute et de lrsquoefficaciteacute des controcircles internes par des revues effectueacutees par des tiers
SE26 Controcircle interne des tiers Eacutevaluer la situation des controcircles internes des fournisseurs de services externe Confirmer que les fournisseurs de services externes se conforment aux exigences leacutegales et reacuteglementaires ainsi qursquoagrave leurs obligations contractuelles
SE27 Actions correctives Deacutefinir initier mettre en place et suivre les actions correctives reacutesultant des eacutevaluations et les rapports de controcircle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 158
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
it
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
GUIDE DE MANAGEMENT
SE2 Surveiller et eacutevaluer le controcircle interne
De Entreacutees
SE1 Rapports sur la performance des processus
Sorties Vers Rapports sur lrsquoefficaciteacute des controcircles des SI PO4 PO6 SE1 SE4
Surveiller et controcircler les activiteacutes du controcircle interne des SI A R R R R
Surveiller le processus drsquoautoshyeacutevaluation I A R R R C
Surveiller la performance des revues indeacutependantes des audits et des investigations I A R R R C
Surveiller le processus drsquoobtention drsquoune assurance sur les controcircles opeacutereacutes par des tiers I I I A R R R C
Surveiller le processus drsquoidentification et drsquoeacutevaluation des anomalies deacutetecteacutees I I I A I R R R C
Surveiller le processus drsquoidentification et de correction des anomalies deacutetecteacutees I I I A I R R R C
Rendre compte aux principales parties prenantes I I I AR I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Preacuteserver le succegraves des objectifs informatiques bull Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
induinduit
bull Freacutequence des incidents de controcircle interne bull Nb de faiblesses identifieacutees par les rapports de qualification et de certification externes bull Nb dinitiatives visant agrave lameacutelioration du controcircle bull Nb dincidents de non-conformiteacute aux lois ou regraveglements bull Nb drsquoactions entreprises au bon moment sur des problegravemes de controcircle interne
bull Nb et couverture des auto-eacutevaluations de controcircle interne bull Nb et couverture des controcircles internes sujets agrave des revues geacuteneacuterales bull Deacutelai entre les deacutefaillances de controcircle interne et le rapport qui en est fait bull Nb et freacutequence des rapports de la conformiteacute interne et eacuteventail couvert
Activiteacutes
bull Deacutefinir un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull Surveiller et rendre compte de lrsquoefficaciteacute des controcircles internes des SI bull Rapporter au management les anomalies deacutetecteacutees par les controcircles pour action
bull Surveiller la reacutealisation des objectifs de controcircle interne deacutefinis pour les processus informatiques bull Identifier les actions drsquoameacutelioration du controcircle interne
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Taux de satisfaction du management agrave propos des rapports de surveillance du controcircle interne bull Nb de manquements majeurs au controcircle interne
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 159
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
MODEgraveLE DE MATURITEacute
SE2 Surveiller et eacutevaluer le controcircle interne
La gestion du processus Surveiller et Eacutevaluer le controcircle interne qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI est
0 Inexistante quand
Lentreprise na pas les proceacutedures quil faut pour surveiller lefficaciteacute des controcircles internes Il ny a pas de meacutethode de reporting pour les controcircles internes Les questions de seacutecuriteacute opeacuterationnelle informatique et dassurance de controcircle interne ne sont en geacuteneacuteral pas eacutevoqueacutees Le management et les employeacutes ne sont globalement pas sensibiliseacutes aux controcircles internes
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune assurance reacuteguliegravere sur le management de lrsquoinformatique et son controcircle On se fie lorsque le besoin sen fait sentir agrave des compeacutetences individuelles pour eacutevaluer ladeacutequation du controcircle interne La direction informatique na pas formellement deacutesigneacute de responsable pour la veacuterification de lefficaciteacute des controcircles internes Les eacutevaluations du controcircle interne de lrsquoinformatique sont faites agrave loccasion des audits financiers traditionnels avec des meacutethodologies et des compeacutetences qui ne reflegravetent pas les besoins de la fonction informatique
2 Reproductible mais intuitive quand
Lentreprise utilise des rapports de controcircle informels pour initier des actions correctives Lrsquoeacutevaluation du controcircle interne deacutepend des compeacutetences drsquoindividus cleacutes Lentreprise prend de plus en plus conscience du besoin de surveillance du controcircle interne La direction des SI surveille reacuteguliegraverement lefficaciteacute de ce qursquoelle pense ecirctre les controcircles internes les plus sensibles On commence agrave utiliser des meacutethodologies et des outils de surveillance des controcircles internes mais sans plan On identifie les facteurs de risques speacutecifiques agrave lrsquoenvironnement informatique gracircce aux compeacutetences drsquoindividus cleacutes
3 Deacutefinie quand
Le management apporte son soutien agrave la surveillance du controcircle interne et la institutionnaliseacutee On deacuteveloppe des politiques et des proceacutedures pour eacutevaluer et rendre compte des activiteacutes de surveillance du controcircle interne On deacutefinit un programme denseignement et de formation agrave la surveillance du controcircle interne On deacutefinit un processus drsquoautoeacutevaluation des controcircles internes et de revues drsquoassurance qui preacutecisent les rocircles et responsabiliteacutes des responsables meacutetiers et de la direction des SI On utilise des outils qui ne sont cependant pas inteacutegreacutes agrave tous les processus On met en œuvre des politiques deacutevaluation des risques informatiques selon des reacutefeacuterentiels de controcircle deacuteveloppeacutes speacutecifiquement pour les SI On deacutefinit des politiques speacutecifiques drsquoacceptation et de reacuteduction des risques
4 Geacutereacutee et mesurable quand
Le management met en place un reacutefeacuterentiel de surveillance du controcircle interne de lrsquoinformatique Lentreprise eacutetablit des niveaux de toleacuterance pour les processus de surveillance du controcircle interne On met en place des outils pour standardiser les eacutevaluations et pour que les controcircles deacutetectent automatiquement les anomalies Une fonction de controcircle interne informatique est formellement mise en place Elle renferme des professionnels speacutecialiseacutes et certifieacutes et utilise un reacutefeacuterentiel de controcircle formel approuveacute par la direction geacuteneacuterale Les informaticiens particuliegraverement compeacutetents participent reacuteguliegraverement aux eacutevaluations de controcircle interne On constitue une base de connaissances des mesures issues de la surveillance du controcircle interne pour en conserver lhistorique On organise des eacutevaluations par des pairs de cette surveillance
5 Optimiseacutee quand
Le management eacutetablit un programme continu dameacutelioration de la surveillance du controcircle interne agrave leacutechelle de lentreprise qui prend en compte lexpeacuterience et les bonnes pratiques de la profession Lrsquoentreprise utilise des outils modernes inteacutegreacutes lorsque crsquoest adapteacute qui permettent une eacutevaluation efficace des controcircles informatiques critiques et une deacutetection rapide des incidents de surveillance des controcircles informatiques On a formellement institutionnaliseacute le partage des connaissances speacutecifiques agrave la fonction informatique On a formaliseacute des tests comparatifs sur la base des standards et des bonnes pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 160
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3 DESCRIPTION DU PROCESSUS
SE3 Srsquoassurer de la conformiteacute aux obligations externes
Un processus de revue est neacutecessaire pour garantir efficacement la conformiteacute aux lois aux regraveglements et aux obligations contractuelles Ce processus implique drsquoidentifier les obligations de conformiteacute drsquoeacutevaluer et drsquooptimiser la reacuteponse agrave donner drsquoavoir lrsquoassurance drsquoecirctre conforme aux obligations et au final drsquointeacutegrer les rapports sur la conformiteacute des SI agrave ceux du reste de lrsquoentreprise
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Srsquoassurer de la conformiteacute aux obligations externes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles
en se concentrant sur
identifier toutes les lois reacuteglementations et contrats applicables et le niveau de conformiteacute des SI agrave cet eacutegard et optimiser les processus informatiques pour reacuteduire le risque de non-conformiteacute
atteint son objectif en
bull faisant la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull eacutevaluant lrsquoimpact des obligations reacuteglementaires bull surveillant la conformiteacute aux obligations et en rendant compte
et est mesureacute par
bull coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull temps moyen entre lidentification dun problegraveme de conformiteacute agrave des exigences externes
et sa reacutesolution bull freacutequence des revues de conformiteacute
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 161
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
OBJECTIFS DE CONTROcircLE
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE31 Identification des obligations externes lois regraveglements et contrats Identifier de faccedilon permanente les obligations externes auxquelles il faut se conformer lois nationales et internationales reacuteglementations et autres de faccedilon agrave les prendre en compte dans les politiques normes proceacutedures et meacutethodologies informatiques de lrsquoentreprise
SE32 Optimisation de la reacuteponse aux obligations externes Reacuteviser et optimiser les politiques normes proceacutedures et meacutethodologies informatiques pour srsquoassurer que les exigences leacutegales reacuteglementaires et contractuelles sont prises en compte et font lrsquoobjet drsquoune communication
SE33 Eacutevaluation de la conformiteacute aux obligations externes Valider la conformiteacute des politiques normes proceacutedures et meacutethodologies informatiques aux obligations externes
SE34 Assurance positive de la conformiteacute Obtenir lrsquoassurance du respect de la conformiteacute par toutes les politiques internes issues de directives internes ou drsquoobligations externes leacutegales reacuteglementaires et contractuelles et en rendre compte Srsquoassurer que toutes les actions correctives ont eacuteteacute entreprises en temps opportun par le proprieacutetaire du processus responsable pour traiter tous les manquements agrave la conformiteacute
SE35 Inteacutegration des rapports Inteacutegrer les rapports de lrsquoinformatique sur les obligations leacutegales reacuteglementaires et contractuelles aux reacutesultats similaires drsquoautres fonctions meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 162
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3
GUIDE DE MANAGEMENT
SE3 Srsquoassurer de la conformiteacute aux obligations externes
De Entreacutees
Exigences leacutegales et reacuteglementaires Entreacutees externes agrave CobiT
Sorties Vers Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
PO4 SE4
Rapport sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE1
Tableau RACI
Activiteacutes Deacutefinir et mettre en œuvre un processus pour identifier les exigences leacutegales contractuelles politiques et reacuteglementaires
AR C I I I C I R
Eacutevaluer la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques I I I I AR I R R R R R R
Rendre compte de lrsquoassurance positive de la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques
AR C C C C C C R
Fournir les entreacutees permettant drsquoaligner les politiques les plans et les proceacutedures sur les exigences de conformiteacute
AR C C C C C R
Inteacutegrer les rapports des SI sur les exigences reacuteglementaires aux reacutesultats similaires drsquoautres fonctions meacutetiers AR I I I R I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Assurer la conformiteacute des SI aux lois regraveglements et contrats
induit
induit
Meacutetriq
ues
bull Coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull Nb de problegravemes de non-conformiteacute rapporteacutes au CA ou provoquant des commentaires embarrassants pour lrsquoentreprise
bull Nb de problegravemes seacuterieux de non-conformiteacute deacutetecteacutes chaque anneacutee bull Freacutequence des revues de conformiteacute
bull Deacutelai moyen entre lidentification dun problegraveme de conformiteacute agrave des obligations externes et sa reacutesolution bull Deacutelai moyen entre la publication drsquoune nouvelle loi ou drsquoun nouveau regraveglement et la mise en œuvre drsquoune revue de conformiteacute bull Nb de jours de formation agrave la conformiteacute par collaborateur informatique et par an
Processus
bull Identifier toutes les lois regraveglements et contrats applicables et deacuteterminer le niveau de conformiteacute des SI bull Geacuterer lrsquoalignement des politiques plans et proceacutedures de faccedilon agrave geacuterer efficacement les risques de non-conformiteacute des SI bull Reacuteduire le plus possible pour les meacutetiers lrsquoimpact des problegravemes de conformiteacute identifieacutes dans les SI
Activiteacutes
bull Faire la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull Instruire le personnel informatique sur ses responsabiliteacutes vis-agrave-vis de la conformiteacute bull Eacutevaluer lrsquoimpact des obligations externes bull Surveiller la conformiteacute aux obligations externes et en rendre comptedeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 163
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
MODEgraveLE DE MATURITEacute
SE3 Srsquoassurer de la conformiteacute aux obligations externes
La gestion du processus Srsquoassurer de la conformiteacute aux obligations externes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles est
0 Inexistante quand
Il y a peu de prise de conscience des obligations externes relatives aux SI et aucun processus ne concerne la mise en conformiteacute vis-agrave-vis des obligations leacutegales reacuteglementaires et contractuelles
1 Initialiseacutee au cas par cas quand
On est conscient des conseacutequences des obligations reacuteglementaires contractuelles et leacutegales pour lrsquoentreprise On suit des processus informels pour maintenir la conformiteacute mais seulement lorsque le besoin est mis en eacutevidence par de nouveaux projets des audits ou des revues
2 Reproductible mais intuitive quand
Le besoin de se conformer aux obligations externes est compris et on communique sur ce thegraveme Lorsque ce besoin de mise en conformiteacute est reacutecurrent comme dans les reacuteglementations financiegraveres ou la leacutegislation sur la vie priveacutee on a mis en place des proceacutedures individuelles avec un suivi annuel Il nrsquoy a cependant pas drsquoapproche standard On se repose beaucoup sur les connaissances et la responsabiliteacute des individus et on peut srsquoattendre agrave des erreurs La formation sur ces questions reste informelle
3 Deacutefinie quand
On deacuteveloppe documente et communique les politiques plans proceacutedures et processus destineacutes agrave assurer la conformiteacute aux obligations reacuteglementaires contractuelles et leacutegales mais on ne les suit pas toujours et certaines peuvent ecirctre obsolegravetes ou difficiles agrave mettre en œuvre Il y a peu de surveillance et la conformiteacute agrave certaines exigences nrsquoest pas assureacutee Des formations sont programmeacutees sur les obligations leacutegales et reacuteglementaires affectant lentreprise et sur les processus de mise en conformiteacute deacutefinis Il existe des contrats standards pro-forma et des processus leacutegaux pour minimiser les risques qui deacutecoulent des responsabiliteacutes lieacutees aux contrats
4 Geacutereacutee et mesurable quand
On a pleinement compris les problegravemes et les risques lieacutes aux obligations externes et le besoin dassurer la conformiteacute agrave tous les niveaux Il existe un programme de formation formel qui permet de sassurer que tous les personnels sont conscients de leurs obligations en matiegravere de mise en conformiteacute Les responsabiliteacutes sont claires et la notion de proprieacuteteacute du processus est comprise Le processus comprend une revue de lenvironnement pour mettre en eacutevidence les obligations externes et les changements en cours On a mis en place un meacutecanisme qui permet de relever les cas de non-conformiteacute dappliquer les pratiques internes et de prendre des mesures correctives Les causes de non-conformiteacute sont analyseacutees selon un processus standardiseacute dans le but de mettre en place des solutions durables On utilise les bonnes pratiques internes standard pour des besoins speacutecifiques tels que les reacuteglementations en vigueur et les contrats de services reacutecurrents
5 Optimiseacutee quand
Pour se conformer aux obligations externes on applique un processus efficace et bien organiseacute baseacute sur une seule fonction centrale qui permet dinformer et de coordonner toute lorganisation On connaicirct bien les obligations externes applicables on se tient informeacute de leurs eacutevolutions on anticipe les changements et on preacutepare des solutions nouvelles Lentreprise participe agrave des groupes de discussion externes avec des groupes professionnels ou des instances de reacutegulation pour comprendre et influencer les obligations externes qui laffecte On deacuteveloppe les meilleures pratiques pour assurer la conformiteacute aux obligations externes ce qui se traduit par un tregraves petit nombre de cas de non-conformiteacute Il existe un systegraveme de suivi centraliseacute agrave leacutechelle de lentreprise qui permet au management de documenter le flux de travail (workflow) et de mesurer et dameacuteliorer lefficaciteacute du processus de surveillance de la conformiteacute On utilise un processus dautoeacutevaluation des obligations externes et on lameacuteliore pour lamener au niveau des bonnes pratiques Le style et la culture du management de lentreprise en ce qui concerne la conformiteacute sont suffisamment forts et les processus sont suffisamment bien deacuteveloppeacutes pour que la formation se limite aux nouveaux personnels et aux changements significatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 164
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
GESTION DES
RISQUES
ALIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SSS S S
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
DESCRIPTION DU PROCESSUS
SE4 Mettre en place une gouvernance des SI
Mettre en place un reacutefeacuterentiel de gouvernance efficace impose de deacutefinir des structures organisationnelles des processus un leadership des rocircles et des responsabiliteacutes pour srsquoassurer que les investissements informatiques de lrsquoentreprise sont aligneacutes sur ses strateacutegies et ses objectifs et qursquoils travaillent pour eux
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SSS S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Mettre en place une gouvernance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats
en se concentrant sur
la reacutedaction de rapports au CA sur la strateacutegie les performances et les risques des SI et la reacuteponse aux exigences de gouvernance conformeacutement aux orientations du CA
atteint son objectif en
bull eacutetablissant un reacutefeacuterentiel de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull obtenant une assurance indeacutependante sur la situation de la gouvernance des SI
et est mesureacute par
bull la freacutequence des rapports au CA sur les SI agrave lrsquointention des parties prenantes (entre autres sur la maturiteacute)
bull la freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull la freacutequence des revues indeacutependantes de conformiteacute des SI
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES
RISQUES
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 165
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
OBJECTIFS DE CONTROcircLE
SE4 Mettre en place une gouvernance des SI
SE41 Mise en place drsquoun cadre de gouvernance des SI Deacutefinir mettre en place et aligner le cadre de gouvernance des SI sur celui de lrsquoentreprise et sur son environnement de controcircle Baser le reacutefeacuterentiel de gouvernance sur un processus et un modegravele de controcircle de lrsquoinformatique adeacutequats Eacuteviter toute ambiguiumlteacute au niveau des responsabiliteacutes et des pratiques qui deacutegraderait le controcircle interne et la surveillance Veiller agrave la conformiteacute aux lois et regraveglements du cadre de gouvernance agrave son alignement sur les objectifs et la strateacutegie de lrsquoentreprise ainsi qursquoagrave sa contribution en la matiegravere Rendre compte sur toutes les composantes de la gouvernance des SI
SE42 Alignement strateacutegique Faciliter la compreacutehension par les instances dirigeantes et le management des questions strateacutegiques concernant les SI comme le rocircle des SI les perspectives offertes par les technologies et leurs capaciteacutes Srsquoassurer qursquoon comprend aussi bien du cocircteacute des meacutetiers que des SI la contribution potentielle des SI agrave la strateacutegie des meacutetiers Travailler avec le CA et les instances en charge de la gouvernance comme le comiteacute strateacutegique informatique pour proposer au management des orientations pour les SI en srsquoassurant que la strateacutegie et les objectifs sont reacutepercuteacutes aux uniteacutes meacutetiers et aux fonctions informatiques et que la confiance se deacuteveloppe entre les meacutetiers et lrsquoinformatique Faciliter lrsquoalignement des SI sur les meacutetiers pour la strateacutegie et le fonctionnement opeacuterationnel en encourageant la co-responsabiliteacute entre les meacutetiers et lrsquoinformatique dans la prise de deacutecisions et lrsquoobtention de beacuteneacutefices des investissements deacutependants de lrsquoinformatique
SE43 Apport de valeur Srsquoassurer que les programmes drsquoinvestissements deacutependants de lrsquoinformatique et les autres actifs et services informatiques apportent le plus de valeur possible au service de la strateacutegie et des objectifs de lrsquoentreprise Srsquoassurer que les reacutesultats des meacutetiers attendus des investissements informatiques et que la totaliteacute des efforts neacutecessaires pour obtenir ces reacutesultats soient compris que des analyses de rentabiliteacute complegravetes et coheacuterentes soient effectueacutees et approuveacutees par les parties prenantes que les actifs et les investissements soient geacutereacutes tout au long de leur cycle de vie et qursquoil existe une gestion active des beacuteneacutefices agrave reacutealiser comme la contribution agrave de nouveaux services des gains drsquoefficience et une reacuteactiviteacute accrue aux demandes des clients Imposer une approche disciplineacutee de la gestion des portefeuilles des programmes et des projets en insistant pour que les meacutetiers assument la proprieacuteteacute de tous les investissements deacutependants de lrsquoinformatique et que lrsquoinformatique assure lrsquooptimisation des coucircts de fourniture de capaciteacutes et de services informatiques
SE44 Gestion des ressources Surveiller lrsquoinvestissement lrsquoutilisation et lrsquoaffectation des actifs informatiques au moyen drsquoeacutevaluations reacuteguliegraveres des actions et de lrsquoexploitation informatique pour srsquoassurer drsquoune gestion adeacutequate des ressources et de leur alignement sur les objectifs strateacutegiques actuels ainsi que sur les besoins des meacutetiers
SE45 Gestion des risques Travailler avec le CA pour deacutefinir lrsquoappeacutetence de lrsquoentreprise pour le risque informatique et obtenir lrsquoassurance raisonnable que les pratiques de gestion des risques sont adeacutequates pour srsquoassurer que le niveau de risque informatique actuel nrsquoexcegravede pas le niveau drsquoappeacutetence au risque du CA Inteacutegrer les responsabiliteacutes de gestion du risque dans lrsquoentreprise en srsquoassurant que les meacutetiers et lrsquoinformatique eacutevaluent reacuteguliegraverement les risques informatiques leurs conseacutequences et en rendent compte et que la position de lrsquoentreprise vis-agrave-vis du risque informatique est transparente pour les parties prenantes
SE46 Mesure de la performance Valider que les objectifs informatiques convenus ont eacuteteacute atteints ou deacutepasseacutes ou que la progression vers ces objectifs est conforme aux attentes Reacuteviser les actions correctives prises par le management pour les cas ougrave les objectifs convenus nrsquoont pas eacuteteacute atteints ou la progression non conforme aux attentes Rendre compte au CA de la performance des portefeuilles des programmes et des SI en lrsquoeacutetayant par des rapports pour permettre agrave la direction geacuteneacuterale de passer en revue la progression de lrsquoentreprise vers les objectifs fixeacutes
SE47 Assurance indeacutependante Obtenir une assurance indeacutependante (interne ou externe) sur la conformiteacute des SI aux lois et regraveglements dont ils relegravevent aux politiques normes et proceacutedures de lrsquoentreprise aux pratiques geacuteneacuteralement accepteacutees et agrave la performance de lrsquoinformatique en termes drsquoefficaciteacute et drsquoefficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 166
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
GUIDE DE MANAGEMENT
SE4 Mettre en place une gouvernance des SI
De Entreacutees
PO4 Reacutefeacuterentiel des processus informatiques
PO5 Rapports coucirctsbeacuteneacutefices
PO9 Eacutevaluations des risques et rapports associeacutes
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
SE3 Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
Sorties Vers Ameacuteliorations du reacutefeacuterentiel des processus PO4 Etat de situation de la gouvernance des SI PO1 SE1 Reacutesultats attendus des investissements meacutetiers qui srsquoappuient sur les SI
PO5
Orientation strateacutegique de lrsquoentreprise pour les SI PO1 Appeacutetence de lrsquoentreprise pour le risque informatique PO9
Tableau RACI
Activiteacutes Mettre en place la supervision et lrsquoaide de la direction et du CA sur les activiteacutes informatiques A R C C C C
Reacuteviser approuver aligner et communiquer les performances la strateacutegie les ressources et la gestion des risques de lrsquoinformatique avec la strateacutegie des meacutetiers
A R I I R C
Obtenir une eacutevaluation peacuteriodique indeacutependante de la performance et de la conformiteacute aux politiques plans et proceacutedures
A R C I C I I I I I R
Reacutesoudre les problegravemes deacutetecteacutes par les eacutevaluations indeacutependantes et assurer la mise en œuvre des recommandations adopteacutees par le management
A R C I C I I I I I R
Geacuteneacuterer un rapport sur la gouvernance des SI A C C C R C I I I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de la gouvernance conformeacutement aux orientations du CA bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Assurer la conformiteacute aux lois et regraveglements bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave lrsquoinformatique figure sur lrsquoagenda du CA de faccedilon proactive bull Freacutequence des rapports sur les SI au CA agrave lrsquointention des parties concerneacutees (entre autres sur la maturiteacute) bull Nb de problegravemes informatiques reacutecurrents figurant agrave lrsquoagenda du CA
bull Freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull Nb de deacutefaillances de la gouvernance bull Freacutequence des revues indeacutependantes de conformiteacute des SI
bull Pourcentage du personnel formeacute agrave la gouvernance (ex codes de conduite) bull Nb drsquoofficiers drsquoeacutethique par service bull Freacutequence de la preacutesence de la gouvernance des SI sur lrsquoagenda des reacuteunions de pilotagestrateacutegie des SI bull Pourcentage de membres du CA formeacutes agrave la gouvernance des SI ou qui en ont lrsquoexpeacuterience bull Vieillissement des recommandations adopteacutees bull Freacutequence des rapports drsquoenquecirctes de satisfaction des parties prenantes faits au CA
Processus
bull Inteacutegrer la gouvernance des SI aux objectifs de la gouvernance drsquoentreprise bull Preacuteparer des rapports au CA complets et en temps opportun sur la strateacutegie la performance et les risques de lrsquoinformatique bull Reacutepondre aux interrogations et preacuteoccupations du CA sur la strateacutegie les performances et les risques de lrsquoinformatique bull Fournir une assurance indeacutependante sur la conformiteacute aux politiques plans et proceacutedures des SI
Activiteacutes
bull Mettre en place un cadre de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull Obtenir une assurance indeacutependante sur la situation de la gouvernance des SI
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 167
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
MODEgraveLE DE MATURITEacute
SE4 Mettre en place une gouvernance des SI
La gestion du processus Mettre en place une gouvernance des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique Inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats est
0 Inexistante quand
Il y a un manque complet de tout processus identifiable de gouvernance des SI Lentreprise nenvisage mecircme pas quil puisse y avoir lagrave un problegraveme agrave examiner et il ny a donc pas de communication sur ce thegraveme
1 Initialiseacutee au cas par cas quand
On admet qursquoil existe des problegravemes de gouvernance des SI agrave traiter Il existe des approches individuelles au cas par cas Lapproche du management est reacuteactive et la communication sur ces questions ainsi que la maniegravere de les traiter sont sporadiques et ne montrent aucune meacutethode Le management nrsquoa qursquoune ideacutee vague de la faccedilon dont lrsquoinformatique contribue aux performances de lrsquoactiviteacute Le management ne reacuteagit que lorsqursquoun incident a causeacute des pertes ou une gecircne agrave lentreprise
2 Reproductible mais intuitive quand
On est conscient des problegravemes de gouvernance des SI Cette activiteacute ainsi que les indicateurs de performance sont en cours de deacuteveloppement et incluent la planification informatique et les processus de deacutelivrance et de surveillance On seacutelectionne par des deacutecisions individuelles certains processus informatiques pour les ameacuteliorer Le management deacutetermine les eacutetalons de mesure de base de la gouvernance des SI ainsi que les meacutethodes et techniques deacutevaluation cependant ce processus nest pas encore adopteacute dans lensemble de lentreprise La communication sur les normes de la gouvernance et sur les responsabiliteacutes est laisseacutee agrave linitiative individuelle Certaines personnes pilotent des processus de gouvernance au sein de diffeacuterents projets et processus informatiques Les processus les outils et des meacutetriques pour mesurer la gouvernance des SI sont limiteacutes et ne sont pas toujours utiliseacutes faute de bien connaicirctre leurs fonctionnaliteacutes
3 Deacutefinie quand
Le management comprend lrsquoimportance et le besoin de gouvernance des SI et il en fait part agrave lrsquoentreprise On deacuteveloppe un premier ensemble dindicateurs de gouvernance des SI pour lesquels on deacutefinit et documente les liens entre les mesures de reacutesultats et les inducteurs de performance On standardise et documente les proceacutedures Le management fait de la communication sur ces proceacutedures standardiseacutees et des formations sont mises en place On deacutefinit des outils drsquoaide agrave la supervision de la gouvernance des SI On deacutefinit des tableaux de bord qui font partie du tableau de bord eacutequilibreacute des SI On laisse cependant agrave chacun linitiative de se former dadopter et dappliquer les normes Les processus sont eacuteventuellement surveilleacutes mais les anomalies mecircme si elles sont traiteacutees par des initiatives individuelles ne seront vraisemblablement pas deacutetecteacutees par le management
4 Geacutereacutee et mesurable quand
Les principes de gouvernance des SI sont pleinement compris agrave tous les niveaux On a clairement compris qui eacutetait le client on a deacutefini les responsabiliteacutes et on les surveille au moyen de contrats de services Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Les processus informatiques et la gouvernance des SI sont aligneacutes agrave la fois sur la strateacutegie de lentreprise et sur celle des SI Lameacutelioration des processus informatiques est baseacutee avant tout sur une analyse chiffreacutee des reacutesultats et il est possible de surveiller et de mesurer la conformiteacute aux meacutetriques des proceacutedures et des processus Toutes les parties prenantes des processus sont conscientes des risques mais aussi de limportance de linformatique et des opportuniteacutes quelle peut offrir Le management deacutefinit les marges de toleacuterance acceptables pour les processus Lutilisation des technologies est encore limiteacutee principalement tactique et baseacutee sur des techniques eacuteprouveacutees et sur lrsquoutilisation imposeacutee drsquooutils standard La gouvernance des SI est inteacutegreacutee agrave la planification strateacutegique et opeacuterationnelle et aux processus de surveillance On enregistre et on fait le suivi des indicateurs de performance pour toutes les activiteacutes de gouvernance des SI ce qui conduit agrave des ameacuteliorations agrave leacutechelle de lentreprise On sait clairement agrave qui a eacuteteacute attribueacutee la responsabiliteacute geacuteneacuterale de la performance des processus cleacutes et la mesure de cette performance sert de base agrave la reacutecompense du management
5 Optimiseacutee quand
La compreacutehension des principes de gouvernance des SI et de leur mise en œuvre est de bon niveau et orienteacutee vers lavenir La formation et la communication sappuient sur des concepts et des techniques de pointe On perfectionne les processus pour les amener au niveau des meilleures pratiques de la profession gracircce aux reacutesultats drsquoameacuteliorations continues et agrave la comparaison avec les autres entreprises baseacutee sur les modegraveles de maturiteacute La mise en place de politiques informatiques conduit agrave une organisation agrave des personnels et des processus qui sadaptent rapidement et qui sont en plein accord avec les exigences de la gouvernance des SI On pratique lanalyse causale de tous les problegravemes et de toutes les anomalies et on trouve rapidement des solutions efficaces quon met en œuvre sans tarder On utilise lrsquoinformatique largement et de faccedilon inteacutegreacutee et optimiseacutee pour automatiser les flux de travail et fournir des outils qui ameacuteliorent la qualiteacute et lefficaciteacute On sait quels sont les risques et les avantages des processus informatiques on cherche le bon eacutequilibre et on communique sur ce thegraveme dans lentreprise On mobilise des experts externes et on pratique des tests comparatifs pour se guider La surveillance lautoeacutevaluation et la communication agrave propos des attentes de la gouvernance se reacutepandent dans toute lentreprise et on utilise les technologies au mieux pour faciliter les mesures lanalyse la communication et la formation Il y a un lien strateacutegique entre la gouvernance dentreprise et celle des SI mobilisant les ressources technologiques humaines et financiegraveres pour accroicirctre lavantage concurrentiel de lentreprise Les activiteacutes de gouvernance des SI sont inteacutegreacutees au processus de gouvernance de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 168
AN
NE
XE
I
OB
JEC
TIF
S
ANNEXE I
TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS ET LES OBJECTIFS INFORMATIQUES
Cette annexe donne une vision globale de la faccedilon dont les objectifs des meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres drsquoinformation Il y a trois tableaux
1 Le premier tableau met en regard des objectifs des meacutetiers preacutesenteacutes selon les quatre dimensions du tableau de bord eacutequilibreacute les objectifs informatiques et les critegraveres drsquoinformation Cela aide agrave montrer pour un objectif meacutetier geacuteneacuterique donneacute les objectifs informatiques qui assistent typiquement cet objectif et les critegraveres drsquoinformation COBIT qui sont en rapport avec cet objectif meacutetier Les 17 objectifs meacutetiers pris en compte ne doivent pas ecirctre consideacutereacutes comme lrsquoensemble des objectifs meacutetiers possibles mais comme un extrait drsquoobjectifs meacutetiers pertinents ayant un impact certain sur les SI (objectifs meacutetiers relatifs agrave lrsquoinformatique)
2 Le second tableau met en regard les objectifs informatiques les processus informatiques COBIT impliqueacutes et les critegraveres drsquoinformation sur lesquels se base chaque objectif de lrsquoinformatique
3 Le troisiegraveme tableau inverse la lecture en montrant pour chaque processus informatique les objectifs informatiques concerneacutes
Les tableaux aident agrave visualiser le champ drsquoapplication de COBIT et les relations geacuteneacuterales entre COBIT et les facteurs qui influent sur lrsquoactiviteacute permettant aux objectifs meacutetiers typiquement relatifs agrave lrsquoinformatique drsquoecirctre relieacutes aux processus informatiques dont ils ont besoin via les objectifs informatiques Les tableaux se basent sur des objectifs geacuteneacuteriques Ils doivent donc ecirctre utiliseacutes comme un guide et adapteacutes aux speacutecificiteacutes de lrsquoentreprise
Pour permettre de faire le lien avec les critegraveres drsquoinformation utiliseacutes pour les exigences meacutetiers de la 3egrave eacutedition de COBIT les tableaux donnent aussi une indication des principaux critegraveres drsquoinformation relatifs aux objectifs meacutetiers et informatiques
Notes 1 Les critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs Les
critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs informatiques concerneacutes et une eacutevaluation subjective de ceux qui sont les plus pertinents pour les objectifs meacutetiers Nous nrsquoavons pas essayeacute drsquoindiquer srsquoils eacutetaient primaires ou secondaires Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs meacutetiers
2 Les reacutefeacuterences aux critegraveres drsquoinformation primaires et secondaires se basent sur une synthegravese entre les critegraveres de chaque processus informatique et une eacutevaluation subjective de ce qui est primaire et secondaire pour lrsquoobjectif informatique puisque certains processus ont plus drsquoimpact que drsquoautres sur lrsquoobjectif informatique Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs informatiques
AN
NE
XE
I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
ANNEXE 1 minus TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS
ET LES OBJECTIFS INFORMATIQUES
LIER LES OBJECTIFS METIERS AUX OBJECTIFS INFORMATIQUES
Objectifs meacutetiers Objectifs Informatiques Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
2221
27
20
26
19
26
24
22
28
18
23
24
20
15
21
11
13
17
22
25
10
12
11
13
20
6
11
28
14
18
23
24
16
5
8
4
7
8
19
13
5
8
11
24
2
2
3
5
10
1
7
2
6
7
2
2
1
7
5
9
Obtenir un bon retour sur investissement des investissements informatiques pour les meacutetiers
Geacuterer les risques meacutetiers lieacutes aux SI
Ameacuteliorer la gouvernance de lrsquoentreprise et la transparence
Ameacuteliorer lrsquoorientation client et le service client
Offrir des produits et des services compeacutetitifs
Assurer la continuiteacute et la disponibiliteacute des services
Deacutevelopper lrsquoagiliteacute pour srsquoadapter aux modifications des exigences des meacutetiers
Reacuteussir agrave optimiser les coucircts de la fourniture de services
Obtenir de lrsquoinformation fiable et utile pour prendre des deacutecisions strateacutegiques
Ameacuteliorer et maintenir agrave niveau le fonctionnement des processus meacutetiers
Abaisser les coucircts des processus
Assurer la conformiteacute aux lois reacuteglementations et contrats externes
Assurer la conformiteacute aux politiques internes
Geacuterer les changements meacutetiers
Ameacuteliorer et maintenir la productiviteacute opeacuterationnelle et celle du personnel
Geacuterer lrsquoinnovation produit et meacutetiers
Se procurer et conserver un personnel compeacutetent et motiveacute
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Perspectivefinanciegravere
Perspectiveclient
Perspectiveinterne
Perspectiveapprentissageet croissance
169
LIER LES OBJECTIFS INFORMATIQUES AUX PROCESSUS INFORMATIQUES A
NN
EX
E I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
Objectifs Informatiques Processus
Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
S
S
S
S
S
S
S
S
S
S
S
P
S
S
S
S
S
S
S
S
S
P
S
S
S
S
P
S
S
P
S
S
P
P
P
P
S
S
P
S
S
S
P
S
S
P
P
P
S
S
S
P
S
S
P
S
P
P
S
P
P
P
S
P
P
P
P
P
P
P
P
S
S
P
P
P
S
S
S
P
P
P
P
P
P
P
P
P
P
P
S
P
P
P
P
P
S
S
P
P
S
P
P
P
P
S
P
P
P
SE1DS3DS1
DS13
AI7
DS10
SE3
SE2
AI6
DS8
SE1
DS13
AI1
SE4
DS7
DS6
DS8
SE2
DS9
DS10
DS12
PO10
SE1
DS2
AI3
DS2
DS7
DS12
DS7
AI7
DS12
DS5
DS12
DS13
SE4
SE3
PO4
PO10
DS1
PO7
AI6
AI5
AI7
DS1
AI7
DS9
DS3
AI6
SE2
DS11
DS5
DS4
DS4
DS8
SE3
SE1
PO2
PO4
AI4
DS11
PO4
AI2
AI2
AI5
AI5
AI4
PO6
AI4
DS5
AI3
AI4
DS10
DS5
AI7
AI7
AI6
DS4
DS6
PO10
DS5
SE2
DS6
PO1
PO1
PO8
PO2
PO2
AI1
PO3
AI3
PO7
DS2
PO2
PO5
PO6
PO9
PO3
PO8
PO9
PO9
PO6
PO6
PO6
PO6
DS3
PO5
PO8
AI6
DS11
PO5
Reacuteagir aux exigences meacutetiers en accord avec la strateacutegie meacutetiers
Reacuteagir aux exigences de la gouvernance en accord avec les orientations du CA
Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services
Optimiser lrsquoutilisation de lrsquoinformation
Donner de lrsquoagiliteacute agrave lrsquoinformatique
Deacuteterminer comment traduire les exigences meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes
Acqueacuterir et maintenir fonctionnels des systegravemes applicatifs inteacutegreacutes et standardiseacutes
Acqueacuterir et maintenir opeacuterationnelle une infrastructure informatique inteacutegreacutee et standardiseacutee
Se procurer et conserver les compeacutetences neacutecessaires agrave la mise en œuvre de la strateacutegie informatique
Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les tiers
Srsquoassurer de lrsquointeacutegration progressive des solutions informatiques aux processus meacutetiers
Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI
Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques
Proteacuteger tous les actifs informatiques et en ecirctre comptable
Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
Reacuteduire le nombre de deacutefauts et de retraitements touchant la fourniture de solutions et de services
Proteacuteger lrsquoatteinte des objectifs informatiques
Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques
Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder
Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables
Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre
Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute
Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
Livrer les projets en temps et dans les limites budgeacutetaires en respectant les standards de qualiteacute
Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements
Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
170
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 171
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
OBJECTIFS INFORMATIQUES POUR CHAQUE PROCESSUS INFORMATIQUE
Reacutea
gir
au
x ex
igen
ces
meacutet
ier
en a
cco
rd a
vec
la s
trat
eacutegie
meacutet
ier
Reacutea
gir
au
x ex
igen
ces
de
la g
ou
vern
ance
en
acco
rd a
vec
les
ori
enta
tio
ns
du
CA
Srsquoa
ssu
rer
de
la s
atis
fact
ion
des
uti
lisat
eurs
fin
aux
agrave lrsquoeacute
gar
d d
eso
ffre
s et
des
niv
eau
x d
e se
rvic
es
Op
tim
iser
lrsquou
tilis
atio
n d
e lrsquoi
nfo
rmat
ion
Do
nn
er d
e lrsquoa
gili
teacute agrave
lrsquoin
form
atiq
ue
Deacutet
erm
iner
co
mm
ent
trad
uir
e le
s ex
igen
ces
meacutet
ier
de
fon
ctio
nn
emen
t et
de
con
trocirc
le e
n so
luti
on
s au
tom
atis
eacutees
effi
cace
s et
eff
icie
nte
s
Acq
ueacuter
ir e
t m
ain
ten
ir f
on
ctio
nn
els
des
sys
tegravem
es a
pp
licat
ifs
inteacute
greacute
s et
sta
nd
ard
iseacutes
Acq
ueacuter
ir e
t m
ain
ten
ir o
peacuter
atio
nn
elle
un
e in
fras
tru
ctu
rein
form
atiq
ue
inteacute
greacute
e et
sta
nd
ard
iseacutee
Se
pro
cure
r et
co
nse
rver
les
co
mp
eacuteten
ces
neacutec
essa
ires
agrave l
am
ise
en œ
uvr
e d
e la
str
ateacuteg
ie i
nfo
rmat
iqu
e
Srsquoa
ssu
rer
de
la s
atis
fact
ion
reacuteci
pro
qu
e d
ans
les
rela
tio
ns
avec
les
tier
s
Inteacute
gre
r p
rog
ress
ivem
ent
des
so
luti
on
s in
form
atiq
ues
au
xp
roce
ssu
s m
eacutetie
r
Srsquoa
ssu
rer
de
la t
ran
spar
ence
et
la b
on
ne
com
preacute
hen
sio
n d
esco
ucircts
beacuten
eacutefic
es s
trat
eacutegie
po
litiq
ues
et
niv
eau
x d
e se
rvic
esd
es S
I
Srsquoa
ssu
rer
drsquou
ne
bo
nn
e u
tilis
atio
n et
des
bo
nn
es p
erfo
rman
ces
des
ap
plic
atio
ns
et d
es s
olu
tio
ns
info
rmat
iqu
es
Pro
teacuteg
er t
ou
s le
s ac
tifs
in
form
atiq
ues
et
en ecirc
tre
com
pta
ble
Op
tim
iser
lrsquoin
fras
tru
ctu
re l
es r
esso
urc
es e
t le
s ca
pac
iteacutes
info
rm a
tiq
ues
Reacuted
uir
e le
no
mb
re d
e d
eacutefau
ts e
t d
e re
trai
tem
ents
to
uch
ant
lafo
urn
itu
re d
e so
luti
on
s et
de
serv
ices
Pro
teacuteg
er l
rsquoatt
ein
te d
es o
bje
ctif
s in
form
atiq
ues
Mo
ntr
er c
lair
emen
t le
s co
nseacute
qu
ence
s p
ou
r lrsquoe
ntr
epri
se d
esri
squ
es l
ieacutes
aux
ob
ject
ifs
et a
ux
ress
ou
rces
in
form
atiq
ues
Srsquoa
ssu
rer
qu
e li
nfo
rmat
ion
crit
iqu
e et
co
nfi
den
tiel
le n
rsquoest
pas
acce
ssib
le agrave
ceu
x qu
i ne
do
iven
t p
as y
acc
eacuteder
Srsquoa
ssu
rer
qu
e le
s tr
ansa
ctio
ns
meacutet
ier
auto
mat
iseacutee
s et
les
eacutech
ang
es d
rsquoinfo
rmat
ion
s so
nt
fiab
les
Srsquoa
ssu
rer
qu
e le
s se
rvic
es e
t lrsquoi
nfr
astr
uct
ure
in
form
atiq
ue
peu
ven
t reacute
sist
ers
e reacute
tab
lir c
on
ven
able
men
t en
cas
de
pan
ne
du
e agrave
un
e er
reu
r agrave
un
e at
taq
ue
deacutel
ibeacuter
eacutee o
u agrave
un
sin
istr
e
Srsquoa
ssu
rer
qu
rsquoun
inci
den
t o
u u
ne
mo
dif
icat
ion
dan
s la
fo
urn
itu
red
rsquoun
serv
ice
info
rmat
iqu
e n
rsquoait
qu
rsquoun
imp
act
min
imu
m s
ur
lrsquoact
ivit
eacute
Srsquoa
ssu
rer
qu
e le
s se
rvic
es i
nfo
rmat
iqu
es s
on
t d
isp
on
ible
s d
ans
les
con
dit
ion
s re
qu
ises
Am
eacutelio
rer
la r
enta
bili
teacute d
e lrsquoi
nfo
rmat
iqu
e et
sa
con
trib
uti
on
agrave la
pro
fita
bili
teacute d
e lrsquoe
ntr
epri
se
Liv
rer
les
pro
jets
en
tem
ps
et d
ans
les
limit
es b
ud
geacutet
aire
s en
resp
ecta
nt
les
stan
dar
ds
de
qu
alit
eacute
Mai
nte
nir
lrsquoin
teacuteg
riteacute
de
lrsquoin
form
atio
n et
de
lrsquoin
fras
tru
ctu
re d
etr
aite
m e
nt
Ass
ure
r la
co
nfo
rmit
eacute d
e lrsquoi
nfo
rmat
iqu
e au
x lo
is e
t regrave
gle
men
ts
Srsquoa
ssu
rer
qu
e lrsquoi
nfo
rmat
iqu
e fa
it p
reu
ve d
rsquoun
e q
ual
iteacute
dese
rvic
e ef
fici
ente
en
mat
iegravere
de
coucirc
ts d
rsquoam
eacutelio
rati
on
con
tin
ue
et d
e ca
pac
iteacute
agrave srsquo
adap
ter
agrave d
es c
han
gem
ents
fu
turs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
PO1 Deacutefinir un plan informatique strateacutegique
PO2 Deacutefinir larchitecture de lrsquoinformation
PO3 Deacuteterminer lorientation technologique
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO 5 Geacuterer les investissements informatiques
PO6 Faire connaicirctre les buts et les orientations du management
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO8 Geacuterer la qualiteacute
PO9 Eacutevaluer et geacuterer les risques
PO10 Geacuterer les projets
AI1 Trouver des solutions informatiques
AI2 Acqueacuterir des applications et en assurer la maintenance
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI5 Acqueacuterir des ressources informatiques
AI6 Geacuterer les changements
AI7 Installer et valider les solutions et les modifications
DS1 Deacutefinir et geacuterer les niveaux de services
DS2 Geacuterer les services tiers
DS3 Geacuterer la performance et la capaciteacute
DS4 Assurer un service continu
DS5 Assurer la seacutecuriteacute des systegravemes
DS6 Identifier et imputer les coucircts
DS7 Instruire et former les utilisateurs
DS8 Geacuterer le service drsquoassistance client et les incidents
DS9 Geacuterer la configuration
DS10 Geacuterer les problegravemes
DS11 Geacuterer les donneacutees
DS12 Geacuterer lrsquoenvironnement physique
DS13 Geacuterer lrsquoexploitation
SE1 Surveiller et eacutevaluer la performance des SI
SE2 Surveiller et eacutevaluer le controcircle interne
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE4 Mettre en place une gouvernance des SI
AN
NE
XE
I
172
ANNEXE II
RELATIONS DES PROCESSUS INFORMATIQUES AVEC LES DOMAINES DE LA GOUVERNANCE DES SI
LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT
Cette annexe met en regard les processus informatiques de COBIT et les cinq domaines de la gouvernance des SI les composantes du COSO les ressources informatiques et les critegraveres drsquoinformation Le tableau propose aussi un indicateur de lrsquoimportance relative (Haute Moyenne Basse) qui se base sur une eacutevaluation comparative disponible sur COBIT Online Cette grille montre sur une seule page et au niveau geacuteneacuteral comment le cadre de reacutefeacuterence de COBIT fait reacutefeacuterence aux exigences du COSO et de la gouvernance des SI et montre les relations entre les processus informatiques et les critegraveres drsquoinformation P indique une relation primaire S une relation secondaire Srsquoil nrsquoy a ni P ni S cela ne veut pas dire qursquoil nrsquoy a pas de relation mais qursquoelle est moins importante ou marginale Ces valeurs se basent sur les reacutesultats drsquoeacutetudes et sur lrsquoopinion drsquoexperts et ne sont que des indications Les utilisateurs doivent deacutecider quels sont les processus importants dans leur propre entreprise
AN
NE
XE
II
RE
LA
TIO
NS
PRO
CE
SSU
S
AN
NE
XE
II R
EL
AT
ION
S DE
S PR
OC
ESS
US IN
FOR
MA
TIQ
UE
S AV
EC
L
ES D
OM
AIN
ES D
E L
A G
OU
VE
RN
AN
CE
DE
S SI L
E C
OSO
LE
S RE
SSO
UR
CE
S INF
OR
MA
TIQ
UE
S CO
BIT
E
T L
ES C
RIT
EgraveR
ES D
rsquoINFO
RM
AT
ION
CO
BIT
IMPO
RTA
NCE
Domaine de la gouvernance des SI COSO Ressources SI COBIT Critegraveres drsquoinformation COBIT
Alignem
ent strateacutegique
Apport de valeur
Gestion des
ressources
Gestion des risques
Mesures de la
performance
Environnement de
controcircle
Eacutevaluation des risques
Activiteacutes de
controcircle
Information et
communication
Surveillance
Applications
Informations
Infrastructures
Personnes
Efficaciteacute
Efficience
Confidentialiteacute
Inteacutegriteacute
Disponibiliteacute
Conform
iteacute
Fiabiliteacute
Planifier et Organiser Deacutefinir un plan informatique strateacutegique
Deacutefinir larchitecture de lrsquoinformation
Deacuteterminer lorientation technologique
Deacutefinir les processus lorganisation et les relations de travail
Geacuterer les investissements informatiques
Faire connaicirctre les buts et les orientations du management
Geacuterer les ressources humaines de lrsquoinformatique
Geacuterer la qualiteacute
Eacutevaluer et geacuterer les risques
Geacuterer les projets
PO1
PO2
PO3
PO4
PO 5
PO6
PO7
PO8
PO9
PO10
H P S S P S S P S
B P S P S P P S P S P
M S S P S S P S P P
B S P P P S S P P
M S P S S S P P P S
M P P P P P S
B P P S S P S P P
M P S S P P S P P P S S
H P P P S S P P P S S
H P S S S S S S P S P P Acqueacuterir et Impleacutementer
Trouver des solutions informatiques
Acqueacuterir des applications et en assurer la maintenance
Acqueacuterir une infrastructure technique et en assurer la maintenance
Faciliter le fonctionnement et lrsquoutilisation
Acqueacuterir des ressources informatiques
Geacuterer les changements
Installer et valider les solutions et les modifications
AI1
AI2
AI3
AI4
AI5
AI6
AI7
M P P S S P P S
M P P S P P P S S
B P P S P S S
B S P S S P S P P S S S S
M S P P S P S
H P S S P S P P P P S
M S P S S S P S S P S S S Deacutelivrer et Supporter
Deacutefinir et geacuterer les niveaux de services
Geacuterer les services tiers
Geacuterer la performance et la capaciteacute
Assurer un service continu
Assurer la seacutecuriteacute des systegravemes
Identifier et imputer les coucircts
Instruire et former les utilisateurs
Geacuterer le service drsquoassistance client et les incidents
Geacuterer la configuration
Geacuterer les problegravemes
Geacuterer les donneacutees
Geacuterer lrsquoenvironnement physique
Geacuterer lrsquoexploitation
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M P P P P S P S S P P S S S S S
B P S P S P S P S P P S S S S S
B S S P S S P S P P S
M S P S P S S P S P S P
H P P S S P P S S S
B S P S P P P
B S P S P S P S
B S P S S P P P P
M P S P P S S S
M P S P S S P P S
H P P P P P P
B S P S P P P
B P P S P P S S Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
Surveiller et eacutevaluer le controcircle interne
Srsquoassurer de la conformiteacute aux obligations externes
Mettre en place une gouvernance des SI
SE1
SE2
SE3
SE4
H P S P P P S S S S S
M P P P P P S S S S S
H P P P S S P S
H P P P P P P S S P P P S S S S S
Note La grille du COSO est baseacutee sur le reacutefeacuterentiel original COSO Cette grille srsquoapplique aussi en geacuteneacuteral agrave lrsquoEnterprise Risk ManagementshyIntegrated Framework publieacute ensuite par le COSO qui eacutelargit le controcircle interne apportant un eacuteclairage plus robuste et plus eacutetendu sur le sujet plus large de la gestion du risque dans lrsquoentreprise Bien que COBIT ne soit pas conccedilu pour remplacer le reacutefeacuterentiel de controcircle interne original du COSO (il lrsquointegravegre en fait) les utilisateurs de COBIT peuvent choisir de se reacutefeacuterer agrave ce reacutefeacuterentiel de gestion du risque dans lrsquoentreprise agrave la fois pour satisfaire leurs besoins de controcircle interne et pour eacutevoluer vers un processus plus complet de gestion du risque
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
173
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 174
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Lrsquoannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lrsquoenvironnement de controcircle interne et ce qui existe comme controcircles internes dans une entreprise Elle montre comment la gestion du controcircle interne et la conscience du besoin de mettre en place de meilleurs controcircles internes font typiquement progresser drsquoun niveau donneacute agrave un niveau optimiseacute Ce modegravele propose un guide geacuteneacuteral pour aider les utilisateurs de COBIT agrave juger de ce qui est neacutecessaire pour des controcircles internes efficaces de lrsquoinformatique et pour les aider agrave positionner leur entreprise par rapport au modegravele de maturiteacute
AN
NE
XE
III
M
AT
UR
ITEacute
CO
NT
ROcirc
LE
S
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Niveau de maturiteacute Situation de lrsquoenvironnement de controcircle interne Mise en place de controcircles internes
0 Inexistant On ne reconnaicirct pas le besoin drsquoun controcircle interne Le controcircle ne fait pas partie de la culture ou de la mission de lrsquoentreprise Il existe un risqueacute eacuteleveacute de deacutefaillances des controcircles et drsquoincidents
On nrsquoest pas deacutecideacute agrave eacutevaluer le besoin drsquoun controcircle interne On traite les incidents quand ils surviennent
1 Initialiseacute On reconnaicirct en partie le besoin drsquoun controcircle interne Lrsquoapproche On nrsquoest pas conscient du besoin drsquoune eacutevaluation de ce qui est au cas par cas du risque et des exigences de controcircle se fait au cas par cas est
mal organiseacutee sans communication ni surveillance On ne sait pas identifier les deacutefaillances Les employeacutes ne sont pas conscients de leurs responsabiliteacutes
neacutecessaire pour les controcircles de lrsquoinformatique Lorsqursquoon en fait ce nrsquoest qursquoau cas par cas agrave un niveau geacuteneacuteral et en reacuteaction agrave des incidents seacuterieux Les eacutevaluations ne concernent que les incidents aveacutereacutes
2 Reproductible Les controcircles sont en place mais ils ne sont pas documenteacutes Leur Lrsquoeacutevaluation des besoins en controcircles nrsquoa lieu que lorsqursquoil est mais intuitif fonctionnement deacutepend des connaissances et des motivations
drsquoindividus particuliers Lrsquoeacutevaluation de lrsquoefficaciteacute nrsquoest pas bien faite Les controcircles ont de nombreuses faiblesses et on ne les utilise pas comme il faut les conseacutequences peuvent ecirctre graves Les actions du management pour reacutesoudre les problegravemes du controcircle ne sont ni hieacuterarchiseacutees ni logiques Les employeacutes ne sont pas toujours conscients de leurs responsabiliteacutes agrave lrsquoeacutegard du controcircle
neacutecessaire de deacuteterminer pour certains processus informatiques particuliers le niveau actuel de maturiteacute des controcircles la cible viseacutee et lrsquoeacutecart qui existe On utilise une approche informelle drsquoatelier de travail avec les responsables de lrsquoinformatique et lrsquoeacutequipe impliqueacutee dans le processus pour deacutefinir une approche adeacutequate des controcircles pour ce processus et pour convenir drsquoun plan drsquoaction
3 Deacutefini Les controcircles sont en place et ils sont correctement documenteacutes On eacutevalue peacuteriodiquement lrsquoefficaciteacute fonctionnelle et le nombre de problegravemes nrsquoest ni tregraves eacuteleveacute ni tregraves bas En revanche le processus drsquoeacutevaluation nrsquoest pas documenteacute Bien que le management soit capable de traiter couramment les problegravemes de controcircle certaines faiblesses persistent qui pourraient encore avoir de graves conseacutequences Les employeacutes sont conscients de leurs responsabiliteacutes agrave lrsquoeacutegard des controcircles
On a identifieacute les processus informatiques critiques en fonction drsquoinducteurs de valeur et de risques On fait une analyse deacutetailleacutee pour deacuteterminer les exigences de controcircle et les causes des carences et pour trouver des possibiliteacutes drsquoameacutelioration En plus drsquoateliers organiseacutes on utilise des outils et on pratique des entretiens pour enrichir lrsquoanalyse et pour srsquoassurer que les processus drsquoeacutevaluation et drsquoameacutelioration sont bien attribueacutes agrave un proprieacutetaire et que celui-ci les met en œuvre
4 Geacutereacute et mesurable Il existe un environnement de gestion du controcircle interne et du risque efficace On fait freacutequemment une eacutevaluation documenteacutee des controcircles De nombreux controcircles sont automatiseacutes et reacuteguliegraverement examineacutes Le management deacutetecte la plupart des problegravemes lieacutes aux controcircles mais ce nrsquoest pas systeacutematique Il existe un suivi seacuterieux qui permet de traiter les faiblesses reconnues des controcircles Lrsquoinformatique est utiliseacutee de faccedilon limiteacutee et tactique pour automatiser les controcircles
Lrsquoaspect critique des processus informatiques est reacuteguliegraverement deacutetermineacute avec le soutien et lrsquoaccord complets des proprieacutetaires de processus meacutetiers concerneacutes Lrsquoeacutevaluation des exigences de controcircle se base sur la politique et sur le niveau de maturiteacute de ces processus selon une analyse complegravete et chiffreacutee qui implique les parties prenantes les plus concerneacutees On sait clairement qui a la responsabiliteacute finale de ces eacutevaluations et on veacuterifie qursquoil lrsquoassume Les strateacutegies drsquoameacutelioration srsquoappuient sur des analyses de rentabiliteacute On veacuterifie constamment si la performance aboutit au reacutesultat souhaiteacute On organise occasionnellement des revues de controcircles externes
5 Optimiseacute Lrsquoentreprise a un programme geacuteneacuteral risquecontrocircle qui permet de reacutesoudre les problegravemes de faccedilon efficace et continue La gestion du controcircle et du risque est inteacutegreacutee dans les pratiques de lrsquoentreprise assisteacutee par une surveillance automatique en temps reacuteel et la responsabiliteacute finale de la surveillance des controcircles de la gestion des risques et du respect de la conformiteacute est pleinement assumeacutee Lrsquoeacutevaluation des controcircles est continue baseacutee sur des autoshyeacutevaluations et sur lrsquoanalyse des carences et des causes Les employeacutes srsquoimpliquent activement dans lrsquoameacutelioration des controcircles
Les modifications meacutetiers prennent en compte la dimension critique des processus informatiques et couvrent tous les besoins de reacuteeacutevaluation des capaciteacutes des controcircles des processus Les proprieacutetaires de processus informatiques effectuent reacuteguliegraverement des auto-eacutevaluations pour confirmer que les controcircles sont au bon niveau de maturiteacute pour satisfaire les besoins meacutetiers et ils prennent en compte les attributs de maturiteacute pour trouver comment rendre les controcircles plus efficients et plus efficaces Lrsquoentreprise se compare aux bonnes pratiques externes et cherche des conseils agrave lrsquoexteacuterieur sur lrsquoefficaciteacute du controcircle interne Pour les processus cruciaux on fait des revues indeacutependantes pour apporter lrsquoassurance raisonnable que les controcircles sont au niveau de maturiteacute deacutesireacute et qursquoils fonctionnent selon les preacutevisons
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 175
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 176
ANNEXE IV
DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
AN
NE
XE
IV
DO
CU
ME
NT
S D
E R
EacuteFEacute
RE
NC
E
ANNEXE IV
ANNEXE IV minus DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
Pour les activiteacutes de deacuteveloppement et de mise agrave jour preacuteceacutedentes de COBIT une importante base de 40 standards internationaux deacutetailleacutes relatifs agrave lrsquoinformatique de reacutefeacuterentiels guides et meilleures pratiques a eacuteteacute utiliseacutee pour garantir lrsquoexhaustiviteacute de COBIT dans son approche de tous les domaines de gouvernance et de controcircle des SI
Comme COBIT srsquointeacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequat des SI il se positionne au niveau geacuteneacuteral Les standards et les meilleures pratiques informatiques deacutecrivent cependant en deacutetail comment geacuterer et controcircler les aspects speacutecifiques de lrsquoinformatique COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un cadre de reacutefeacuterence geacuteneacuteral qui fait ausi le lien avec les exigences de gouvernance et les exigences des meacutetiers
Pour cette mise agrave jour de COBIT (COBIT 41) six des standards reacutefeacuterentiels et pratiques les plus reconnus mondialement ont eacuteteacute pris en compte comme reacutefeacuterences majeures garantissant que la couverture la coheacuterence et lrsquoalignement soient les meilleurs possibles Ce sont
bull COSO Internal Control-Integrated Framework 1994 Enterprise Risk Mangement-Integrated Framework 2004
bull Office of Government Commerce (OGCreg) IT Infrastructure Libraryreg (ITILreg) 1999-2004
bull International Organisation for Standardisation ISOIEC 27000
bull Software Engineering Institute (SEIreg) SEI Capability Maturity Model (CMMreg) 1993 SEI Capability Maturity Model Integration (CMMIreg) 2000
bull Project Management Institute (PMIreg) A Guide to the Project Management Body of Knlowledge (PMBOKreg) 2004
bull Information Security Forum (ISF) The Standard of Good Practice for Information Security 2003
Des reacutefeacuterences compleacutementaires ont eacuteteacute utiliseacutees pour COBIT 41 bull IT Control Objectives for Sarbanes-Oxley The Role of IT in the Design and Implementation of Internal Control Over Financial
Reporting 2nd Edition IT Governance Institute USA 2006 bull CISA Review Manual ISACA 2006
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 177
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 178
ANNEXE V
CORRESPONDANCE ENTRE COBIT 3EgraveME EacuteDITION ET COBIT 41
AN
NE
XE
V
CO
MPA
RA
ISO
N C
OB
IT 3
CO
BIT
41
ANNEXE V ANNEXE V minus CORRESPONDANCE ENTRE COBIT 3Egrave EacuteDITION ET COBIT 41
Modifications au niveau du Cadre de Reacutefeacuterence Les modifications majeures au cadre de reacutefeacuterence de COBIT reacutesultant de la mise agrave jour COBIT 40 sont les suivantes bull Le domaine S est devenu SE pour Surveiller et Eacutevaluer bull S3 et S4 eacutetaient des processus drsquoaudit et non des processus informatiques On les a enleveacutes puisqursquoils sont correctement traiteacutes par un
certain nombre de standards drsquoaudit informatique mais on a fourni un certain nombre de reacutefeacuterences dans la mise agrave jour du cadre de reacutefeacuterence pour souligner le besoin qursquoa le management de disposer des fonctions drsquoassurance et de les utiliser
bull SE3 est le processus qui srsquointeacuteresse agrave la supervision reacuteglementaire laquelle eacutetait auparavant couverte par PO8 bull SE4 concerne le processus de supervision des SI par la gouvernance ce qui correspond agrave lrsquoambition de COBIT drsquoecirctre un reacutefeacuterentiel de
gouvernance des SI En positionnant ce processus en dernier on a voulu souligner que tous les autres processus preacuteceacutedents contribuent au but ultime qui consiste agrave mettre en place une gouvernance efficace des SI dans lrsquoentreprise
bull Du fait que PO8 a eacuteteacute supprimeacute et pour conserver la numeacuterotation de PO9 Eacutevaluer les risques et de PO10 Geacuterer les projets comme dans COBIT 3e eacutedition PO8 devient maintenant Geacuterer la qualiteacute lrsquoancien processus PO11 Le domaine PO a donc deacutesormais 10 processus au lieu de 11
bull Le domaine AI a neacutecessiteacute deux modifications lrsquoajout drsquoun processus achats et le besoin drsquoinclure dans AI5 les aspects de la gestion des versions Ces derniegraveres modifications ont fait penser que ce processus devrait ecirctre le dernier du domaine AI il est donc devenu AI7 Le creacuteneau ainsi libeacutereacute en AI5 a eacuteteacute utiliseacute pour ajouter le nouveau processus achats Le domaine AI a deacutesormais 7 processus au lieu de 6
COBIT 41 est une version increacutementale de COBIT 40 comprenant bull Une ameacutelioration de la partie Synthegravese bull Une preacutesentation des objectifs et des meacutetriques dans la partie Cadre de Reacutefeacuterence bull De meilleures deacutefinitions des concepts essentiels Il est important de mentionner que la deacutefinition de lrsquoobjectif de controcircle a eacutevolueacutee pour
devenir davantage lrsquoexposeacute drsquoune pratique de management bull Une ameacutelioration des objectifs de controcircle reacutesultant drsquoune mise agrave jour des pratiques de controcircle et de la prise en compte de Val IT Certains
objectifs de controcircle ont eacuteteacute regroupeacutes etou reacuteeacutecrits pour eacuteviter les redondances et rendre la liste des objectifs de controcircle plus coheacuterente Il en a reacutesulteacute une renumeacuterotation des objectifs de controcircle restants Quelques objectifs de controcircle ont eacuteteacute reacuteeacutecrits afin de les rendre plus coheacuterents et davantage tourneacutes vers lrsquoaction Plus preacuteciseacutement minus AI55 et AI56 ont eacuteteacute regroupeacutes avec AI54 minus AI 79 AI710 et AI711 ont eacuteteacute regroupeacutes avec AI78 minus SE3 integravegre deacutesormais la conformiteacute aux obligations contractuelles en plus des obligations leacutegales et reacuteglementaires
bull Les controcircles applicatifs ont eacuteteacute retravailleacutes afin de les rendre plus efficaces pour aider agrave eacutevaluer et rendre compte de lrsquoefficaciteacute des controcircles Il en reacutesulte une liste de six controcircles applicatifs au lieu des 18 de COBIT 40 avec des deacutetails additionnels provenant des Pratiques de Controcircle COBIT 2egraveme version
bull La liste des objectifs meacutetiers et informatiques de lrsquoAnnexe I a eacuteteacute ameacutelioreacutee sur la base drsquoun nouveau regard reacutesultant des travaux de recherche meneacutes par lrsquoEcole de Management de Universiteacute drsquoAnvers (Belgique)
bull Le hors texte a eacuteteacute enrichi Il integravegre une liste de reacutefeacuterence rapide des processus COBIT et le diagramme de synthegravese de description des domaines a eacuteteacute revu afin drsquointeacutegrer une reacutefeacuterence aux controcircles de processus et aux controcircles applicatifs du Cadre de Reacutefeacuterence COBIT
bull Les ameacuteliorations proposeacutees par les utilisateurs de COBIT (COBIT 40 et COBIT Online) ont eacuteteacute revues et inteacutegreacutees quand cela eacutetait opportun
Objectifs de Controcircle Comme on peut le comprendre drsquoapregraves ce que nous venons drsquoexpliquer sur les modifications au niveau du cadre de reacutefeacuterence et sur le travail qui a permis de clarifier et de recentrer le contenu des objectifs de controcircle la mise agrave jour du cadre de reacutefeacuterence de COBIT a significativement modifieacute les objectifs de controcircle Ces composants ont eacuteteacute reacuteduits de 215 agrave 210 parce que tous les eacuteleacutements geacuteneacuteriques ne se retrouvent deacutesormais plus qursquoau niveau du cadre de reacutefeacuterence et ils ne sont pas reproduits pour chaque processus De mecircme toutes les reacutefeacuterences aux controcircles applicatifs ont migreacute vers le cadre de reacutefeacuterence et les objectifs de controcircle speacutecifiques ont eacuteteacute regroupeacutes dans de nouvelles rubriques Pour aider agrave faire la transition dans ce contexte les deux ensembles de tableaux qui suivent eacutetablissent des reacutefeacuterences croiseacutees entre les nouveaux objectifs de controcircle et les anciens
Guide de Management On a ajouteacute des entreacutees et des sorties pour illustrer ce dont les processus ont besoin (entreacutees) et ce qursquoen principe on attend drsquoeux (sorties) On a aussi preacutesenteacute les activiteacutes et les responsabiliteacutes qui y sont associeacutees Les entreacutees et les objectifs activiteacute remplacent les facteurs critiques de succegraves de COBIT 3e eacutedition Les meacutetriques sont deacutesormais baseacutees sur une deacuteclinaison coheacuterente drsquoobjectifs meacutetiers informatique processus et activiteacutes Les ensembles de meacutetriques de COBIT 3e eacutedition ont aussi eacuteteacute reacuteviseacutes et ameacutelioreacutes pour les rendre plus repreacutesentatifs et plus mesurables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 179
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 3e eacutedition agrave C OBIT 41
COBIT 3e eacutedition COBIT 41 PO1 Deacutefinir un plan informatique strateacutegique 11 Inteacutegration des TI au plan agrave 14 long et agrave court terme de lentreprise 12 Plan informatique agrave long 14 terme 13 Approche et structure de la 14 planification des TI agrave long terme 14 Modifications du plan 14 informatique agrave long terme 15 Planification agrave court terme 15 de la fonction informatique 16 Communication des plans 14 informatiques 17 Surveillance et eacutevaluation 13 des plans informatiques 18 Eacutevaluation des systegravemes 13 existants PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO4 Deacutefinir lorganisation et les relations de travail
COBIT 3e eacutedition 41 Comiteacute de planification ou de pilotage de la fonction informatique
COBIT 41 43
42 Position de la fonction informatique au sein de lentreprise
44
43 Reacutevision des reacutealisations de la fonction
45
44 Rocircles et responsabiliteacutes 46 45 Responsabiliteacute de lassurance qualiteacute
47
46 Responsabiliteacute de la seacutecuriteacute physique et logique
48
47 Statuts de proprieacutetaire et de gardien
49
48 Proprieacuteteacute des donneacutees et du systegraveme
49
49 Supervision 410 410 Seacuteparation des tacircches 411 411 Gestion du personnel informatique
412
412 Description des fonctions ou des postes du personnel de la fonction informatique
46
413 Personnel cleacute des TI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations de travail 415 PO5 Geacuterer linvestissement informatique 51 Budget annuel de fonctionnement de la fonction informatique
53
52 Surveillance des coucircts et des gains
54
53 Justification des coucircts et des gains
11 54 55
PO6 Faire connaicirctre les buts et orientations du management 61 Dispositif de controcircle positif de linformation
61
62 Responsabiliteacute du management vis-agrave-vis des politiques
63 64 65
63 Communication des politiques de lentreprise
63 64 65
64 Ressources utiliseacutees pour la mise en œuvre de la politique
64
65 Maintenance des politiques 63 64 66 Conformiteacute aux politiques aux proceacutedures et aux standards
63 64 65
67 Engagement vis-agrave-vis de la qualiteacute
63 64 65
68 Cadre de seacutecuriteacute et de controcircle interne
62
69 Droits relatifs agrave la proprieacuteteacute intellectuelle
63 64 65
610 Politiques speacutecifiques 63 64 65 611 Sensibilisation agrave la seacutecuriteacute informatique
63 64 65
PO7 Geacuterer les ressources humaines 71 Recrutement et promotion du personnel
71
72 Qualification du personnel 72 73 Rocircles et responsabiliteacutes 74 74 Formation 75 75 Organisation des remplacements ou formations croiseacutees
76
COBIT 3e eacutedition 76 Proceacutedures de seacutecuriteacute concernant le personnel
COBIT 41 77
77 Eacutevaluation des performances
78
78 Gestion des changements de poste et des deacuteparts
78
PO8 Se conformer aux exigences externes 81 Revue des impeacuteratifs externes
SE31
82 Pratiques et proceacutedures pour se conformer aux exigences externes
SE32
83 Conformiteacute en matiegravere de seacutecuriteacute et dergonomie
SE31
84 Vie priveacutee proprieacuteteacute intellectuelle et transfert de donneacutees
SE31
85 Commerce eacutelectronique SE31 86 Conformiteacute des contrats dassurance
SE31
PO9 Eacutevaluer les risques91 Eacutevaluation du risque dentreprise
91 92 94
92 Approche drsquoeacutevaluation des risques
94
93 Identification des risques 93 94 Evaluation des risques 91 92 93
94 95 Plan daction pour parer aux risques
95
96 Acceptation des risques 95 97 Choix des mesures de sauvegarde
95
98 Engagement dans leacutevaluation des risques
91
PO10 Geacuterer des projets 101 Structure de gestion de projets
102
102 Participation du deacutepartement utilisateur agrave linitialisation du projet
104
103 Appartenance agrave leacutequipe projet et responsabiliteacutes
108
104 Deacutefinition du projet 105 105 Approbation du projet 106 106 Approbation des phases du projet
106
107 Plan directeur du projet 107 108 Plan dassurance qualiteacute du systegraveme
1010
109 Planification des meacutethodes dassurance qualiteacute
1012
1010 Gestion formelle des risques du projet
109
1011 Plan de test AI72 1012 Plan de formation AI71 1013 Plan de reacutevision apregraves mise en œuvre
1014 (partiel)
PO11 Geacuterer la qualiteacute 111 Plan geacuteneacuteral de qualiteacute 85 112 Approche de lassurance qualiteacute
81
113 Planification de lrsquoassurance qualiteacute
81
114 Reacutevision par lassurance qualiteacute du respect des normes et des proceacutedures de la fonction informatique
81 82
115 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 180
ANNEXE V COBIT 3e eacutedition 116 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes lors de modifications majeures agrave effectuer sur la technologie existante
COBIT 41 82 83
117 Mise agrave jour de la meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
118 Coordination et 82 communication
COBIT 3e eacutedition 119 Cadre dacquisition et de maintenance de linfrastructure technologique
COBIT 41 82
1110 Relations avec les tiers DS23 chargeacutes du deacuteveloppement 1111 Normes de AI42 AI43 documentation des AI44 programmes 1112 Normes de test des AI72 AI74 programmes 1113 Normes de test des AI72 AI74 systegravemes
COBIT 3e eacutedition 1114 Test en parallegravelesur pilote
COBIT 41 AI72 AI74
1115 Documentation des tests AI72 AI74 1116 Assurance qualiteacute et eacutevaluation du respect des normes de deacuteveloppement
82
1117 Assurance qualiteacute et revue de latteinte des objectifs de la fonction informatique
82
1118 Indicateurs de qualiteacute 86 1119 Comptes-rendus des revues dassurance qualiteacute
82
COBIT 3e eacutedition COBIT 41 AI1 Trouver des solutions informatiques
11 Deacutefinition des besoins dinformation
11
12 Formulation des solutions alternatives
13 51 PO14
13 Formulation de la strateacutegie dachat
13 51 PO14
14 Exigences pour les services fournis par des tiers
51 53
15 Eacutetude de faisabiliteacute technologique
13
16 Eacutetude de faisabiliteacute eacuteconomique
13
17 Architecture de linformation 13
18 Rapport danalyse des risques
12
19 Controcircles du rapport coucirctefficaciteacute de la seacutecuriteacute
11 12
110 Conception des pistes daudit
11 12
111 Ergonomie 11 112 Seacutelection du logiciel systegraveme
11 13
113 Controcircle des achats 51 114 Acquisition de logiciels 51
115 Maintenance des logiciels par des tiers
54
116 Programmation dapplications sous contrat
54
117 Reacuteception des eacutequipements
54
118 Reacuteception de technologie 31 32 33 54
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Meacutethodes de conception 21 22 Modifications majeures dun systegraveme existant
21 22 26
COBIT 3e eacutedition COBIT 41 23 Approbation de la conception
21
24 Deacutefinition des exigences en matiegravere de fichiers et documentation
22
25 Speacutecifications des programmes
22
26 Conception de la collecte des donneacutees sources
22
27 Deacutefinition et documentation des exigences de saisie
22
28 Deacutefinition des interfaces 22 29 Interface homme - machine 22 210 Deacutefinition et documentation des exigences de traitement
22
211 Deacutefinition et documentation des exigences des sorties
22
212 Les controcircles 23 24 213 La disponibiliteacute facteur cleacute de la conception
22
214 Dispositions pour preacuteserver linteacutegriteacute des applications
23 DS115
215 Tests des applications 28 74 216 Manuels utilisateurs et mateacuteriels de support
43 44
217 Reacuteeacutevaluation de la conception des systegravemes
22
AI3 Acqueacuterir une infrastructure technologique et en assurer la maintenance 31 Eacutevaluation des nouveaux mateacuteriels et logiciels
31 32 33
32 Maintenance preacuteventive du mateacuteriel
DS135
33 Seacutecuriteacute des logiciels systegravemes
31 32 33
34 Installation des logiciels systegravemes
31 32 33
35 Maintenance des logiciels systegravemes
33
36 Controcircle des modifications des logiciels systegravemes
61 73
COBIT 3e eacutedition COBIT 41 37 Utilisation et surveillance des utilitaires systegraveme
32 33 DS93
AI4 Deacutevelopper les proceacutedures et en assurer la maintenance 41 Besoins dexploitation et niveaux de service
41
42 Manuel des proceacutedures utilisateurs
42
43 Manuel dexploitation 44 44 Supports de formation 43 44 AI5 Installer les systegravemes et les valider 51 Formation 71 52 Eacutevaluation des performances des logiciels dapplication
76 DS31
53 Plan de mise en place 72 73 54 Conversion du systegraveme 75 55 Conversion des donneacutees 75 56 Strateacutegie et plans de tests 72 57 Test des modifications 74 76 58 Critegraveres et performances des tests en parallegravelesur pilote
76
59 Tests de recette deacutefinitive 77 510 Tests de seacutecuriteacute et validation
76
511 Tests dexploitation 76 512 Transfert en production 78 513 Eacutevaluation de ladeacutequation de lapplication aux besoins des utilisateurs
79
514 Revue par le management apregraves mise en place
79
AI6 Geacuterer les changements 61 Lancement et controcircle des demandes de modification
61 64
62 Eacutevaluation de limpact 62 63 Controcircle des modifications 79 64 Modifications durgence 63 65 Documentation et proceacutedures
65
66 Maintenance autoriseacutee DS53 67 Preacuteparation de la diffusion des logiciels
79
68 Diffusion des logiciels 79
COBIT 3e eacutedition COBIT 41 DS1 Deacutefinir et geacuterer des niveaux de services 11 Contrat de niveaux de services
11
12 Contenu des contrats de servivce
13
13 Proceacutedures de fonctionnement
11
14 Surveillance et comptesshyrendus
15
COBIT 3e eacutedition COBIT 41 15 Revue des conventions de 16 niveaux de services et des contrats 16 Charges facturables 13 17 Programme dameacutelioration de service
16
DS 2 Geacuterer des services tiers 21 Interfaces fournisseurs 21 22 Titulaire de la relation 22 23 Contrats avec des tiers AI52 24 Qualification des tiers AI53 25 Contrat dexternalisation AI52
COBIT 3e eacutedition 26 Continuiteacute des services
COBIT 41 23
27 Relations seacutecuriteacute 23 28 Surveillance 24 DS3 Geacuterer la performance et la capaciteacute 31 Impeacuteratifs de disponibiliteacute et de performance
31
32 Plan de disponibiliteacute 34 33 Surveillance et comptesshyrendus
35
34 Outils de modeacutelisation 31 35 Gestion proactive de la performance
33
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 181
COBIT41 COBIT 3e eacutedition 36 Preacutevisions de charge de travail
COBIT 41 33
37 Gestion de la capaciteacute des ressources
32
38 Disponibiliteacute des ressources 34 39 Planification des ressources 34 DS4 Assurer un service continu 41 Plan de continuiteacute informatique
41
42 Plan de continuiteacute informatique strateacutegie et philosophie
41
43 Contenu du plan de continuiteacute informatique
42
44 Minimiser les besoins de continuiteacute informatique
43
45 Maintenance du plan de continuiteacute informatique
44
46 Test du plan de continuiteacute informatique
45
47 Formation au plan de continuiteacute informatique
46
48 Diffusion du plan de continuiteacute informatique
47
49 Proceacutedures alternatives de traitement pour le secours des deacutepartements utilisateurs
48
410 Ressources informatiques critiques
43
411 Site et mateacuteriel de secours 48 412 Sauvegarde hors site 49 413 Proceacutedures deacutevaluation apregraves sinistre
410
DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion des mesures de seacutecuriteacute
51
52 Identification authentification et accegraves
53
53 Seacutecuriteacute daccegraves en ligne aux donneacutees
53
54 Gestion des comptes utilisateurs
54
55 Revue des comptes utilisateurs par le management
54
56 Controcircle des utilisateurs sur leurs comptes
54 55
57 Surveillance de la seacutecuriteacute 55 58 Classification des donneacutees PO23 59 Gestion centraliseacutee des identifiants et des droits daccegraves
53
510 Rapports dactiviteacute sur la seacutecuriteacute et les violations de la seacutecuriteacute
55
511 Gestion des incidents 56 512 Proceacutedure de revalidation 51 513 Controcircle des contreparties 53 CA6 514 Autorisation des transactions
53
515 Non-reacutepudiation 511 516 Chemin seacutecuriseacute 511 517 Protection des fonctions de seacutecuriteacute
57
518 Gestion des clefs de chiffrement
58
519 Preacutevention deacutetection et correction des virus
59
COBIT 3e eacutedition 520 Architectures de pare-feu (firewall) et connexions aux reacuteseaux publics
COBIT 41 510
521 Protection des valeurs eacutelectroniques
134
DS6 Identifier et imputer les coucircts 61 Charges facturables 61 62 Proceacutedures deacutevaluation des coucircts
63
63 Proceacutedures dimputation et de refacturation aux utilisateurs
62 64
DS7 Instruire et former les utilisateurs 71 Identification des besoins de formation
71
72 Organisation de la formation 72 73 Sensibilisation et formation aux regravegles de seacutecuriteacute
PO74
DS8 Aider et conseiller les clients 81 Assistance help desk 81 85 82 Enregistrement des demandes des clients
82 83 84
83 Escalade des demandes des clients
83
84 Surveillance du traitement 103 85 Analyse des tendances et compte-rendu
101
DS9 Geacuterer la configuration 91 Enregistrement de la configuration
91
92 Configuration de base 91 93 Situation comptable 93 94 Controcircle de configuration 93 95 Logiciels non autoriseacutes 93 96 Stockage des logiciels AI34 97 Proceacutedures de gestion de la configuration
92
98 Responsabiliteacute des logiciels 91 92 DS10 Geacuterer les problegravemes et les incidents 101 Systegraveme de gestion des problegravemes
101 102 103 104
102 Escalade des problegravemes 102 103 Suivi des problegravemes et piste daudit
82 102
104 Autorisations daccegraves temporaires ou en urgence
54 123 AI63
105 Prioriteacutes des traitements durgence
101 83
DS11 Geacuterer les donneacutees 111 Proceacutedures de preacuteparation de donneacutees
CA1
112 Proceacutedures dautorisation des documents sources
CA1
113 Collecte des donneacutees des documents sources
CA1
114 Traitement des erreurs dans les documents sources
CA1
115 Conservation des documents sources
DS112
116 Proceacutedures dautorisation dentreacutee de donneacutees
CA2
117 Controcircles dexactitude drsquoexhaustiviteacute et dautorisation
CA3
118 Traitement des erreurs de saisie de donneacutees
CA2 CA4
119 Inteacutegriteacute du traitement des donneacutees
CA4
1110 Validation et preacuteparation du traitement des donneacutees
CA4
COBIT 3e eacutedition COBIT 41 1111 Gestion des erreurs de CA4 traitement des donneacutees 1112 Traitement et CA5 112 conservation des fichiers de sortie 1113 Distribution des sorties CA5 CA6 1114 Reacuteconciliation et ajustage CA5 des sorties 1115 Revue des sorties et CA5 traitement des erreurs 1116 Clauses de seacutecuriteacute des 116 eacutetats en sortie 1117 Protection des CA6 116 informations sensibles pendant la transmission et le transport 1118 Protection des 114 CA6 informations sensibles mises agrave disposition 1119 Gestion du stockage 112 1120 Peacuteriodes de conservation 112 et conditions de stockage 1121 Systegraveme de gestion de la meacutediathegraveque
113
1122 Responsabiliteacutes de la 113 gestion de la meacutediathegraveque 1123 Sauvegarde et 115 restauration 1124 Travaux de sauvegarde 114 1125 Stockage des sauvegardes
49 113
1126 Archivage 112 1127 Protection des messages sensibles
116
1128 Authentification et CA6 inteacutegriteacute 1129 Inteacutegriteacute des transactions eacutelectroniques
511
1130 Inteacutegriteacute permanente des 112 donneacutees enregistreacutees DS12 Geacuterer les installations 121 Seacutecuriteacute physique 121 122 122 Discreacutetion du site 121 122 informatique 123 Accompagnement des visiteurs
123
124 Santeacute et seacutecuriteacute du 121125 personnel SE31 125 Protection contre les 124 129 risques lieacutes agrave lenvironnement 126 Continuiteacute de lrsquoalimentation 125 eacutelectrique DS13 Geacuterer lrsquoexploitation 131 Proceacutedures dexploitation et manuels dinstructions
131
132 Documentation du processus de deacutemarrage du systegraveme et des autres tacircches dexploitation
131
133 Planification des travaux 132 134 Travaux non planifieacutes 132 135 Continuiteacute des traitements 131 136 Journaux dexploitation 131 137 Peacuteripheacuteriques de sortie et supports particuliers de sauvegarde
134
138 Exploitation agrave distance 511
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 182
ANNEXE V COBIT 3e eacutedition COBIT 41 S1 Surveiller les processus 11 Collecter les donneacutees de controcircle
12
12 Eacutevaluer les performances 14 13 Eacutevaluer la satisfaction des clients de linformatique
12
14 Rapports de gestion 15 S2 Eacutevaluer lrsquoadeacutequation du controcircle interne 21 Surveillance du controcircle interne
22
22 Exploitation en temps opportun des controcircles internes
21
23 Rapports sur le niveau de controcircle interne
22 23
24 Assurance sur lrsquoefficaciteacute de la seacutecuriteacute et du controcircle interne
24
S3 Acqueacuterir une assurance indeacutependante 31 Certification Validation indeacutependante de la seacutecuriteacute et du controcircle interne des services informatiques
25 47
COBIT 3e eacutedition 32 Certification Validation indeacutependante des services fournis par des prestataires
COBIT 41 25 47
33 Eacutevaluation indeacutependante 25 47 de lefficaciteacute de la fonction informatique 34 Eacutevaluation indeacutependante des tiers fournisseurs de services
25 47
35 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels
25 47
36 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels des tiers fournisseurs de services
25 26 47
37 Compeacutetence de lassurance indeacutependante
25 47
38 Implication proactive de laudit
25 47
COBIT 3e eacutedition S4 Disposer drsquoun audit indeacutependant
COBIT 41
41 Charte daudit 25 47 42 Indeacutependance 25 47 43 Eacutethique et normes professionnelles
25 47
44 Compeacutetence 25 47 45 Planification 25 47 46 Reacutealisation du travail 25 47 daudit 47 Rapports daudit 25 47 48 Activiteacutes de suivi 25 47
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 183
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 41 agrave COBIT 3e eacutedition
COBIT 41 COBIT 3e
eacutedition PO1 Deacutefinir un plan informatique strateacutegique 11 Gestion de la valeur des SI 53 12 Alignement meacutetiersshyinformatique
Nouveau
13 Eacutevaluation de la performance actuelle
17 18
14 Plan informatique strateacutegique
11 12 13 14 16 AI12 AI13
15 Plans informatiques tactiques
15
16 Gestion du portefeuille informatique
Nouveau
PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation de lrsquoentreprise
21
22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise
22
23 Systegraveme de classification des donneacutees
23 24 DS58
24 Gestion de linteacutegriteacute Nouveau PO3 Deacuteterminer lorientation technologique 31 Planification de lrsquoorientation technologique
31 33 34
32 Planification de linfrastructure technologique
Nouveau
33 Surveillance des tendances et de la reacuteglementation
32
34 Standards informatiques 35 35 Comiteacute architecture des TI 35 PO4 Deacutefinir les processuslorganisation et les relations de travail 41 Ca dre de reacutefeacuterence des processus informatiques
Nouveau
42 Comiteacute strateacutegique informatique
Nouveau
43 Comiteacute de pilotage informatique
41
44 Position de la fonction informatique au sein de lentreprise
42
45 Structure du service informatique
43
46 Rocircles et responsabiliteacutes 44 412 47 Responsabiliteacute de lassurance qualiteacute informatique
45
48 Responsabiliteacute du risque de la seacutecuriteacute et de la conformiteacute
46
49 Proprieacuteteacute des donneacutees et du systegraveme
47 48
COBIT 41 COBIT 3e
eacutedition 410 Supervision 49 411 Seacuteparation des tacircches 410 412 Recrutement informatique 411 413 Personnel informatique cleacuteI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations 415 PO5 Geacuterer linvestissement informatique 51 Reacutefeacuterentiel de gestion financiegravere
Nouveau
52 Deacutefinition des prioriteacutes dans le budget informatique
Nouveau
53 Processus de budgeacutetisation informatique
51 53
54 Gestion des coucircts 52 53 55 Gestion des beacuteneacutefices 53 PO6 Faire connaicirctre les buts et les orientations du management 61 Politique informatique et environnement de controcircle
61
62 Risque informatique pour lrsquoentrepriqe et cadre de controcircle interne
6 8
63 Gestion des politiques informatiques
62 63 65 66 67 69 610 611
64 Deacuteploiement des politiques 62 63 64 65 66 67 69 610 611
65 Communication des objectifs et des orientations informatiques
62 63 65 66 67 69 610 611
PO7 Geacuterer les ressources humaines informatiques 71 Recrutement et maintien du personnel
71
72 Compeacutetences du personnel 72 73 Affectation des rocircles Nouveau 74 Formation 73 DS73 75 Deacutependance agrave lrsquoeacutegard drsquoindividus
74
76 Proceacutedures de seacutecuriteacute concernant le personnel
75
77 Eacutevaluation des performances
76
78 Gestion des changements de poste et des deacuteparts
77 78
PO8 Geacuterer la qualiteacute
COBIT 41 COBIT 3e
eacutedition 81 Systegraveme de gestion de la qualiteacute
112 113 114
82 Standards informatiques et pratiques qualiteacute
115 116 117 118 19 1110 1116 1117 1119
83 Standards de deacuteveloppement et drsquoacquisition
115 116 117
84 Orientation client Nouveau 85 Ameacutelioration continue Nouveau 86 Mesure surveillance et revue qualiteacute
1118
PO9 Eacutevaluer et geacuterer les risques 91 Reacutefeacuterentiel de gestion des risque informatiques
91 94 98
92 Eacutetablissement du contexte du risque
91 94
93 Identification des eacuteveacutenements
93 94
94 Eacutevaluation des risques 91 92 94 95 Reacuteponse aux risques 95 96 97 96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques
Nouveau
PO10 Geacuterer des projets 101 Cadre de gestion de programme
Nouveau
102 Cadre de gestion de projet 101 103 Approche de la gestion de projets
Nouveau
104 Implication des parties prenantes
102
105 Eacutenonceacute du peacuterimegravetre du projet
104
106 Deacutemarrage drsquoune phase du projet
105 106
107 Plan de projet inteacutegreacute 107 108 Ressources du projet 103 109 Gestion des risques des projets
1010
1010 Plan qualiteacute du projet 108 1011 Controcircle des changements du projet
Nouveau
1012 Planification des meacutethodes dassurance
109
1013 Meacutetrique reporting et surveillance de la performance du projet
Nouveau
1014 Clocircture du projet 1013 (partiel)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 184
ANNEXE V COBIT 41 COBIT 3e
eacutedition AI1 Trouver des solutions informatiques 11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles
11 19 110 111 112
12 Rapport danalyse des risques 18 19 110 13 Eacutetudes de faisabiliteacute et formulation drsquoalternatives
13 17 112
14 Deacutecision et approbation concernant les exigences et la faisabiliteacute
Nouveau
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Conception geacuteneacuterale 21 22 22 Conception deacutetailleacutee 22 24 25
26 27 28 29 210 211 213 217
23 Controcircle applicatif et auditabiliteacute
212 214
24 Seacutecuriteacute et disponibiliteacute des applications
212
25 Configuration et impleacutementation des logiciels applicatifs acquis
Nouveau
26 Mises agrave jour majeures des systegravemes existants
22
27 Deacuteveloppement dapplications Nouveau 28Assurance qualiteacute des logiciels 215 29 Gestion des exigences des applications
Nouveau
210 Maintenance des applications
Nouveau
COBIT 41 COBIT 3e
eacutedition AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance 31 Plan drsquoacquisition drsquoune infrastructure technique
PO34 118 31 33 34
32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure
118 31 33 34 37
33 Maintenance de lrsquoinfrastructure
118 31 33 34 35 37
34 Environnement de test de faisabiliteacute
Nouveau
AI4 Faciliter le fonctionnement et lrsquoutilisation 41 Planification pour rendre les solutions exploitables
41
42 Transfert de la connaissance au secteur meacutetier
PO1111 42
43 Transfert des connaissances aux utilisateurs finaux
PO1111 216 44
44 Transfert des connaissances vers le personnel drsquoexploitation et du support
PO1111 216 43 44
AI5 Acqueacuterir des ressources informatiques 51 Controcircle des achats 12 13 14
113 114 52 Gestion des contrats fournisseurs
DS23 DS25
53 Seacutelection des fournisseurs 14 DS24 54 Acquisition de ressources informatiques
115 116 117 118
AI6 Geacuterer les changements 61 Standards et proceacutedures de changement
36 61
COBIT 41 COBIT 3e
eacutedition 62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation
62
63 Modifications durgence DS10 64 64 Suivi et compte-rendu des changements
61
65 Clocircture et documentation des changements
65
AI7 Installer et valider les solutions et les modifications 71 Formation PO1011
PO1012 51 72 Programme de test PO1011
PO1112 PO1113 PO1114 PO1115 53 56
73 Plan drsquoimpleacutementation 36 53 74 Environnement de tests PO1112
PO1113 PO1114 PO1115 215 57
75 Conversion des systegravemes et des donneacutees
54 55
76 Test des modifications 52 57 58 510 511
77 Tests de recette deacutefinitive 59 78 Transfert en production 512 79 Revue post-deacutemarrage 513 514
COBIT 41 COBIT 3e
eacutedition DS1 Deacutefinir et geacuterer les niveaux de services 11 Reacutefeacuterentiel pour la gestion des niveaux de services
11 13
12 Deacutefinition des services Nouveau 13 Contrats de services 12 14 Contrats drsquoexploitation Nouveau 15 Surveillance et comptesshyrendus des niveaux de services atteints
14
16 Revue des conventions de service et des contrats
15 16
DS 2 Geacuterer les services tiers 21 Identification des relations avec tous les fournisseurs
21
22 Gestion des relations fournisseurs
22
23 Gestion du risque fournisseurs PO1110 26 27
24 Surveillance des performances fournisseurs
28
DS3 Geacuterer la performance et la capaciteacute 31 Planification de la performance et de la capaciteacute
AI52 31 34
32 Performance et capaciteacute actuelles
37
33 Performance et capaciteacute futures
35 36
34 Disponibiliteacute des ressources informatiques
32 38 39
35 Surveillance et comptes rendus
33
DS4 Assurer un service continu 41 Reacutefeacuterentiel de continuiteacute informatique
41 42
COBIT 41 COBIT 3e
eacutedition 42 Plans de continuiteacute informatique
43
43 Ressources informatiques critiques
44 410
44 Maintenance du plan de continuiteacute des SI
45
45 Tests du plan de continuiteacute des SI
46
46 Formation au plan de continuiteacute des SI
47
47 Diffusion du plan de continuiteacute des SI
48
48 Restauration et redeacutemarrage des services informatiques
49 411
49 Stockage de sauvegardes hors site
412 1125
410 Revue apregraves redeacutemarrage 413 DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion de la seacutecuriteacute informatique
51 512
52 Plan de seacutecuriteacute informatique Nouveau 53 Gestion des identiteacutes 52 53 59
514 AI66 54 Gestion des comptes utilisateurs
54 55 56 513 104
55 Tests de seacutecuriteacute vigilance et surveillance
56 57 510
56 Deacutefinition des incidents de seacutecuriteacute
511
57 Protection de la technologie de seacutecuriteacute
517
58 Gestion des clefs de chiffrement
518
COBIT 41 COBIT 3e
eacutedition 59 Preacutevention deacutetection et neutralisation des logiciels malveillants
519
510 Seacutecuriteacute des reacuteseaux 520 511 Eacutechange de donneacutees sensibles
515 516 1129 138
DS6 Identifier et imputer les coucircts 61 Deacutefinition des services 61 62 Comptabiliteacute de lrsquoinformatique
63
63 Modegravele de coucircts et facturation
62
64 Maintenance du modegravele de coucircts
63
DS7 Instruire et former les utilisateurs 71 Identification des besoins en savoir et en formation
71
72 Fourniture de formation et drsquoenseignement
72
73 Eacutevaluation de la formation reccedilue
Nouveau
DS8 Geacuterer le service drsquoassistance client et les incidents 81 Servie drsquoassistance client 81 82 Enregistrement des demandes des clients
82 103
83 Escalade des incidents 82 83 105
84 Clocircture des incidents 82 85 Analyse des tendances 81 DS9 Geacuterer la configuration 91 Reacutefeacuterentiel de configuration et configuration de base
91 92 98
92 Identification et maintenance des eacuteleacutements de configuration
97 98
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 185
COBIT41 COBIT 41 COBIT 3e
eacutedition 93 Revue drsquointeacutegriteacute des 93 94 95 configurations DS10 Geacuterer les problegravemes 101 Identification et 85 101 classification des problegravemes 105 102 Suivi et reacutesolution des Nouveau problegravemes 103 Clocircture des problegravemes 84 101 104 Inteacutegration des modifications de la gestion des configurations et de la gestion des problegravemes
Nouveau 101
DS11 Geacuterer les donneacutees 111 Exigences meacutetiers pour la gestion des donneacutees
Nouveau
COBIT 41 COBIT 3e
eacutedition 112 Dispositifs de stockage et de conservation
1112 1119 1120 1126 1130
113 Systegraveme de gestion de la meacutediathegraveque
1121 1122 1125
114 Mise au rebut 1118 1124 115 Sauvegarde et restauration
AI214 1123
116 Exigences seacutecuriteacute pour la gestion des donneacutees
1116 1117 1127
DS 12 Geacuterer lrsquoenvironnement physique 121 Seacutelection du site et agencement
121 122 124
122 Mesures de seacutecuriteacute physique
121 122
COBIT 41 COBIT 3e
eacutedition 123 Accegraves physique 104 123 124 Protection contre les 125 risques lieacutes agrave lenvironnement 125 Gestion des installations 124 126 mateacuterielles 129 DS 13 Geacuterer lrsquoexploitation 131 Proceacutedures et instructions 131 132 drsquoexploitation 135 136 132 Planification des travaux 133 134 133 Surveillance de Nouveau lrsquoinfrastructure informatique 134 Documents sensibles et 521 137 dispositifs de sortie 135 Maintenance preacuteventive AI32 du mateacuteriel
COBIT 41 COBIT 3e
eacutedition SE1 Surveiller et eacutevaluer la performance des SI 11 Approche de la surveillance 10 12 Deacutefinition et collationnement des donneacutees de surveillance
11 13
13 Meacutethode de surveillance Nouveau 14 Eacutevaluation de la performance
12
15 Comptes-rendus destineacutes au CA et agrave la DG
14
16 Actions correctives Nouveau SE2 Surveiller et eacutevaluer le controcircle interne 21 Surveillance du reacutefeacuterentiel de controcircle interne
20
22 Revue geacuteneacuterale 21 23
COBIT 41 COBIT 3e
eacutedition 23 Anomalies deacutetecteacutees par le controcircle
Nouveau
24 Auto-eacutevaluation du controcircle 24 25 Assurance de controcircle interne
Nouveau
26 Controcircle interne des tiers 36 27 Actions correctives Nouveau SE3 Garantir la conformiteacute aux obligations externes 31 Identification des obligations externes de conformiteacute lois regraveglements et contrats
PO81 PO83 PO84 PO85 PO86 DS124
32 Optimisation de la reacuteponse aux obligations externes
PO82
COBIT 41 COBIT 3e
eacutedition 33 Eacutevaluation de la conformiteacute aux obligations
Nouveau
34 Assurance positive de la conformiteacute
Nouveau
35 inteacutegration des rapports Nouveau SE4 Mettre en place une gouvernance des SI 41 Mise en place drsquoun cadre de gouvernance des SI
Nouveau
42 Alignement strateacutegique Nouveau 43 Apport de valeur Nouveau 44 Gestion des ressources Nouveau 45 Gestion des risques Nouveau 46 Mesure de la performance Nouveau 47 Assurance indeacutependante Nouveau
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 186
ANNEXE VI
APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
AN
NE
XE
VI
A
PPR
OC
HE
RE
CH
amp D
EacuteV
ANNEXE VI
ANNEXE VI minus APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
Le deacuteveloppement du contenu du reacutefeacuterentiel COBIT est superviseacute par le Comiteacute de Pilotage COBIT constitueacute de repreacutesentants internationaux drsquoentreprises drsquouniversiteacutes du gouvernement et de professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute Des groupes de travail internationaux ont eacuteteacute mis en place dans le but de reacuteviser dans une perspective dassurance qualiteacute les versions intermeacutediaires du travail fait en recherche et deacuteveloppement Le IT Governance Institute (ITGI) a superviseacute lensemble du projet
Eacuteditions preacuteceacutedentes de COBIT
Deacutefinis dans le Cadre de Reacutefeacuterence COBIT de la premiegravere eacutedition lapplication des standards internationaux des principes directeurs et des meilleures pratiques mises agrave jour par les recherches ont conduit au deacuteveloppement des objectifs de controcircle Le Guide dAudit a ensuite eacuteteacute conccedilu pour veacuterifier si ces objectifs de controcircle eacutetaient correctement mis en œuvre Pour la 1egravere et la 2egraveme eacutedition la recherche a porteacute entre autres sur le collationnement et lanalyse de sources internationales et a eacuteteacute meneacutee agrave bien par des eacutequipes europeacuteennes (Free University of Amsterdam) ameacutericaines (California Polytechnic University) et australiennes (University of New South Wales) Les chercheurs ont eacuteteacute chargeacutes de la compilation de la reacutevision de leacutevaluation et de lincorporation adeacutequate des standards internationaux dans les domaines des techniques des codes de conduite de la qualiteacute des audits et des pratiques et exigences des entreprises pour ce qui concerne le Cadre de Reacutefeacuterence et les objectifs de controcircles individuels Apregraves collationnement et analyse on a demandeacute aux chercheurs dexaminer chaque domaine et chaque processus en deacutetail et soit de suggeacuterer des modifications des objectifs de controcircle soit den proposer de nouveaux pour chaque processus consideacutereacute La synthegravese des reacutesultats a eacuteteacute reacutealiseacutee par le Comiteacute de Pilotage COBIT
Le projet de la 3egraveme eacutedition de COBIT a consisteacute agrave eacutelaborer le Guide de Management et agrave actualiser la 2egraveme eacutedition en fonction de reacutefeacuterences internationales soit reacuteviseacutees soit nouvelles De plus le Cadre de Reacutefeacuterence COBIT a eacuteteacute reacuteviseacute et enrichi pour permettre un meilleur controcircle de gestion pour introduire la gestion de performance et pour deacutevelopper davantage la gouvernance des SI Pour fournir au management une application du Cadre de Reacutefeacuterence et lui permettre ainsi de faire des choix pour la mise en place de controcircles et pour ameacuteliorer ses systegravemes informatiques ainsi que pour mesurer les performances le Guide de Management inclut des Modegraveles de Maturiteacute des Facteurs Cleacutes de Succegraves des Indicateurs Cleacutes dObjectif et des Indicateurs Cleacutes de Performance tous lieacutes aux Objectifs de Controcircle
Le Guide de Management a requis un panel mondial de 40 experts du monde universitaire gouvernemental et des professions de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute informatiques Ces experts se sont reacuteunis en un atelier animeacute par des professionnels du travail de groupe qui utilisaient des principes de deacuteveloppement deacutefinis par le Comiteacute de Pilotage de COBIT Latelier a eacuteteacute activement soutenu par le Gartner Group et par PricewaterhouseCoopers qui ont non seulement fourni le leadership intellectuel mais ont aussi envoyeacute plusieurs de leurs experts en controcircle gestion de la performance et seacutecuriteacute de linformation Les reacutesultats de cet atelier furent les eacutebauches des modegraveles de maturiteacute des facteurs cleacutes de succegraves des indicateurs cleacutes dobjectifs et des indicateurs cleacutes de performances pour chacun des 34 processus de COBIT Lassurance qualiteacute des premiegraveres livraisons fut conduite par le Comiteacute de Pilotage de COBIT et les reacutesultats ont eacuteteacute proposeacutes pour consultation sur le site Internet de lISACA Le Guide de Management a eacuteteacute constitueacute pour offrir un nouvel ensemble doutils orienteacutes management susceptibles de sinteacutegrer de faccedilon coheacuterente au Cadre de Reacutefeacuterence
Lactualisation des Objectifs de Controcircle de la 3e eacutedition de COBIT baseacutee sur de nouvelles reacutefeacuterences et des reacutefeacuterences internationales reacuteviseacutees a eacuteteacute conduite par des membres des Chapitres de lISACA sous la direction de membres du Comiteacute de Pilotage de COBIT Lintention neacutetait pas de reacutealiser une analyse globale de tous les mateacuteriaux ni un nouveau deacuteveloppement des Objectifs de Controcircle mais de fournir un processus dactualisation increacutementiel Les reacutesultats du deacuteveloppement du Guide de Management furent alors utiliseacutes pour reacuteviser le Cadre de Reacutefeacuterence COBIT particuliegraverement les consideacuterations buts et exposeacutes des facteurs favorisants pour les objectifs de controcircle geacuteneacuteraux La version originale en anglais de COBIT 3e eacutedition a eacuteteacute publieacutee en juillet 2000 la version en franccedilais en 2002
Derniegraveres activiteacutes de mise agrave jour du projet
Dans son effort pour faire eacutevoluer en permanence le corpus de connaissances de COBIT le Comiteacute de Pilotage a organiseacute un travail de recherche ces deux derniegraveres anneacutees sur plusieurs aspects de COBIT Ces projets de recherche concernent des composantes des Objectifs de Controcircle et du Guide de Management Ci-dessous la liste de certains domaines speacutecifiquement concerneacutes
Recherche sur les Objectifs de Controcircle
bull Alignement de bas en haut de la gouvernance des SI COBIT bull Alignement de haut en bas de la gouvernance des SI COBIT bull COBIT et les autres standards deacutetailleacutes correspondances entre COBIT ITIL CMM COSO PMBOK ISF Normes de bonnes pratiques pour la
seacutecuriteacute de lrsquoinformation et ISO 27000 pour permettre lrsquoharmonisation du langage des deacutefinitions et des concepts avec ces standards
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 187
COBIT41
Recherche sur le Guide de Management
bull Analyse causale des relations ICO-ICP bull Revue de la qualiteacute des ICOICPFacteurs Cleacutes de Succegraves drsquoapregraves lrsquoanalyse causale des relations ICO-ICP en reacutepartissant les FCS entre
ldquoce que vous avez besoin drsquoobtenir des autresrdquo et ldquoce que vous avez besoin de faire vous-mecircmerdquo bull Analyse deacutetailleacutee des concepts de meacutetriques Deacuteveloppement deacutetailleacute avec des experts pour ameacuteliorer les concepts de meacutetriques en
construisant un scheacutema en cascade de meacutetriques ldquoprocessus-informatique-meacutetiersrdquo et en deacutefinissant des critegraveres de qualiteacute pour les meacutetriques
bull Eacutetablissement de liens entre objectifs meacutetiers objectifs informatiques et processus informatiques Recherche approfondie dans huit professions diffeacuterentes conduisant agrave une perception plus deacutetailleacutee de la faccedilon dont les processus COBIT favorisent la reacutealisation drsquoobjectifs informatiques speacutecifiques et par extension drsquoobjectifs meacutetiers puis geacuteneacuteralisation des reacutesultats
bull Revue du contenu du modegravele de maturiteacute Garantie de coheacuterence et de qualiteacute des niveaux de maturiteacute dans chaque processus et entre les divers processus avec de meilleures deacutefinitions des attributs du modegravele de maturiteacute
Le Comiteacute de Pilotage COBIT a eacuteteacute agrave lrsquoorigine de tous ces projets il les a superviseacutes tandis que la gestion et le suivi au jour le jour eacutetaient pris en charge par une eacutequipe constitueacutee de quelques-uns des principaux responsables de COBIT Lrsquoavancement de la plupart des projets de recherche mentionneacutes a fait lourdement appel aux compeacutetences et au beacuteneacutevolat de membres de lrsquoISACA drsquoutilisateurs de COBIT de conseillers experts et drsquouniversitaires Des groupes de deacuteveloppement locaux ont eacuteteacute constitueacutes agrave Bruxelles Londres Chicago Canberra Cape Town Washington DC et Copenhague ougrave de 5 agrave 10 utilisateurs de COBIT se reacuteunissaient en moyenne deux ou trois fois par an pour travailler sur des recherches particuliegraveres ou agrave des tacircches de reacutevision assigneacutees par les principaux responsables de COBIT De plus certains projets de recherche particuliers ont eacuteteacute assigneacutes agrave des eacutecoles de commercegestion comme lrsquoAntwerp Management School (DAMS) et lrsquoUniversity of Hawaii
Les reacutesultats de ces efforts de recherche et le retour drsquoinformation apporteacute par les utilisateurs de COBIT au fil des ans et des difficulteacutes rencontreacutees agrave lrsquooccasion du deacuteveloppement de nouveaux produits comme les pratiques de controcircle ont eacuteteacute inteacutegreacutes au projet principal de COBIT pour mettre agrave jour et ameacuteliorer les Objectifs de Controcircle le Guide de Management et le Cadre de Reacutefeacuterence COBIT Deux laboratoires de deacuteveloppement majeurs comportant chacun plus de 40 experts de la gouvernance des SI du management et du controcircle (patrons consultants universitaires et auditeurs) du monde entier ont eacuteteacute organiseacutes pour passer en revue et mettre profondeacutement agrave jour les contenus des Objectifs de Controcircle et du Guide de Management Drsquoautres groupes plus petits ont travailleacute pour affiner et finaliser la production importante de ces instances majeures
La version quasi deacutefinitive a eacuteteacute soumise agrave un processus de reacutevision complet par une eacutequipe drsquoenviron 100 personnes Lrsquoabondante moisson de commentaires a eacuteteacute analyseacutee au cours drsquoun dernier atelier de reacutevision du Comiteacute de Pilotage COBIT
Les reacutesultats de ces ateliers ont eacuteteacute mis en forme par le Comiteacute de Pilotage COBIT par les principaux responsables de COBIT et par lrsquoITGI pour reacutediger les nouveaux documents COBIT qursquoon trouve dans ce volume Lrsquoexistence de COBIT Onlinereg teacutemoigne du fait que la technologie existe deacutesormais pour tenir plus facilement agrave jour le contenu essentiel de COBIT et cette ressource sera utiliseacutee comme reacutefeacuterentiel maicirctre du contenu de COBIT Il sera tenu agrave jour par les informations apporteacutees par la base utilisateurs ainsi que par des revues du contenu de certains domaines speacutecifiques Des publications peacuteriodiques (documents papier et eacutelectroniques) permettront de se reacutefeacuterer hors ligne au contenu de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 188
Annexe VII
GLOSSAIRE
AN
NE
XE
VII
G
LO
SSA
IRE
ANNEXE VII ANNEXE VII minus GLOSSAIRE
Les termes anglais figurent entre parenthegraveses et en italique agrave la fin de chaque rubrique
Activiteacute ndash Principales actions entreprises pour activer le processus COBIT (Activity)
Analyse causale ndash Processus de diagnostic permettant de remonter agrave lrsquoorigine drsquoun eacuteveacutenement et qui peut ecirctre utiliseacute pour apprendre des conseacutequences typiquement des erreurs et des problegravemes (Root cause analysis)
Approbateur ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne ou au groupe qui a lrsquoautoriteacute pour approuver ou accepter la reacutealisation drsquoune activiteacute (Accountable)
Architecture drsquoentreprise ndash Description de lrsquoarchitecture fonctionnelle des composants fondamentaux des systegravemes meacutetiers ou un des eacuteleacutements de ces systegravemes (par ex technologie) des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture)
Architecture informatique de lrsquoentreprise ndash Description de lrsquoarchitecture technique des composants fondamentaux des systegravemes meacutetiers des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture for IT)
Architecture de lrsquoinformation ndash Une des composantes de lrsquoarchitecture des SI (avec lrsquoarchitecture fonctionnelle et lrsquoarchitecture technique) Voir Architecture des SI (Information architecture)
Architecture des SI ndash Cadre de reacutefeacuterence inteacutegreacute pour faire eacutevoluer ou tenir agrave jour les technologies existantes et en acqueacuterir de nouvelles pour atteindre les objectifs strateacutegiques et les objectifs meacutetiers (IT architecture)
Authentification ndash Action de veacuterifier lrsquoidentiteacute drsquoun utilisateur et son droit agrave acceacuteder agrave lrsquoinformation numeacuteriseacutee Elle a pour but de proteacuteger les systegravemes contre des tentatives drsquointrusion frauduleuses (Authentication)
Bonnes pratiques ndash Activiteacute ou processus qui a fait ses preuves et est appliqueacute avec succegraves par de nombreuses entreprises (Best practice)
Cadre (reacutefeacuterentiel) de controcircle ndash Ensemble de controcircles fondamentaux destineacute agrave aider les proprieacutetaires de processus meacutetiers agrave srsquoacquiter de leur responsabiliteacute de preacutevenir les pertes financiegraveres ou drsquoinformation pour lrsquoentreprise (Control framework)
Capaciteacute ndash Le fait de disposer des caracteacuteristiques neacutecessaires pour fonctionner etou accomplir les tacircches preacutevues (Capability)
CE ndash Contrat drsquoExploitation Accord interne sur la fourniture de services relatif agrave la fourniture de services par lrsquoinformatique (OLA Operational Level Agreement)
Charte drsquoAudit ndash Document deacutefinissant le but lrsquoautoriteacute et la responsabiliteacute de lrsquoactiviteacute drsquoaudit interne approuveacutee par le CA (Audit charter)
Client ndash Personne ou entiteacute interne ou externe destinataire de services informatiques de lrsquoentreprise (Customer)
Comiteacute informatique strateacutegique ndash Comiteacute constitueacute au niveau du CA pour faire en sorte que les administrateurs srsquoimpliquent dans les questionsdeacutecisions majeures qui concernent lrsquoinformatique Le comiteacute est principalement responsable de la gestion des portefeuilles drsquoinvestissements de services et drsquoautres ressources informatiques Le comiteacute est le proprieacutetaire de ces portefeuilles (IT strategy committee)
Consulteacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes dont lrsquoavis sur une activiteacute est rechercheacute (communication montante et descendante) (Consulted)
Continuiteacute ndash Preacutevention reacuteduction des interruptions et restauration du service On peut aussi utiliser dans ce contexte les expressions ldquoplan de reprise drsquoactiviteacuterdquo ldquoplan de restauration apregraves sinistrerdquo et ldquoplan de secoursrdquo elles srsquointeacuteressent toutes agrave la restauration de la continuiteacute (Continuity)
Controcircle drsquoaccegraves ndash Processus qui limite et controcircle lrsquoaccegraves aux ressources drsquoun systegraveme informatique controcircle logique ou physique conccedilu pour proteacuteger contre un accegraves ou une utilisation non autoriseacutes (Access control)
Controcircle applicatif ndash Ensemble de controcircles inteacutegreacutes agrave des solutions automatiseacutees (applications) (Application control)
Controcircle de deacutetection ndash Controcircle utiliseacute pour identifier des eacuteveacutenements (indeacutesirables ou pas) des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils ont un impact mateacuteriel sur un processus ou sur un produit final (Detective control)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 189
COBIT41 Controcircles geacuteneacuteraux informatiques ndash Controcircles autres que les controcircles applicatifs relatifs agrave lrsquoenvironnement informatique de deacuteveloppement de maintenance et drsquoexploitation des applications utiliseacute par toutes les applications Les objectifs des controcircles geacuteneacuteraux sont de srsquoassurer drsquoun deacuteveloppement et drsquoune impleacutementation corrects des applications de lrsquointeacutegriteacute des programmes des donneacutees et des traitements Comme les controcircles applicatifs les controcircles geacuteneacuteraux sont soit manuels soit programmeacutes Ils integravegrent agrave titre drsquoexemples lrsquoeacutelaboration et la mise en oeuvre de la strateacutegie informatique de la politique de seacutecuriteacute des SI de lrsquoorganisation des eacutequipes informatiques pour assurer la seacuteparation des tacircches du plan de secours et de reprise drsquoactiviteacute (General computer control)
Controcircle interne ndash Politiques proceacutedures pratiques et structures organisationnelles conccedilues pour fournir une assurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes (Internal control)
Controcircle preacuteventif ndash Controcircle interne utiliseacute pour preacutevenir des eacuteveacutenements des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils peuvent avoir un impact mateacuteriel neacutegatif sur un processus ou sur un produit final (Preventive control)
Controcircle programmeacute ndash Ensemble de controcircles inteacutegreacutes aux solutions automatiseacutees (applications) (Automated application control)
COSO ndash Committee of Sponsoring Organisations of the Treadway Commission Son rapport de 1992 intituleacute Reacutefeacuterentiel inteacutegreacute de controcircle interne est une norme de gouvernance drsquoentreprise reconnue internationalement Voir wwwcosoorg
Coucirct total de possession ndash En informatique comprend le coucirct initial des serveurs et logiciels les mises agrave jour du materiel et du logiciel la maintenance le support technique la formation certaines activiteacutes assures par les utilisateurs (TCO - Total Cost of Ownership)
CS - Contrat ou convention de services ndash Accord de preacutefeacuterence documenteacute entre un fournisseur de services et le clientutilisateur qui deacutefinit les niveaux convenus pour un service et la faccedilon dont ils sont mesureacutes (SLA Service level agreement)
Cycle de vie de deacuteveloppement des systegravemes ndash Phases successives du deacuteveloppement ou de lrsquoacquisition drsquoun systegraveme logiciel Typiquement comprend eacutetude de faisabiliteacute eacutetude des besoins deacutefinition des besoins conception deacutetailleacutee programmation tests mise en place et revue apregraves mise en œuvre Ne comprend ni la deacutelivrance du service ni les beacuteneacutefices attendus de la reacutealisation des activiteacutes (SDLC Systems development life cycle)
DF ndash Directeur financier le premier responsable de la gestion des risques financiers drsquoune entreprise (CFO)
DG ndash Directeur geacuteneacuteral le rang le plus eacuteleveacute dans une entreprise (CEO)
Dictionnaire de donneacutees ndash Base de donneacutees renfermant nom type valeurs min et max source et autorisation drsquoaccegraves pour chaque donneacutee de la base Elle indique eacutegalement quel programme applicatif utilise cette donneacutee de faccedilon agrave ce que lorsqursquoon envisage de manipuler une donneacutee on puisse geacuteneacuterer une liste des programmes concerneacutes Le dictionnaire de donneacutees est soit un systegraveme drsquoinformation autonome utiliseacute agrave des fins de gestion et de documentation soit un gestionnaire drsquoexploitation de base de donneacutees (Data dictionary)
Domaine ndash Pour COBIT regroupement drsquoobjectifs de controcircle en eacutetapes logiques dans le cycle de vie des actifs de lrsquoinformatique (Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Evaluer (Domain)
DSI ou DIndash Directeur des Systegravemes drsquoInformation ou Directeur Informatique le responsable de lrsquoinformatique drsquoune entreprise Le DSI assure parfois le rocircle de Responsable de la Connaissance (Chief Knowledge Officer - CKO) qui distribue la connaissance et pas seulement lrsquoinformation Voir eacutegalement Directeur des Technologies (CIO)
DTndash Directeur des Technologies a en charge les aspects techniques de lrsquoentreprise Le titre de DT est souvent synonyme de DSI (CTO)
Eacuteleacutement de configuration ndash Composant drsquoune infrastructure ou un eacuteleacutement comme une demande de modification associeacute agrave une infrastructure qui est (ou doit ecirctre) sous le controcircle de la gestion de la configuration Ces eacuteleacutements peuvent diffeacuterer largement en complexiteacute taille et type allant drsquoun systegraveme complet (mateacuteriel logiciel et documentation) agrave un simple module ou agrave un composant mateacuteriel mineur (Configuration item)
Entreprise ndash Groupe de personnes travaillant ensemble dans un but commun typiquement dans le contexte drsquoune organisation drsquoune socieacuteteacute drsquoune agence gouvernementale drsquoune association ou drsquoune fondation (Enterprise)
FCS ndash Facteur Cleacute de Succegraves correspond pour le management aux aspects ou aux actions les plus importantes pour reacuteussir agrave mettre sous controcircle ses processus informatiques (CSF)
Fournisseur de services ndash Entiteacute externe qui fournit des services agrave lrsquoentreprise (Service provider)
Gestion de la configuration ndash Controcircle des modifications apporteacutees agrave un ensemble drsquoeacuteleacutements de configuration au cours du cycle de vie drsquoun systegraveme (Configuration management)
Gestion de la performance ndash En informatique capaciteacute agrave geacuterer tout type de mesure y compris celles qui concernent les employeacutes les eacutequipes les processus les opeacuterations et les finances Ce terme eacutevoque des controcircles en boucle et un suivi reacutegulier des mesures (Performance management)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 190
ANNEXE VII Gouvernance de lrsquoentreprise ndash Ensemble des responsabiliteacutes et pratiques assureacutees par le conseil drsquoadministration et la direction geacuteneacuterale dont le but est de fixer la strateacutegie srsquoassurer que les objectifs sont atteints que les risques sont geacutereacutes correctement et de veacuterifier que les ressources de lrsquoentreprise sont utiliseacutees agrave bon escient (Enterprise governance)
Guide ndash Description drsquoune maniegravere particuliegravere drsquoaccomplir quelque chose moins rigide qursquoune proceacutedure (Guideline)
ICO ndash Indicateur Cleacute drsquoObjectif indicateurs qui informent le management a posteriori si un processus informatique a reacutepondu aux exigences metier Il srsquoexprime habituellement en termes de critegraveres lieacutes agrave lrsquoinformation (KGI -Key Goal Indicator)
ICP ndash Indicateur Cleacute de Performance indicateurs qui deacuteterminent agrave quel point la performance du processus infomatique lui donne des chances drsquoatteindre lrsquoobjectif Ce sont des indicateurs essentiels pour savoir si un objectif a des chances drsquoecirctre atteint ou non et de bons indicateurs des capaciteacutes des pratiques et des compeacutetences Ils mesurent les objectifs de lrsquoactiviteacute agrave savoir les actions que le proprieacutetaire du processus doit entreprendre pour que la performance du processus soit bonne (KPI - Key Performance Indicator)
Incident informatique ndash Tout eacuteveacutenement qui ne fait pas partie du fonctionnement normal drsquoun service et qui cause ou peut causer une interruption ou une reacuteduction de la qualiteacute de ce service (IT Incident deacutefinition conforme agrave lrsquoIT Infrastructure Library ITIL)
Inducteurs de performance ndash Mesures consideacutereacutees comme les inducteurs des indicateurs a posteriori Ils peuvent ecirctre mesureacutes avant la manifestation du reacutesultat et correspondent agrave des indicateurs a priori Il y a une relation preacutesupposeacutee entre les deux qui suggegravere qursquoune meilleure performance drsquoun indicateur a priori induit une meilleure performance de lrsquoindicateur a posteriori On les deacutesigne aussi ICP (Iindicateur Cleacute de Performance) et on les utilise pour mesurer si les objectifs ont des chances drsquoecirctre atteints (Performance drivers)
Informeacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes qui sont tenues au courant du progregraves drsquoune activiteacute (communication descendante) (Informed)
ISO 17799 ndash Norme internationale de deacutefinition des controcircles de confidentialiteacute inteacutegriteacute et disponibiliteacute de lrsquoinformation
ISO 27001 ndash Management de la seacutecuriteacute de lrsquoinformation - Guide drsquoutilisation remplace la norme BS7799-2 Fournit les bases de lrsquoaudit externe de certification et est harmoniseacutee avec les autres normes de gestion telles que ISOIEC 9001 2000 et ISO 14001
ISO 9001 2000 ndash Code de bonnes pratiques pour la gestion de la qualiteacute ISO 90012000 speacutecifie les exigences drsquoun systegraveme de gestion de la qualiteacute pour toute organisation qui a besoin de deacutemontrer sa capaciteacute agrave fournir reacuteguliegraverement des produits ou des services conformes agrave des objectifs particulier de qualiteacute
ITIL ndash IT Infrastructure Library de lrsquoUK Office of Government Commerce (OGC) Ensemble de guides de management et de principes de fonctionnement des services informatiques
Maturiteacute ndash Au niveau meacutetier indique le degreacute de fiabiliteacute ou de deacutependance drsquoun processus auquel le meacutetier peut se fier pour atteindre les objectifs souhaiteacutes (Maturity)
Mesure ou indicateur ndash Norme drsquoeacutevaluation et de communication drsquoun reacutesultat obtenu par rapport agrave reacutesultat attendu Les mesures ou indicateurs sont en regravegle geacuteneacuterale quantitatives et srsquoexpriment en nombre devise (uniteacute moneacutetaire) pourcentage etc mais peuvent aussi srsquoexprimer de faccedilon qualitative comme par exemple un niveau de satisfaction client Rendre compte et surveiller les mesures ou indicateurs aide lrsquoentreprise agrave jauger la mise en œuvre reacuteelle de sa strateacutegie (Measure)
Mesures de reacutesultats ndash Mesures des conseacutequences drsquoactions prises souvent deacutesigneacutees par indicateurs a posteriori Elles srsquointeacuteressent souvent aux reacutesultats obtenus agrave lrsquoissue drsquoune peacuteriode de temps deacutetermineacute et caracteacuterise une performance historique On les deacutesigne eacutegalement ICO (Indicateur Cleacute drsquoObjectif) et on les utilise pour indiquer si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees qursquoapregraves le reacutesultat et pour cette raison sont appeleacutees indicateurs a posteriori (Outcome measures)
Meacutetrique ndash Instrument de mesure speacutecifique drsquoeacutevaluation quantitative et peacuteriodique de la performance Une meacutetrique complegravete preacutecise lrsquouniteacute utiliseacutee la freacutequence la cible agrave atteindre la proceacutedure de mesure et la proceacutedure drsquointerpreacutetation du reacutesultat (Metric)
Modegravele de Maturiteacute de la Capaciteacute (MMC) ndash Le Modegravele de maturiteacute de la capaciteacute des logiciels du Software Engineering Institute (SEI) est un modegravele utiliseacute par de nombreuses organisations pour identifier les meilleures pratiques utiles pour eacutevaluer et ameacuteliorer la maturiteacute de leurs processus de deacuteveloppement de logiciels (CMM)
Objectif de controcircle ndash Exposeacute du reacutesultat deacutesireacute ou du but agrave atteindre par la mise en œuvre de proceacutedures de controcircle pour un processus donneacute (Control Objective)
Organisation ndash Faccedilon dont une entreprise est structureacutee (Organisation)
Performance ndash En informatique mise en place effective ou exeacutecution drsquoun processus (Performance)
Plan drsquoinfrastructure technologique ndash Plan pour les technologies les ressources humaines et les installations qui permet le traitement et lrsquoutilisation des applications actuelles et agrave venir (Technology infrastructure plan)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 191
COBIT41 Plan strateacutegique informatique ndash Plan agrave long terme c-agrave-d 3 agrave 5 ans dans lequel les directions meacutetiers et informatique coopegraverent pour deacutecrire comment les ressources informatique contribueront aux objectifs strateacutegiques de lrsquoentreprise (IT strategic plan)
Plan tactique informatique ndash Plan agrave moyen terme c-agrave-d 6 agrave 18 mois qui convertit les orientations du plan strateacutegique informatique en initiatives requises et en exigences en ressources et qui preacutecise comment les ressources et les beacuteneacutefices seront surveilleacutes et geacutereacutes (IT tactical plan)
PMBOK ndash Project Management Body of Knowledge standard de gestion de projets deacuteveloppeacute par le Project Management Institute (PMI)
PMO ndash Chef du bureau projet responsable de la mise en œuvre de dispositions deacutefinies pour aider agrave la gestion des projets et faire progresser la gestion de projet (Project management officer)
Politique ndash En geacuteneacuteral document qui deacutecrit un principe geacuteneacuteral ou des actions agrave entreprendre sur lesquelles on srsquoest accordeacute Le but drsquoune politique est drsquoinfluencer et de guider la prise de deacutecision actuelle et future pour qursquoelle soit conforme agrave la philosophie aux objectifs et aux plans strateacutegiques eacutetablis par les eacutequipes deacutecisionnaires de lrsquoentreprise Outre leur contenu les politiques doivent exposer les conseacutequences drsquoactions qui ne srsquoy conforment pas les moyens pour traites les anomalies et la faccedilon dont la conformiteacute sera veacuterifieacutee et mesureacutee (Policy)
Portefeuille ndash Groupe de programmes de projets de services ou drsquoactifs seacutelectionneacutes geacutereacutes et surveilleacutes pour optimiser le beacuteneacutefice pour les meacutetiers (Portfolio)
Pratique de controcircle ndash Meacutecanisme de controcircle cleacute qui aide agrave atteindre les objectifs de controcircle gracircce agrave lrsquoutilisation responsable des ressources agrave la bonne gestion des risques et agrave lrsquoalignement des SI sur les meacutetiers (Control practice)
Pratiques cleacutes de management ndash Pratiques de gestion neacutecessaires agrave la bonne exeacutecution des processus des meacutetiers (Key management practices)
PRINCE2 ndashProjects in a Controlled Environment deacuteveloppeacute par lrsquoOGC Meacutethode de gestion de projets qui srsquointeacuteresse agrave la gestion au controcircle et agrave lrsquoorganisation drsquoun projet
Problegraveme ndash En informatique cause agrave la base drsquoun ou plusieurs incidents (Problem)
Proceacutedure ndash Document deacutecrivant et preacutecisant les eacutetapes agrave suivre pour reacutealiser une activiteacute Les proceacutedures font partie des processus (Procedure)
Processus ndash En geacuteneacuteral ensemble de proceacutedures influenceacutees par les politiques et par les standards de lrsquoentreprise il prend ses donneacutees (entreacutees) agrave diffeacuterentes sources y compris agrave drsquoautres processus il traite les entreacutees et produit pour ses clients des sorties qui peuvent ecirctre drsquoautres processus Les processus ont de claires raisons ldquomeacutetiersrdquo drsquoexister ils sont doteacutes de proprieacutetaires responsables en dernier ressort de rocircles et de responsabiliteacutes pour leur exeacutecution et de moyens pour mesurer leur performance (Process)
Processus meacutetier ndash Voir processus (Business process)
Programme ndash Regroupement structureacute de projets interdeacutependants qui comporte lrsquoensemble des activiteacutes requises (agrave la fois neacutecessaires et suffisantes) pour atteindre un reacutesultat meacutetier clairement speacutecifieacute et qui impliquent les meacutetiers certains processus certaines personnes et certains moyens informatiques et organisationnels (Programme)
Programme applicatif application ndash Programme qui traite les donneacutees meacutetiers au travers drsquoactiviteacutes telles que la saisie ou lrsquoentreacutee de donneacutees la mise agrave jour ou la requecircte Il se distingue des programmes systegraveme comme le systegraveme drsquoexploitation ou le programme de controcircle du reacuteseau et des programmes utilitaires comme copier ou trier (Application program)
Projet ndash Ensemble drsquoactiviteacutes structureacutees axeacutees sur la fourniture agrave lrsquoentreprise drsquoune capaciteacute deacutefinie (neacutecessaire mais pas suffisante pour atteindre un reacutesultat meacutetier donneacute) et doteacutees drsquoun planning et drsquoun budget convenus (Project)
Proprieacutetaires de donneacutees ndash Personnes en geacuteneacuteral responsables ou chefs de services qui ont la responsabiliteacute de lrsquointeacutegriteacute de lrsquoexactitude et de lrsquoutilisation des donneacutees informatiseacutees (Data owners)
SGQ ndash Systegraveme de Gestion de la Qualiteacute Systegraveme qui preacutecise les politiques et les proceacutedures neacutecessaires pour ameacuteliorer et controcircler les divers processus qui conduiront finalement agrave une ameacutelioration de la performance des meacutetiers (Quality Management System)
Reacutefeacuterentiel ndash Voir Cadre (reacutefeacuterentiel) de controcircle (Framework)
Reacutesilience ou Reacutesistance aux pannes ndash Dans lrsquoentreprise capaciteacute drsquoun systegraveme ou drsquoun reacuteseau agrave se reacutetablir automatiquement apregraves toute perturbation en geacuteneacuteral avec le minimum drsquoeffets identifiables (Resilience)
Responsable ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne qui doit srsquoassurer que les activiteacutes sont reacutealiseacutees correctement (Responsible)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 192
ANNEXE VII Risque ndash Dans lrsquoentreprise potentialiteacute drsquoune menace donneacutee agrave exploiter les points faibles drsquoun actif ou drsquoun groupe drsquoactifs pour provoquer des pertes etou des dommages agrave ces actifs Il se mesure en geacuteneacuteral par une combinaison de conseacutequences et de probabiliteacutes drsquooccurrence (Risk)
Scheacutema de classification des donneacutees ndash Scheacutema geacuteneacuteral de classement des donneacutees de lrsquoentreprise selon des facteurs comme la criticiteacute la sensibiliteacute et la proprieacuteteacute (Data classification scheme)
Seacuteparation des tacircches ndash Controcircle interne de base qui preacutevient et deacutetecte les erreurs et les irreacutegulariteacutes de seacuteparation des individus en attribuant agrave des personnes diffeacuterentes la responsabiliteacute drsquoinitier et drsquoenregistrer les traitements et celle de veiller sur les actifs Communeacutement pratiqueacutee dans les grandes DSI afin que personne ne puisse introduire un code malveillant ou frauduleux sans deacutetection (Segregationseparation of duties)
Service drsquoassistance (client) ndash Le seul point de contact entre lrsquoinformatique et les utilisateurs de services informatiques (Service desk)
Standard ou Norme ndash Pratique meacutetier ou produit informatique qui constitue une pratique accepteacutee confirmeacutee par lrsquoentreprise ou par lrsquoeacutequipe de direction des SI Les standards ou normes peuvent ecirctre mis en place pour soutenir une politique ou un processus ou comme reacuteponse agrave un besoin opeacuterationnel Comme les politiques les standards ou normes doivent comporter une description de la maniegravere dont on deacutetectera la non conformiteacute (Standard)
SI ou Informatique ndash Systegraveme drsquoinformation Informatique voire Technologies de lrsquoinformation Integravegre le mateacuteriel le logiciel les reacuteseaux et toute les autres installations neacutecessaires agrave lrsquoentreacutee au stockage au traitement agrave la transmission et agrave la sortie des donneacutees sous toutes leurs formes (IT)
Tableau de bord ndash Outil qui permet de repreacutesenter les attentes drsquoune entreprise agrave chaque niveau et de veacuterifier en permanence la situation de la performance par rapport agrave la cible viseacutee (Dashboard)
Tableau de bord des investissements informatiques ndash Outil de mesure des attentes de lrsquoentreprise et de surveillance continue des reacutesultats par rapport aux objectifs des deacutepenses et des retours sur investissements des projets agrave composantes informatiques en termes de valeur pour les meacutetiers (IT investment dashboard)
Tableau de bord eacutequilibreacute ndash Meacutethode pour mesurer les actions drsquoune entreprise en rapport avec sa vision et ses strateacutegies en donnant au management un aperccedilu rapide et complet de la performance de son activiteacute professionnelle Crsquoest un outil de gestion qui cherche agrave mesurer lrsquoactiviteacute de lrsquoentreprise selon les perspectives suivantes financiegravere client meacutetier et acquisition de connaissances (Robert S Kaplan and David Norton 1992) (Balanced scorecard)
Tableau RACI ndash identifie qui est Responsable Approuve est Consulteacute etou Informeacute au sein de lrsquoentreprise (RACI chart)
Tests comparatifs ndash Processus utiliseacute en management particuliegraverement en management strateacutegique au cours duquel les entreprises eacutevaluent divers aspects de leurs processus meacutetiers par rapport aux meilleures pratiques constateacutees en geacuteneacuteral dans leur propre branche (Benchmarking)
Utilisateur informatique ndash Personne qui utilise lrsquoinformatique pour reacutealiser ou atteindre un objectif meacutetier (IT User)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 193
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 194
ANNEXE VIII COBIT ET PRODUITS DE LA FAMILLE COBIT
AN
NE
XE
VII
I
PRO
DU
ITS
CO
BIT
ANNEXE VIII
ANNEXE VIII minus COBIT ET PRODUITS DE LA FAMILLE COBIT Le reacutefeacuterentiel COBIT dans sa version 4 et suivantes comprend bull Le cadre de reacutefeacuterence - explique comment COBIT structure les objectifs de la gouvernance des SI les objectifs de controcircle et les bonnes pratiques
par domaine informatique et par processus et les relie aux exigences meacutetiers bull La description des processus - comprend 34 processus informatiques couvrant toutes les domaines de responsabiliteacute de lrsquoinformatique de A agrave Z bull Les objectifs de controcircle - deacutecrivent sous forme de bonnes pratiques geacuteneacuteriques les objectifs de gestion des processus informatiques bull Le guide de management - propose des outils pour aider agrave reacutepartir les responsabiliteacutes mesurer la performance tester par comparaison la capaciteacute et
agrave trouver des reacuteponses aux insuffisances dans ce domaine bull Les modegraveles de maturiteacute - apportent diffeacuterents profils de processus par la description de diffeacuterents eacutetats possibles actuels et futurs
Depuis sa creacuteation le contenu de base de COBIT nrsquoa cesseacute drsquoeacutevoluer au fil des ans et le nombre de produits deacuteriveacutes de COBIT nrsquoa cesseacute drsquoaugmenter Les publications deacuteriveacutees de COBIT sont aujourdrsquohui les suivantes bull Conseils aux dirigeants dentreprises pour la gouvernance des SI 2e eacutedition - ce document aide les dirigeants agrave comprendre limportance de la
gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre bull COBIT Online - permet de personnaliser COBIT afin de lrsquoadapter agrave son entreprise drsquoenregistrer et de modifier les versions agrave volonteacute Les services
en ligne comprennent la reacutealisation drsquoeacutetudes en temps reacuteel une foire aux questions des tests comparatifs et un forum permettant de poser des questions et de partager des expeacuteriences
bull Pratiques de controcircle COBIT Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition shyrecommandations pour limiter les risques et accroicirctre la valeur gracircce agrave la mise en oeuvre drsquoobjectifs de controcircle et indications pour les mettre en place Il est vivement recommandeacute drsquoutiliser les Pratiques de controcircle COBIT avec le Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition
bull Guide dAssurance informatique Utilisation de COBIT - fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes activiteacutes dassurance ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle de COBIT Il remplace le Guide drsquoAudit pour lrsquoaudit ou lrsquoauto-eacutevaluation des objectifs de controcircle de de COBIT 41
bull Objectifs de controcircle informatiques pour Sarbanes-Oxley rocircle de lrsquoinformatique dans la conception et la mise en place du controcircle interne des rapports financiers 2egraveme Eacutedition - fournit un guide pour assurer la conformiteacute agrave la loi de lrsquoenvironnement informatique en srsquoappuyant sur les objectifs de controcircle COBIT
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition - fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qursquoun ensemble drsquooutils associeacutes
bull COBIT Quickstart 2egraveme Eacutedition - fournit une base de controcircle pour les PMI-PME et peut servir drsquoeacutetape preacuteliminaire pour une grande entreprise bull COBIT Base pour la seacutecuriteacute 2egraveme Eacutedition - se focalise sur les eacutetapes fondamentales de mise en œuvre de la seacutecuriteacute des SI de lrsquoentreprise bull COBIT Mappings actuellement disponibles agrave lrsquoadresse suivante wwwisacaorgdownloads
minus Aligning COBIT ITIL and ISO 17799 for Business Benefit minus COBIT Mapping Overview of International IT Guidance 2nd Edition minus COBIT Mapping Mapping de ISOIEC 177992000 avec COBIT 2nd Edition minus COBIT Mapping Mapping de PMBOK avec COBIT 40 minus COBIT Mapping Mapping de SEIrsquos CMM for Software avec COBIT 40 minus COBIT Mapping Mapping de ITIL avec COBIT 40 minus COBIT Mapping Mapping de PRINCE2 avec COBIT 40
bull Gouvernance de la seacutecuriteacute des SI recommandations aux dirigeants drsquoentreprise 2egraveme Eacutedition - preacutesente la seacutecuriteacute des SI en termes meacutetiers et renferme des outils et des techniques pour aider agrave deacutecouvrir les problegravemes de seacutecuriteacute
VAL IT est le terme geacuteneacuteral retenu pour preacutesenter les publications ainsi que les produits et activiteacutes agrave venir se reacutefeacuterant au reacutefeacuterentiel VAL IT
Les publications actuelles de la famille VAL IT sont bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - le cadre de reacutefeacuterence VAL IT explique comment une entreprise peut
tirer la meilleure valeur possible de ses investissements informatiques Il est baseacute sur COBIT et est structureacute en minus Trois processus - gouvernance de la valeur gestion de portefeuille et gestion de lrsquoinvestissement minus Des pratiques cleacutes de management des SI - les principes de gestion fondamentaux qui facilitent lrsquoatteinte drsquoun but ou du reacutesultat souhaiteacute drsquoune
activiteacute particuliegravere Ils appuient les processus de VAL IT et jouent agrave peu pregraves le mecircme rocircle que les objectifs de controcircle de COBIT bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoanalyse de rentabilisation se focalise sur un eacuteleacutement cleacute du processus
de gestion de lrsquoinvestissement bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoeacutetude de cas ING deacutecrit comment une grande entreprise du secteur
financier gegravere un portefeuille drsquoinvestissements informatiques dans le contexte VAL IT
Visiter les sites wwwisacaorgcobit ou wwwisacaorgvalit pour avoir connaissance des informations les plus agrave jour et les plus complegravetes sur COBIT et VAL IT les produits deacuteriveacutes les eacutetudes de cas les programmes de formation les lettres drsquoinformation et toute autre information particuliegravere sur ces reacutefeacuterentiels En France consulter le site de lrsquoAFAI wwwafaifr
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 195
COBIT41
Page volontairement laisseacutee blanche
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 196
COBIT41 LIT Governance Institute LIT Governance Institute (ITGI wwwitgiorg) a eacuteteacute creacuteeacute en 1998 pour faire progresser la reacuteflexion et les standards internationaux qui se rapportent agrave la gestion et au controcircle des systegravemes drsquoinformation (SI) dans les entreprises Une gouvernance efficace des SI doit permettre de srsquoassurer que celles-ci vont dans le sens des objectifs de lentreprise qursquoelles permettent drsquooptimiser les investissements informatiques et de geacuterer comme il convient les risques et les opportuniteacutes lieacutes agrave leur existence LrsquoIT Governance Institute met agrave la disposition des dirigeants drsquoentreprises et des conseils drsquoadministration des travaux de recherche originaux des ressources en ligne et des eacutetudes de cas pour les aider agrave faire face agrave leurs responsabiliteacutes dans le domaine de la gouvernance des SI
Avertissement LrsquoIT Governance Institute (le laquo Proprieacutetaire raquo) a conccedilu et reacutedigeacute ce document intituleacute COBIT reg V 41 (lrsquo laquo Œuvre raquo) essentiellement comme une ressource peacutedagogique pour les directeurs de lrsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle Le Proprieacutetaire ne garantit pas que lrsquoutilisation drsquoune partie quelconque de lrsquoŒuvre produira de faccedilon certaine un reacutesultat positif On ne doit pas consideacuterer agrave priori que lrsquoŒuvre contient toutes les informations les proceacutedures et les tests neacutecessaires ni qursquoelle exclut le recours agrave drsquoautres informations proceacutedures ou tests qui visent raisonnablement agrave produire des reacutesultats semblables Pour deacuteterminer si une information une proceacutedure ou un test speacutecifique est approprieacute les directeurs des systegravemes drsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle doivent appliquer leur propre jugement aux circonstances particuliegraveres qui se preacutesentent dans leurs environnements informationnels et technologiques speacutecifiques
Droits de proprieacuteteacute Diffusion et Copyright copy 2007 IT Governance Institute Tous droits reacuteserveacutes Il est interdit dutiliser copier reproduire modifier diffuser preacutesenter archiver ou transmettre par quelque moyen que ce soit (eacutelectronique meacutecanique photocopie enregistrement ou autre) une partie quelconque de cette publication sans lautorisation eacutecrite preacutealable de lrsquoIT Governance Institute La reproduction de passages de cette publication pour un usage exclusivement interne et non commercial ou dans un but peacutedagogique est autoriseacutee sous reacuteserve que la source soit mentionneacutee avec preacutecision Aucun autre droit et aucune autre autorisation ne sont accordeacutes pour cette œuvre
IT Governance Institute AFAI 3701 Algonquin Road Suite 1010 Association Franccedilaise de lAudit et du Conseil Informatiques Rolling Meadows IL 60008 Eacutetats-Unis 171 bis avenue Charles de Gaulle Teacutel +18475907491 92200 NEUILLY sur SEINE (France) Fax +18472531443 Teacutel 33 (0)1 40 88 10 44 E-mailinfoitgiorg E-Mail afaiafaifr Sites Internet wwwitgiorg Site Internet wwwafaifr ISBN 1-933284-72-2 ISBN 2-915007-09-8
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
Translated into French language from the English language version of COBIT reg Control Objectives for Information and related technology 41th Edition by AFAI the French Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information Systems Audit and Control Foundation AFAI assumes sole responsibility for the accuracy and faithfulness of the translation
Traduction franccedilaise de COBIT reg Objectifs de controcircle de lInformation et des technologies associeacutees Eacutedition 41 reacutealiseacutee par lrsquoAFAI chapitre franccedilais de lrsquoInformation Systems Audit and Control Association (ISACA) avec lrsquoautorisation de lrsquoIT Governance Institute et de la Information Systems Audit and Control Foundation LrsquoAFAI est seule responsable de lrsquoexactitude et de la fideacuteliteacute de la traduction
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA All rights reserved No part of this publication may be reproduced in any form without the written permission of the IT Governance Institute
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite de lrsquoIT Governance Institute
Copyright 2000 2002 2006 2008 AFAI Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite du Conseil drsquoAdministration de lrsquoAFAI
REMERCIEMENTS
Lrsquoeacutedition franccedilaise de COBIT 41 est lœuvre de la Commission COBIT de lAFAI preacutesideacutee par Jean-Louis BLEICHER Administrateur de lrsquoAFAI Banque Feacutedeacuterale des Banques Populaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
REMERCIEMENTS
LrsquoIT Governance Institute tient agrave remercier Les experts les reacutealisateurs et les reacuteviseurs Mark Adler CISA CISM CIA CISSP Allstate Ins Co USA Peter Andrews CISA CITP MCMI PJA Consulting UK Georges Ataya CISA CISM CISSP MSCS PBA Solvay Business School Belgium Gary Austin CISA CIA CISSP CGFM KPMG LLP USA Gary S Baker CA Deloitte amp Touche Canada David H Barnett CISM CISSP Applera Corp USA Christine Bellino CPA CITP Jefferson Wells USA John W Beveridge CISA CISM CFE CGFM CQA Massachusetts Office of the State Auditor USA Alan Boardman CISA CISM CA CISSP Fox IT UK David Bonewell CISA CISSP-ISSEP Accomac Consulting LLC USA Dirk Bruyndonckx CISA CISM KPMG Advisory Belgium Don Canilglia CISA CISM USA Luis A Capua CISM Sindicatura General de la Nacioacuten Argentina Boyd Carter PMP Elegantsolutionsca Canada Dan Casciano CISA Ernst amp Young LLP USA Sean V Casey CISA CPA USA Sushil Chatterji Edutech Singapore Ed Chavennes Ernst amp Young LLP USA Christina Cheng CISA CISSP SSCP Deloitte amp Touche LLP USA Dharmesh Choksey CISA CPA CISSP PMP KPMG LLP USA Jeffrey D Custer CISA CPA CIA Ernst amp Young LLP USA Beverly G Davis CISA Federal Home Loan Bank of San Francisco USA Peter De Bruyne CISA Banksys Belgium Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Philip De Picker CISA MCA National Bank of Belgium Belgium Kimberly de Vries CISA PMP Zurich Financial Services USA Roger S Debreceny PhD FCPA University of Hawaii USA Zama Dlamini Deloitte amp Touche LLP South Africa Rupert Dodds CISA CISM FCA KPMG New Zealand Troy DuMoulin Pink Elephant Canada Bill A Durrand CISA CISM CA Ernst amp Young LLP Canada Justus Ekeigwe CISA MBCS Deloitte amp Touche LLP USA Rafael Eduardo Fabius CISA Republica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Christopher Fox ACA PricewaterhouseCoopers USA Bob Frelinger CISA Sun Microsystems Inc USA Zhiwei Fu Ph D Fannie Mae USA Monique Garsoux Dexia Bank Belgium Edson Gin CISA CFE SSCP USA Sauvik Ghosh CISA CIA CISSP CPA Ernst amp Young LLP USA Guy Groner CISA CIA CISSP USA Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Benjamin K Hsaio CISA Federal Deposit Insurance Corp USA Tom Hughes Acumen Alliance Australia Monica Jain CSQA Covansys Corp US Wayne D Jones CISA Australian National Audit Office Australia John A Kay CISA USA Lisa Kinyon CISA Countrywide USA Rodney Kocot Systems Control and Security Inc USA Luc Kordel CISA CISM CISSP CIA RE RFA Dexia Bank Belgium Linda Kostic CISA CPA USA John W Lainhart IV CISA CISM IBM USA Philip Le Grand Capita Education Services UK Elsa K Lee CISA CISM CSQA AdvanSoft International Inc USA Kenny K Lee CISA CISSP Countrywide SMART Governance USA Debbie Lew CISA Ernst amp Young LLP USA
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 1
COBIT41
REMERCIEMENTS (SUITE)
Donald Lorete CPA Deloitte amp Touche LLP USA Addie CP Lui MCSA MCSE First Hawaiian Bank USA Debra Mallette CISA CSSBB Kaiser Permanente USA Charles Mansour CISA Charles Mansour Audit amp Risk Service UK Mario Micallef CPAA FIA National Australia Bank Group Australia Niels Thor Mikkelsen CISA CIA Danske Bank Denmark John Mitchell CISA CFE CITP FBCS FIIA MIIA QiCA LHS Business Control UK Anita Montgomery CISA CIA Countrywide USA Karl Muise CISA City National Bank USA Jay S Munnelly CISA CIA CGFM Federal Deposit Insurance Corp USA Sang Nguyen CISA CISSP MCSE Nova Southeastern University USA Ed OrsquoDonnell PhD CPA University of Kansas USA Sue Owen Department of Veterans Affairs Australia Robert G Parker CISA CA CMC FCA Robert G Parker Consulting Canada Robert Payne Trencor Services (Pty) Ltd South Africa Thomas Phelps IV CISA PricewaterhouseCoopers LLP USA Vitor Prisca CISM Novabase Portugal Martin Rosenberg PhD IT Business Management UK Claus Rosenquist CISA TrygVesata Denmark Jaco Sadie Sasol South Africa Max Shanahan CISA FCPA Max Shanahan amp Associates Australia Craig W Silverthorne CISA CISM CPA IBM Business Consulting Services USA Chad Smith Great-West Life Canada Roger Southgate CISA CISM FCCA CubeIT Management Ltd UK Paula Spinner CSC USA Mark Stanley CISA Toyota Financial Services USA Dirk E Steuperaert CISA PricewaterhouseCoopers Belgium Robert E Stroud CA Inc USA Scott L Summers PhD Brigham Young University USA Lance M Turcato CISA CISM CPA City of Phoenix IT Audit Division USA Wim Van Grembergen PhD University of Antwerp Management School Belgium Johan Van Grieken CISA Deloitte Belgium Greet Volders Voquals NV Belgium Thomas M Wagner Gartner Inc USA Robert M Walters CISA CPA CGA Office of the Comptroller General Canada Freddy Withagels CISA Capgemini Belgium Tom Wong CISA CIA CMA Ernst amp Young LLP Canada Amanda Xu CISA PMP KPMG LLP USA
Le Conseil drsquoAdministration de lrsquoITGI Everett C Johnson CPA Deloitte amp Touche LLP (retired) USA International President Georges Ataya CISA CISM CISSP Solvay Business School Belgium Vice President William C Boni CISM Motorola USA Vice President Avinash Kadam CISA CISM CISSP CBCP GSEC GCIH Miel e-Security Pvt Ltd India Vice President Jean-Louis Leignel MAGE Conseil France Vice President Lucio Augusto Molina Focazzio CISA Colombia Vice President Howard Nicholson CISA City of Salisbury Australia Vice President Frank Yam CISA FHKIoD FHKCS FFA CIA CFE CCP CFSA Focus Strategic Group Hong Kong Vice President Marios Damianides CISA CISM CA CPA Ernst amp Young LLP USA Past International President Robert S Roussey CPA University of Southern California USA Past International President Ronald Saull CSP Great-West Life and IGM Financial Canada Trustee
Le Comiteacute IT Governance Tony Hayes FCPA Queensland Government Australia Chair Max Blecher Virtual Alliance South Africa Sushil Chatterji Edutech Singapore Anil Jogani CISA FCA Tally Solutions Limited UK John W Lainhart IV CISA CISM IBM USA Roacutemulo Lomparte CISA Banco de Creacutedito BCP Peru Michael Schirmbrand PhD CISA CISM CPA KPMG LLP Austria Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 2
COBIT41 Le Comiteacute de pilotage COBIT Roger Debreceny PhD FCPA University of Hawaii USA Chair Gary S Baker CA Deloitte amp Touche Canada Dan Casciano CISA Ernst amp Young LLP USA Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Rafael Eduardo Fabius CISA Repuacuteblica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Debbie A Lew CISA Ernst amp Young LLP USA Maxwell J Shanahan CISA FCPA Max Shanahan amp Associates Australia Dirk Steuperaert CISA PricewaterhouseCoopers LLC Belgium Robert E Stroud CA Inc USA
Les conseillers de lrsquoITGI Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada Chair Roland Bader F Hoffmann-La Roche AG Switzerland Linda Betz IBM Corporation USA Jean-Pierre Corniou Renault France Rob Clyde CISM Symantec USA Richard Granger NHS Connecting for Health UK Howard Schmidt CISM RampH Security Consulting LLC USA Alex Siow Yuen Khong StarHub Ltd Singapore Amit Yoran Yoran Associates USA
Les sponsors et membres affilieacutes de lrsquoITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systegravemes drsquoInformation Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte Lte CA Hewlett-Packard IBM LogLogic Inc Phoenix Business and Systems Process Inc Symantec Corporation Wolcott Group LLC World Pass IT Solutions
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 3
COBIT41 TABLE DES MATIEgraveRES
SYNTHEgraveSE 5
CADRE DE REacuteFEacuteRENCE COBIT 9
PLANIFIER ET ORGANISER 29
ACQUEacuteRIR ET IMPLEacuteMENTER 73
DEacuteLIVRER ET SUPPORTER 101
SURVEILLER ET EVALUER 153
ANNEXE I ndash LIENS ENTRE OBJECTIFS ET PROCESSUS 169
ANNEXE II ndash LIENS ENTRE LES PROCESSUS INFORMATIQUES ET LES DOMAINES DE LA GOUVERNANCE DES SI LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT 173
ANNEXE III ndash MODEgraveLES DE MATURITEacute POUR LE CONTROcircLE INTERNE 175
ANNEXE IV - DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41 177
ANNEXE V ndash TABLEAU DES CORRESPONDANCES ENTRE COBIT 3E EacuteDITION ET COBIT 41 179
ANNEXE VI ndash APPROCHE RECHERCHE ET DEacuteVELOPPEMENT 187
ANNEXE VII ndash GLOSSAIRE 189
ANNEXE VIII ndash COBIT ET PRODUITS DE LA FAMILLE COBIT 195
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 4
SY
NT
HEgrave
SE
SYNTHEgraveSE
SYNTHEgraveSE
SYNTHEgraveSE
Pour beaucoup dentreprises linformation et la technologie sur laquelle elle sappuie constituent les actifs les plus preacutecieux mecircme si elles sont souvent les moins bien perccedilues Les entreprises qui reacuteussissent connaissent les avantages des technologies de linformation et les utilisent pour apporter de la valeur agrave leurs parties prenantes Ces entreprises comprennent et gegraverent aussi les contraintes et les risques connexes comme lobligation de se soumettre agrave des regravegles de conformiteacute de plus en plus contraignantes et la deacutependance de plus en plus forte de nombreux processus meacutetiers vis-agrave-vis des systegravemes dinformation (SI)
Le besoin de sassurer de la valeur des SI la gestion des risques qui leur sont lieacutes et les exigences croissantes de controcircle sur linformation sont deacutesormais reconnus comme des eacuteleacutements cleacutes de la gouvernance dentreprise Valeur risque et controcircle constituent le cœur de la gouvernance des SI
La gouvernance des SI est de la responsabiliteacute des dirigeants et du conseil dadministration et elle est constitueacutee des structures et processus de commandement et de fonctionnement qui conduisent linformatique de lentreprise agrave soutenir les strateacutegies et les objectifs de lentreprise et agrave lui permettre de les eacutelargir
De plus la gouvernance des SI integravegre et institutionnalise les bonnes pratiques pour sassurer quelles soutiennent la mise en œuvre des objectifs meacutetiers La gouvernance des SI permet agrave lentreprise de tirer pleinement profit de ses donneacutees maximisant ainsi ses beacuteneacutefices capitalisant sur les opportuniteacutes qui se preacutesentent et gagnant un avantage concurrentiel Pour y parvenir il convient dutiliser un reacutefeacuterentiel pour le controcircle des SI qui adopte les principes du Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control-Integrated Framework reacutefeacuterentiel de gouvernance dentreprise et de gestion des risques largement reconnu et dautres reacutefeacuterentiels semblables qui se conforment aux mecircmes principes
Les entreprises doivent satisfaire aux exigences fiduciaires ainsi quaux exigences de qualiteacute et de seacutecuriteacute pour leur information comme pour tous leurs autres actifs Les dirigeants doivent aussi optimiser lutilisation des ressources informatiques disponibles applications donneacutees infrastructures et personnels Pour sacquitter de ces responsabiliteacutes comme pour atteindre ces objectifs ils doivent connaicirctre la situation de leur architecture systegraveme et deacutecider quelle gouvernance et quels controcircles informatiques ils doivent mettre en place
Objectifs de Controcircle de lInformation et des technologies associeacutees (Control Objectives for Information and related Technology COBITreg) propose les bonnes pratiques dans un cadre de reacutefeacuterence par domaine et par processus et preacutesente les activiteacutes dans une structure logique facile agrave appreacutehender Les bonnes pratiques de COBIT sont le fruit dun consensus dexperts Elles sont tregraves axeacutees sur le controcircle et moins sur lexeacutecution des processus Elles ont pour but daider agrave optimiser les investissements informatiques agrave assurer la fourniture des services et agrave fournir des outils de mesure (meacutetriques) auxquels se reacutefeacuterer pour eacutevaluer les dysfonctionnements
Pour que linformatique reacuteponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systegraveme de controcircle ou un cadre de controcircle interne Pour reacutepondre agrave ce besoin le cadre de reacutefeacuterence de controcircle de COBIT bull eacutetablit un lien avec les exigences meacutetiers de lentreprise bull structure les activiteacutes informatiques selon un modegravele de processus largement reconnu bull identifie les principales ressources informatiques agrave mobiliser bull deacutefinit les objectifs de controcircle agrave prendre en compte
Lorientation meacutetiers de COBIT consiste agrave lier les objectifs meacutetiers aux objectifs informatiques agrave fournir les meacutetriques (ce qui doit ecirctre mesureacute et comment) et les modegraveles de maturiteacute pour faire apparaicirctre leur degreacute de reacuteussite et agrave identifier les responsabiliteacutes communes aux proprieacutetaires de processus meacutetiers et aux proprieacutetaires de processus informatiques
Lorientation processus de COBIT est illustreacutee par un modegravele de processus qui subdivise la gestion des Systegravemes dInformation en quatre domaines et 34 processus reacutepartis entre les domaines de responsabiliteacutes que sont planifier mettre en place faire fonctionner et surveiller donnant ainsi une vision complegravete de lactiviteacute informatique Les concepts darchitecture dentreprise aident agrave identifier les ressources essentielles au bon deacuteroulement des processus comme les applications linformation les infrastructures et les personnes
En reacutesumeacute pour fournir les informations dont lentreprise a besoin pour reacutealiser ses objectifs les ressources informatiques doivent ecirctre geacutereacutees par un ensemble de processus regroupeacutes selon une certaine logique
Mais comment controcircler les systegravemes dinformation pour quils fournissent les donneacutees dont lentreprise a besoin Comment gegraverent-ils les risques lieacutes aux ressources informatiques dont elles sont si deacutependantes et comment seacutecuriser celles-ci Comment lentreprise peut-elle sassurer que linformatique atteint ses objectifs et concourt au succegraves des siens propres
Les dirigeants ont dabord besoin dobjectifs de controcircle qui deacutefinissent les objectifs ultimes des politiques des plans des proceacutedures et des structures organisationnelles de lentreprise conccedilues pour fournir lassurance raisonnable que bull les objectifs de lentreprise seront atteints bull des dispositifs sont en place pour preacutevenir ou deacutetecter et corriger les eacuteveacutenements indeacutesirables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 5
ndash
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT D
E
VALEURA
LIGNEMENT
STRATEGIQUE
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Figure 1 ndash Information du management
ndash
COBIT41 Ensuite dans les environnements complexes daujourdhui le management est continuellement agrave la recherche dinformations condenseacutees et disponibles en temps utile lui permettant de prendre rapidement des deacutecisions difficiles en matiegravere de valeur de risque et de controcircle Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer objectivement ougrave elles en sont et ougrave elles doivent apporter des ameacuteliorations et elles ont besoin dimpleacutementer des outils de gestion pour surveiller ces ameacuteliorations La figure 1 montre certaines questions classiques et les outils de gestion de linformation utiliseacutes pour trouver les reacuteponses Mais ces tableaux de bord neacutecessitent des indicateurs les tableaux de bord eacutequilibreacutes des mesures et les tests comparatifs une eacutechelle de comparaison
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisantspour le plus grand nombre possible desparties prenantes
Comment adapter en temps utile lrsquoentrepriseaux tendances et aux deacuteveloppements deson environnement professionnel
Indicateurs
Mesures
Echelles
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisants pour le plus grand nombre possible des parties prenantes
Comment adapter en temps utile lrsquoentreprise aux tendances et aux deacuteveloppements de son environnement professionnel
Indicateurs
Mesures
Echelles
Figure 1 Information du management
La reacuteponse agrave ce besoin de deacuteterminer et de surveiller les niveaux approprieacutes de controcircle et de performance de linformatique est la deacutefinition donneacutee par COBIT des eacuteleacutements suivants bull Tests comparatifs de la capaciteacute et des performances des processus informatiques preacutesenteacutes sous la forme de modegraveles de maturiteacute inspireacutes
du Capability Maturity Model (CMM) du Software Engineering Institute bull Objectifs et meacutetriques des processus informatiques pour deacutefinir et mesurer leurs reacutesultats et leurs performances selon les principes du
tableau de bord eacutequilibreacute (Balanced Scorecard) de Robert Kaplan et David Norton bull Objectifs des activiteacutes pour mettre ces processus sous controcircle en se basant sur les objectifs de controcircle de COBIT
Leacutevaluation de la capaciteacute des processus au moyen des modegraveles de maturiteacute de COBIT est un eacuteleacutement cleacute de la mise en place dune gouvernance des SI Lorsquon a identifieacute les processus et les controcircles informatiques essentiels le modegravele de maturiteacute permet de mettre en eacutevidence les deacutefauts de maturiteacute et den faire la deacutemonstration au management On peut alors concevoir des plans daction pour amener ces processus au niveau de maturiteacute deacutesireacute
COBIT concourt ainsi agrave la gouvernance des SI (figure 2) en fournissant un cadre de reacutefeacuterence qui permet de sassurer que bull les SI sont aligneacutes sur les meacutetiers de lentreprise bull les SI apportent un plus aux meacutetiers et maximisent ses reacutesultats bull les ressources des SI sont utiliseacutees de faccedilon responsable bull les risques lieacutes aux SI sont geacutereacutes comme il convient
La mesure de la performance est essentielle agrave la gouvernance des SI Elle est un eacuteleacutement de COBIT et consiste entre autres agrave fixer et agrave surveiller des objectifs mesurables pour ce que les processus informatiques sont censeacutes fournir (reacutesultat du processus) et pour la faccedilon dont ils le fournissent (capaciteacute et performance du processus) De nombreuses eacutetudes ont montreacute que le manque de transparence des coucircts de la valeur et des risques des SI est lune de motivations principales pour mettre en place une gouvernance des SI Si dautres domaines y contribuent cest essentiellement la mesure des performances qui permet la transparence
Figure 2 Domaines de la Gouvernance des SI
bull LrsquoAlignement Strateacutegique consiste agrave srsquoassurer que les plans informatiques restent aligneacutes sur les plans des meacutetiers agrave deacutefinir tenir agrave jour et valider les propositions de valeur ajouteacutee de lrsquoinformatique et agrave aligner le fonctionnement de lrsquoinformatique sur le fonctionnement de lrsquoentreprise
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
bull LrsquoApport de valeur consiste agrave mettre en œuvre la proposition de valeur ajouteacutee tout au long du cycle de fourniture du service agrave srsquoassurer que lrsquoinformatique apporte bien les beacuteneacutefices attendus sur le plan strateacutegique agrave srsquoattacher agrave optimiser les coucircts et agrave prouver la valeur intrinsegraveque des SI
bull La Gestion des ressources consiste agrave optimiser lrsquoinvestissement dans les ressources informatiques vitales et agrave bien les geacuterer applications informations infrastructures et personnes Les questions cleacutes concernent lrsquooptimisation des connaissances et de lrsquoinfrastructure
bull La Gestion des risques exige une conscience des risques de la part des cadres supeacuterieurs une vision claire de lrsquoappeacutetence de lrsquoentreprise pour le risque une bonne connaissance des exigences de conformiteacute de la transparence agrave propos des risques significatifs encourus par lrsquoentreprise et lrsquoattribution des responsabiliteacutes en matiegravere de gestion des risques au sein de lrsquoentreprise
bull La Mesure de la performance consiste en un suivi et une surveillance de la mise en œuvre de la strateacutegie de lrsquoaboutissement des projets de lrsquoutilisation des ressources de la performance des processus et de la fourniture des services en utilisant par exemple des tableaux de bord eacutequilibreacutes qui traduisent la strateacutegie en actions orienteacutees vers lrsquoatteinte drsquoobjectifs mesurables autrement que par la comptabiliteacute conventionnelle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 6
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Figure 3 ndash Scheacutema du contenu de COBIT
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
ndash
SYNTHEgraveSE Ces domaines de la gouvernance des SI preacutesentent les questions que les dirigeants doivent examiner pour mettre en place cette gouvernance dans leur entreprise La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables meacutetiers de disposer dun modegravele de reacutefeacuterence commun COBIT propose dans lannexe II (Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT) un tableau qui met en regard les processus informatiques et les domaines de gouvernance pour faire le lien entre les tacircches des responsables informatiques et les objectifs de gouvernance de la direction geacuteneacuterale
Pour que cette gouvernance soit efficace les dirigeants doivent exiger des directions informatiques quelles mettent en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus et les controcircles des SI
COBIT sinteacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequats des SI au niveau geacuteneacuteral COBIT se conforme agrave dautres standards informatiques plus deacutetailleacutes et aux bonnes pratiques (voir annexe IV Documents de reacutefeacuterence de COBIT 41) COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un mecircme cadre de reacutefeacuterence geacuteneacuteral qui fait aussi le lien avec les exigences de gouvernance et les exigences opeacuterationnelles
COSO (comme dautres reacutefeacuterentiels compatibles semblables) est couramment accepteacute comme le cadre de reacutefeacuterence du controcircle interne des entreprises COBIT est la reacutefeacuterence geacuteneacuteralement accepteacutee du controcircle interne des SI
Les produits COBIT sorganisent en trois niveaux (figure 3) conccedilus pour apporter leur aide bull aux dirigeants et administrateurs bull aux directions opeacuterationnelles et
informatiques bull aux professionnels de la gouvernance de
lassurance du controcircle et de la seacutecuriteacute
En quelques mots les produits COBIT sont composeacutes des eacuteleacutements suivants bull Conseils aux dirigeants dentreprises pour la
gouvernance des SI 2e eacutedition ce document aide les dirigeants agrave comprendre limportance de la gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre
bull Guide de managementmodegraveles de maturiteacute ces outils permettent de reacutepartir les responsabiliteacutes de mesurer la performance de tester la capaciteacute et de trouver des reacuteponses aux insuffisances dans ce domaine
bull Cadres de reacutefeacuterence ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques par domaine informatique et par processus et de les relier aux exigences meacutetiers
bull Objectifs de controcircle ils fournissent un large
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour desfonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT etGouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprisesspeacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dunprogramme plus large de gouvernance des SI)
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
rsquo- -
rsquo
rsquo
rsquo
Comment le conseil
drsquoadministration exerce-t-il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment srsquoameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans lrsquoentreprise
Professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute
Guide drsquoaudit des SIGuide drsquoimpleacutementation de la gouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour la gouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Modegraveles de maturiteacute
Guide de management
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT et Gouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprises speacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dun programme plus large de gouvernance des SI)
Figure 3 Scheacutema du contenu de COBIT
eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT reg et Val ITtrade 2egraveme Eacutedition ce guide fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val ITtrade
bull Pratiques de controcircle COBITreg Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition conseils sur limportance des controcircles et sur la faccedilon de les mettre en place
bull Guide dAudit de lrsquoinformatique Utilisation de COBIT reg ce guide fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes types daudit ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle
Le scheacutema de contenu COBIT de la figure 3 preacutesente les principaux publics leurs questions sur la gouvernance des SI et les produits qui permettent geacuteneacuteralement dy apporter des reacuteponses Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres dans des domaines comme la seacutecuriteacute ou pour des entreprises speacutecifiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 7
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Figure 4 ndash Relations entre les composants de COBIT
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Processus informatiques
Objectifs informatiques
ndash
COBIT41 Tous ces composants COBIT sont relieacutes entre eux et visent agrave reacutepondre aux besoins de gouvernance de gestion de controcircle et dassurances de diffeacuterents acteurs comme le montre la figure 4
Figure 4 Relations entre les composants de COBIT
Tableau des responsabiliteacutes
et des approbations
eeeffffffeeecccttt
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutes cleacutes
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
bbbeeesssoooiiinnnsss iiinnnfffooorrrmmmaaatttiiiooonnn
dddeacuteeacuteeacutecccooommmpppooossseacuteeacuteeacutesss eeennn
uuueacuteeacuteeacuteeeesss pppaaarrr
mmmeeesss
uuurrreacuteeacuteeacutesss pppaaarrr
aaauuudddiiittteacuteeacuteeacutessspppaaarrr
cccooonnntttrrrocircocircocircllleacuteeacuteeacutesss pppaaarrr
dddeacuteeacuteeacutecccooouuulllaaannnttt dddeee
iiimmmpppllleacuteeacuteeacutemmm
eeennnttteacuteeacuteeacutessspppaaarrr
aaauuudddiiittteacuteeacuteeacutesss pppaaarrr
pppooouuurrrlllaaa
mmmaaatttuuurrriiittteacuteeacuteeacute
pppooouuurrr
llleeerrreacuteeacuteeacute
sssuuulllttt
aaattt
pppooouuurrr lllaaapppeeerrr
fffooorrrmmm
aaannnccceee
bbbaaassseacuteeacuteeacutesss sssuuurrr
COBIT est un cadre de reacutefeacuterence et un ensemble doutils permettant aux dirigeants de faire le lien entre les exigences du controcircle les probleacutematiques techniques et les risques meacutetiers et de communiquer avec les parties prenantes sur ce niveau de controcircle COBIT permet deacutelaborer des politiques claires et des bonnes pratiques pour la maicirctrise des SI dans toutes les entreprises COBIT est en permanence tenu agrave jour et harmoniseacute avec les autres standards et recommandations COBIT est ainsi devenu linteacutegrateur des bonnes pratiques en technologies de linformation et le reacutefeacuterentiel geacuteneacuteral de la gouvernance des SI qui aide agrave comprendre et agrave geacuterer les risques et les beacuteneacutefices qui leur sont associeacutes COBIT est organiseacute par processus et sa faccedilon daborder lentreprise par les meacutetiers apporte une vision des SI qui couvre lensemble de leur champ dapplication et des deacutecisions agrave prendre pour ce qui les concerne
Ladoption de COBIT comme cadre de gouvernance des SI offre les avantages suivants bull un meilleur alignement de linformatique sur lactiviteacute de lentreprise du fait de son orientation meacutetiers bull une vision compreacutehensible par le management de ce que fait linformatique bull une attribution claire de la proprieacuteteacute et des responsabiliteacutes du fait de lapproche par processus bull un preacutejugeacute favorable de la part des tiers et des organismes de controcircle bull une compreacutehension partageacutee par toutes les parties prenantes gracircce agrave un langage commun bull le respect des exigences du COSO pour le controcircle de lenvironnement informatique
Le reste de ce document propose une description du Cadre de Reacutefeacuterence de COBIT et tous les composants essentiels de COBIT preacutesenteacutes par domaine (les 4 domaines informatiques) et par processus (les 34 processus informatiques) de COBIT Lensemble constitue un manuel de reacutefeacuterence facile agrave consulter des principaux constituants de COBIT Plusieurs annexes proposent eacutegalement des reacutefeacuterences utiles
Les informations les plus complegravetes et les plus reacutecentes sur COBIT et les produits connexes (outils en ligne guides de mise en œuvre eacutetudes de cas lettres dinformation mateacuteriel peacutedagogique etc) sont disponibles sur wwwisacaorgcobit
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 8
CADRE DE REacuteFEacuteRENCE
CA
DR
E D
E
REacute
FEacuteR
EN
CE
CADRE DE REacuteFEacuteRENCE
CADRE DE REacuteFEacuteRENCE COBIT
La mission de COBIT
Elle consiste agrave imaginer mettre au point publier et promouvoir un cadre de reacutefeacuterence de controcircle de la gouvernance des SI actualiseacute reconnu dans le monde entier et faisant autoriteacute Ce cadre de reacutefeacuterence devra ecirctre adopteacute par les entreprises et utiliseacute quotidiennement par les dirigeants les professionnels de linformatique et les professionnels de lassurance
LE BESOIN DUN CADRE DE REacuteFEacuteRENCE POUR LA GOUVERNANCE DES SI
Le cadre de reacutefeacuterence pour la gouvernance des SI deacutefinit les raisons pour lesquelles la gouvernance des SI est neacutecessaire les diffeacuterentes parties prenantes et sa mission
Pourquoi
Les dirigeants ont de plus en plus conscience de limpact significatif de linformation sur le succegraves de lentreprise Ils sattendent agrave ce que lon comprenne de mieux en mieux comment sont utiliseacutees les technologies de linformation et la probabiliteacute quelles contribuent avec succegraves agrave donner un avantage concurrentiel agrave lentreprise Ils veulent savoir en particulier si la gestion des SI peut leur permettre bull datteindre leurs objectifs bull davoir assez de reacutesilience pour apprendre et sadapter bull de geacuterer judicieusement les risques auxquels ils doivent faire face bull de savoir bien identifier les opportuniteacutes et dagir pour en tirer parti
Les entreprises qui reacuteussissent comprennent les risques exploitent les avantages des SI et trouvent comment bull aligner la strateacutegie de linformatique sur celle de lentreprise bull assurer aux investisseurs et aux actionnaires que lentreprise respecte une norme de prudence et de diligence relative agrave la reacuteduction des
risques informatiques bull reacutepercuter la strateacutegie et les objectifs de linformatique dans lentreprise bull faire en sorte que linvestissement informatique produise de la valeur bull apporter les structures qui faciliteront la mise en œuvre de cette strateacutegie et de ces objectifs bull susciter des relations constructives entre les meacutetiers et linformatique et avec les partenaires externes bull mesurer la performance des SI
Les entreprises ne peuvent pas reacutepondre efficacement agrave ces exigences meacutetiers et agrave celles de la gouvernance sans adopter et mettre en œuvre un cadre de reacutefeacuterence pour la gouvernance et pour les controcircles qui permette aux directions des SI bull deacutetablir un lien avec les exigences meacutetiers de lentreprise bull de rendre leurs performances transparentes par rapport agrave ces exigences bull dorganiser leurs activiteacutes selon un modegravele de processus largement reconnu bull didentifier les principales ressources informatiques agrave mobiliser bull de deacutefinir les objectifs de controcircle de management agrave envisager
Par ailleurs les reacutefeacuterentiels de gouvernance et de controcircle font deacutesormais partie des bonnes pratiques de gestion des SI ils sont aussi un moyen de faciliter la mise en place de la gouvernance des SI et de se conformer aux exigences reacuteglementaires toujours plus nombreuses
Les bonnes pratiques informatiques ont gagneacute leurs galons gracircce agrave un certain nombre de facteurs bull lexigence du meilleur retour sur investissements de leurs SI par les dirigeants et les administrateurs autrement dit il convient de faire en
sorte que linformatique fournisse agrave lentreprise ce dont elle a besoin pour apporter une valeur accrue aux parties prenantes bull la preacuteoccupation de voir le niveau de deacutepenses informatiques augmenter assez systeacutematiquement bull le besoin de reacutepondre aux exigences reacuteglementaires de controcircle des SI dans des domaines comme le respect de la vie priveacutee et la
publication des reacutesultats financiers (par exemple la loi ameacutericaine Sarbanes-Oxley Bacircle II) et dans des secteurs speacutecifiques comme la finance les produits pharmaceutiques et la santeacute
bull la seacutelection de fournisseurs de services la gestion de services externaliseacutes et la gestion des achats bull la complexiteacute croissante des risques informatiques comme la seacutecuriteacute des reacuteseaux bull les initiatives de la gouvernance des SI qui font une place aux reacutefeacuterentiels de controcircle et aux bonnes pratiques pour aider agrave la surveillance
et agrave lameacutelioration des activiteacutes informatiques strateacutegiques de faccedilon agrave augmenter la valeur et reacuteduire les risques pour lentreprise bull le besoin doptimiser les coucircts en adoptant chaque fois que cest possible des approches standardiseacutees plutocirct quindividualiseacutees bull une plus grande maturiteacute caracteacuteriseacutee par ladoption de reacutefeacuterentiels reacuteputeacutes comme COBIT ITIL (IT Infrastructure Library) la seacuterie ISO
27000 sur les normes lieacutees agrave la seacutecuriteacute de linformation la norme ISO 90012000 Systegravemes de management de la qualiteacute - Exigences le CMMI (Capability Maturity Modelreg Integration) PRINCE2 (Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge)
bull le besoin queacuteprouvent les entreprises deacutevaluer leurs performances par rapport aux normes communeacutement accepteacutees et vis-agrave-vis de leurs pairs (analyse comparative - benchmarking)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 9
Exigencesmeacutetiers
InformationsEntreprise
Ressourcesinformatiques
Processusinformatiques
COBIT
Figure 5 ndash Principe de base de COBIT
ndash
COBIT41 Qui
Un reacutefeacuterentiel de gouvernance et de controcircle sert les inteacuterecircts de diverses parties prenantes internes et externes dont chacune a des besoins speacutecifiques bull Les parties prenantes internes agrave lrsquoentreprise qui ont inteacuterecirct agrave voir les investissements informatiques geacuteneacuterer de la valeur sont
minus celles qui prennent les deacutecisions drsquoinvestissements minus celles qui deacutefinissent les exigences minus celles qui utilisent les services informatiques
bull Les parties prenantes internes et externes qui fournissent les services informatiques sont minus celles qui gegraverent lrsquoorganisation et les processus informatiques minus celles qui en deacuteveloppent les capaciteacutes minus celles qui exploitent les systegravemes drsquoinformation au quotidien
bull Les parties prenantes internes et externes qui ont des responsabiliteacutes dans le controcircle et le risque sont minus celles qui sont en charge de la seacutecuriteacute du respect de la vie priveacutee etou des risques minus celles qui sont en charge des questions de conformiteacute minus celles qui fournissent des services drsquoassurance ou qui en ont besoin
Quoi
Pour faire face agrave ces exigences un cadre de reacutefeacuterence pour la gouvernance et le controcircle des SI doivent respecter les speacutecifications geacuteneacuterales suivantes bull Fournir une vision meacutetiers qui permette drsquoaligner les objectifs de lrsquoinformatique sur ceux de lrsquoentreprise bull Eacutetablir un scheacutema par processus qui deacutefinisse ce que chacun drsquoeux recouvre avec une structure preacutecise qui permette de srsquoy retrouver
facilement bull Faire en sorte que lrsquoensemble puisse ecirctre geacuteneacuteralement accepteacute en se conformant aux meilleures pratiques et aux standards informatiques
et en restant indeacutependant des technologies speacutecifiques bull Fournir un langage commun avec son glossaire qui puisse ecirctre geacuteneacuteralement compris par toutes les parties prenantes bull Aider agrave remplir les obligations reacuteglementaires en se conformant aux standards geacuteneacuteralement accepteacutes de la gouvernance des entreprises
(ex COSO) et du controcircle informatique tels que les pratiquent les reacutegulateurs et les auditeurs externes
COMMENT COBIT REacutePOND Agrave CES BESOINS
Le cadre de reacutefeacuterence de COBIT reacutepond agrave ces besoins par quatre caracteacuteristiques principales il est centreacute sur les meacutetiers de lentreprise organiseacute par processus baseacute sur des controcircles et sappuie systeacutematiquement sur des mesures
Centreacute sur les meacutetiers
Lorientation meacutetiers est lideacutee centrale de COBIT Il est conccedilu non seulement pour ecirctre employeacute par les fournisseurs de services informatiques les utilisateurs et les auditeurs mais eacutegalement ce qui est le plus important comme un guide compreacutehensible par le management et par les proprieacutetaires de processus meacutetiers
Le cadre de reacutefeacuterence de COBIT se base sur le principe suivant (figure 5)
Pour fournir linformation dont elle a besoin pour atteindre ses objectifs lentreprise doit investir dans des ressources informatiques les geacuterer et les controcircler au moyen dun ensemble de processus structureacute pour fournir les services qui transmettent les donneacutees dont lentreprise a besoin
La gestion et le controcircle des informations sont au cœur du cadre de reacutefeacuterence de COBIT et permettent de sassurer que linformatique est aligneacutee sur les exigences meacutetiers de lentreprise
CRITEgraveRES DINFORMATION DE COBIT Pour satisfaire aux objectifs meacutetiers lentreprise linformation doit se conformer agrave certains critegraveres de controcircle que COBIT deacutefinit comme les exigences de lentreprise en matiegravere dinformation Agrave partir des impeacuteratifs plus larges de qualiteacute fiduciaires et de seacutecuriteacute on deacutefinit sept critegraveres dinformation distincts dont certains se recoupent bull LEfficaciteacute qualifie toute information pertinente utile aux processus meacutetiers livreacutee au moment opportun sous une forme correcte
coheacuterente et utilisable bull LEfficience qualifie la mise agrave disposition de linformation gracircce agrave lutilisation optimale (la plus productive et la plus eacuteconomique) des
ressources bull La Confidentialiteacute concerne la protection de linformation sensible contre toute divulgation non autoriseacutee
quireacutepondent
aux
pourfournir
qui sontutiliseacutees par
geacutenegraverent desInvestissements
dans
Exigences meacutetiers
Informations Entreprise
Ressources informatiques
Processus informatiques
COBIT
qui reacutepondent
aux
pour fournir
qui sont utiliseacutees par
geacutenegraverent des Investissements
dans
Figure 5 Principe de base de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 10
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Figure 6 ndash Deacutefinir les objectifs informatiques et lrsquoarchitecture de lrsquoentreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Processusinformatiques
Infrastructures et personnes
Applications
Informations
ndash rsquo rsquo
CADRE DE REacuteFEacuteRENCE bull LInteacutegriteacute touche agrave lexactitude et agrave lexhaustiviteacute de linformation ainsi quagrave sa validiteacute au regard des valeurs de lentreprise et de ses
attentes bull La Disponibiliteacute qualifie linformation dont peut disposer un processus meacutetier tant dans limmeacutediat quagrave lavenir Elle concerne aussi la
sauvegarde des ressources neacutecessaires et les moyens associeacutes bull La Conformiteacute consiste agrave se conformer aux lois aux reacuteglementations et aux clauses contractuelles auxquelles le processus meacutetier est
soumis cest-agrave-dire aux critegraveres professionnels imposeacutes par lexteacuterieur comme par les politiques internes bull La Fiabiliteacute concerne la fourniture dinformations approprieacutees qui permettent au management de piloter lentreprise et dexercer ses
responsabiliteacutes fiduciaires et de gouvernance
OBJECTIFS MEacuteTIERS ET OBJECTIFS INFORMATIQUES Si les critegraveres dinformation constituent un moyen geacuteneacuterique de deacutefinir les exigences meacutetiers eacutetablir un ensemble geacuteneacuterique dobjectifs meacutetiers et informatiques constitue une base plus deacutetailleacutee lieacutee agrave lactiviteacute de lentreprise pour deacutefinir les exigences meacutetiers et pour deacutevelopper les meacutetriques qui permettent de mesurer les reacutesultats par rapport agrave ces objectifs Chaque entreprise utilise linformatique pour favoriser les initiatives meacutetiers et celles-ci peuvent ecirctre consideacutereacutees comme des objectifs meacutetiers pour linformatique Lannexe I propose un tableau qui croise objectifs meacutetiers objectifs informatiques et critegraveres dinformation On peut utiliser ces exemples geacuteneacuteriques comme guide pour deacuteterminer les exigences meacutetiers les objectifs et les meacutetriques speacutecifiques agrave lentreprise
Si on veut que linformatique reacuteussisse agrave fournir les services qui favoriseront la strateacutegie de lentreprise le meacutetier (le client) doit ecirctre clairement responsable de fixer ses exigences et linformatique (le fournisseur) doit avoir une bonne compreacutehension de ce qui doit ecirctre livreacute et comment La figure 6 illustre comment la strateacutegie de lentreprise doit ecirctre traduite en objectifs lieacutes aux initiatives qui sappuient sur les SI (les objectifs meacutetiers des SI) Ces objectifs doivent conduire agrave une deacutefinition claire des objectifs propres aux SI (les objectifs informatiques) qui agrave leur tour deacutefinissent les ressources et les capaciteacutes informatiques (larchitecture informatique de lentreprise) requises pour le succegraves de la partie de la strateacutegie qui leur incombe1
Figure 6 Deacutefinir les objectifs informatiques et l architecture de l entreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveres drsquorsquorsquorsquoinformation
Services informatiques
Exigences de la gouvernance
Exigences meacutetiers
ont besoin
Processus informatiques
font tourner
Infrastructures et personnes
Applications
Informations fournissent
Architecture informatique de lrsquorsquorsquorsquoentreprise
Strateacutegie de
lrsquorsquorsquoentreprise Objectifs
meacutetiers pour SI
Objectifs
informatiques
Architecture informatique
de lrsquorsquorsquoentreprise
Tableau de bord
informatique
Une fois les objectifs aligneacutes deacutefinis il faut les surveiller pour sassurer que ce qui est effectivement fourni correspond bien aux attentes Cela est rendu possible par les meacutetriques conccedilues agrave partir des objectifs et reacutepercuteacutees dans un tableau de bord informatique
Pour que le client puisse comprendre les objectifs informatiques et le tableau de bord informatique tous ces objectifs et les meacutetriques connexes doivent ecirctre exprimeacutes en termes meacutetiers compreacutehensibles par le client Et ceci combineacute agrave un alignement efficace de la hieacuterarchie des objectifs permettra agrave lentreprise de confirmer que ses objectifs seront probablement soutenus par les SI
Lannexe I (Eacutetablissement de liens entre les objectifs et les processus) montre dans un tableau global comment les objectifs meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres dinformation Ce tableau aide agrave comprendre quel est le champ daction de COBIT et quelles sont les relations geacuteneacuterales entre COBIT et les inducteurs de lentreprise Comme lillustre la figure 6 ces inducteurs proviennent du meacutetier et de la strate de gouvernance de lentreprise le premier eacutetant plus axeacute sur la fonctionnaliteacute et la vitesse de livraison tandis que la deuxiegraveme porte davantage sur la rentabiliteacute le retour sur investissement et la conformiteacute
Remarque La deacutefinition et la mise en œuvre dune architecture informatique de lentreprise entraicircneront eacutegalement la creacuteation dobjectifs informatiques internes qui contribuent aux objectifs meacutetier (mais nen deacutecoulent pas directement)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 11
1
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Figure 7 ndash Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
ndash
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Figure 8 ndash Les quatre domaines interdeacutependants de COBIT
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
ndash
COBIT41 RESSOURCES INFORMATIQUES Linformatique fournit ses services en fonction de ces objectifs au moyen dun ensemble deacutefini de processus qui utilisent les capaciteacutes des personnes et linfrastructure informatique pour faire fonctionner des applications meacutetiers automatiseacutees tout en tirant parti des informations dentreprise Ces ressources constituent avec les processus une architecture dentreprise pour les SI comme le montre la figure 6
Pour reacutepondre aux exigences meacutetiers des SI lentreprise doit investir dans les ressources neacutecessaires pour creacuteer une capaciteacute technologique approprieacutee (par exemple un progiciel de gestion inteacutegreacute (PGI- ERP)) capable dassister un secteur opeacuterationnel (par exemple mettre en place une chaicircne dapprovisionnement) qui produise le reacutesultat deacutesireacute (par exemple une augmentation des ventes et des beacuteneacutefices financiers)
On peut deacutefinir ainsi les ressources informatiques identifieacutees par COBIT bull Les applications sont entre les mains des utilisateurs les ressources logicielles automatiseacutees et les proceacutedures manuelles qui traitent
linformation bull Linformation est constitueacutee des donneacutees sous toutes leurs formes saisies traiteacutees et restitueacutees par le systegraveme informatique sous diverses
preacutesentations et utiliseacutees par les meacutetiers bull Linfrastructure est constitueacutee de la technologie et des eacutequipements (machines systegravemes dexploitation systegravemes de gestion de bases de
donneacutees reacuteseaux multimeacutedia ainsi que lenvironnement qui les heacuteberge et en permet le fonctionnement) qui permettent aux applications de traiter linformation
bull Les personnes sont les ressources qui soccupent de planifier dorganiser dacheter de mettre en place de livrer dassister de surveiller et deacutevaluer les systegravemes et les services informatiques Ces personnes peuvent ecirctre internes externes ou contractuelles selon les besoins
La figure 7 montre scheacutematiquement comment les objectifs meacutetiers pour les SI influencent la gestion des ressources informatiques par les processus informatiques pour atteindre les objectifs informatiques
Orienteacute processus
COBIT regroupe les activiteacutes informatiques dans un modegravele geacuteneacuterique de processus qui se reacutepartissent en quatre domaines Ces domaines sont Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Eacutevaluer Ils correspondent aux domaines de responsabiliteacutes traditionnels des SI que sont planifier mettre en place faire fonctionner et surveiller
Le cadre COBIT propose un modegravele de processus de reacutefeacuterence et un langage commun pour tous ceux qui dans une entreprise doivent utiliser ou geacuterer les activiteacutes informatiques Adopter un modegravele opeacuterationnel et un langage commun agrave toutes les parties de lentreprise impliqueacutees dans les SI est lune des eacutetapes initiales les plus importantes vers une bonne gouvernance COBIT propose aussi un cadre de reacutefeacuterence pour mesurer et surveiller la performance des SI communiquer avec les fournisseurs de services et inteacutegrer les meilleures pratiques de gestion Un modegravele de processus encourage la proprieacuteteacute des processus ce qui favorise la deacutefinition des responsabiliteacutes opeacuterationnelles et des responsabiliteacutes finales (responsabiliteacute de celui qui agit et responsabiliteacute de celui qui est comptable du reacutesultat)
Figure 7 Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de lrsquorsquorsquoentreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Pour une gouvernance efficace des SI il est important dappreacutecier les activiteacutes et les risques propres aux SI qui neacutecessitent decirctre pris en compte Ils sont geacuteneacuteralement ordonneacutes dans les domaines de responsabiliteacute que sont planifier mettre en place faire fonctionner et surveiller Dans le cadre de COBIT ces domaines porte les appellations suivantes comme le montre la figure 8
Figure 8 Les quatre domaines interdeacutependants de COBIT
bull Planifier et Organiser (PO) fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS)
bull Acqueacuterir et Impleacutementer (AI) fournit les solutions et les transmets pour les transformer en services
bull Deacutelivrer et Supporter (DS) reccediloit les solutions et les rend utilisables par les utilisateurs finals
bull Surveiller et Evaluer (SE) surveille tous les processus pour sassurer que lorientation fournie est respecteacutee
PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la strateacutegie et la tactique et vise agrave identifier la meilleure maniegravere pour les SI de contribuer agrave atteindre les objectifs meacutetiers de lentreprise La mise en œuvre de la vision strateacutegique doit ecirctre planifieacutee communiqueacutee et geacutereacutee selon diffeacuterentes perspectives Il faut mettre en place une organisation adeacutequate ainsi quune infrastructure technologique Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Les strateacutegies de lentreprise et de linformatique sont-elles aligneacutees bull Lentreprise fait-elle un usage optimum de ses ressources bull Est-ce que tout le monde dans lentreprise comprend les objectifs de linformatique bull Les risques informatiques sont-ils compris et geacutereacutes bull La qualiteacute des systegravemes informatiques est-elle adapteacutee aux besoins meacutetiers
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 12
CADRE DE REacuteFEacuteRENCE ACQUEacuteRIR ET IMPLEacuteMENTER (AI) Le succegraves de la strateacutegie informatique neacutecessite didentifier de deacutevelopper ou dacqueacuterir des solutions informatiques de les mettre en œuvre et de les inteacutegrer aux processus meacutetiers Ce domaine recouvre aussi la modification des systegravemes existants ainsi que leur maintenance afin decirctre sucircr que les solutions continuent decirctre en adeacutequation avec les objectifs meacutetiers Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Est-on sucircr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins meacutetiers bull Est-on sucircr que les nouveaux projets aboutiront en temps voulu et dans les limites budgeacutetaires bull Les nouveaux systegravemes fonctionneront-ils correctement lorsquils seront mis en œuvre bull Les changements pourront-ils avoir lieu sans perturber les opeacuterations en cours
DEacuteLIVRER ET SUPPORTER (DS) Ce domaine sinteacuteresse agrave la livraison effective des services demandeacutes ce qui comprend lexploitation informatique la gestion de la seacutecuriteacute et de la continuiteacute le service dassistance aux utilisateurs et la gestion des donneacutees et des eacutequipements Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull Les services informatiques sont-ils fournis en tenant compte des prioriteacutes meacutetiers bull Les coucircts informatiques sont-ils optimiseacutes bull Les employeacutes sont-ils capables dutiliser les systegravemes informatiques de faccedilon productive et sucircre bull La confidentialiteacute linteacutegriteacute et la disponibiliteacute sont-elles mises en œuvre pour la seacutecuriteacute de linformation
SURVEILLER ET EacuteVALUER (SE) Tous les processus informatiques doivent ecirctre reacuteguliegraverement eacutevalueacutes pour veacuterifier leur qualiteacute et leur conformiteacute par rapport aux speacutecifications de controcircle Ce domaine sinteacuteresse agrave la gestion de la performance agrave la surveillance du controcircle interne au respect des normes reacuteglementaires et agrave la gouvernance Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull La performance de linformatique est-elle mesureacutee de faccedilon agrave ce que les problegravemes soient mis en eacutevidence avant quil ne soit trop tard bull Le management sassure-t-il que les controcircles internes sont efficaces et efficients bull La performance de linformatique peut-elle ecirctre relieacutee aux objectifs meacutetiers bull Des controcircles de confidentialiteacute dinteacutegriteacute et de disponibiliteacute approprieacutes sont-ils mis en place pour la seacutecuriteacute de linformation
Agrave travers ces quatre domaines COBIT a identifieacute 34 processus informatiques geacuteneacuteralement utiliseacutes (pour obtenir la liste complegravete reportezshyvous agrave la figure 22) La plupart des entreprises ont deacutefini des responsabiliteacutes visant agrave planifier mettre en place faire fonctionner et surveiller les activiteacutes informatiques et la plupart disposent des mecircmes processus cleacutes En revanche peu dentre elles auront la mecircme structure de processus ou appliqueront la totaliteacute des 34 processus COBIT COBIT fournit la liste complegravete des processus qui peuvent permettre de veacuterifier lexhaustiviteacute des activiteacutes et des responsabiliteacutes Toutefois il nest pas neacutecessaire de les appliquer tous et en outre ils peuvent ecirctre combineacutes selon les besoins de chaque entreprise
Chacun de ces 34 processus est lieacute aux objectifs meacutetiers et aux objectifs informatiques qui sont pris en charge Des informations sont eacutegalement fournies sur la faccedilon dont les objectifs peuvent ecirctre mesureacutes sur les activiteacutes cleacutes et les principaux livrables et sur les personnes qui en sont responsables
Baseacute sur des controcircles
COBIT deacutefinit les objectifs de controcircle pour les 34 processus ainsi que des controcircles meacutetiers et des controcircles applicatifs preacutedominants
LES PROCESSUS ONT BESOIN DE CONTROcircLES On deacutefinit le controcircle comme les politiques les proceacutedures les pratiques et les structures organisationnelles conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes
Les objectifs de controcircle des SI fournissent un large eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique Ces exigences bull prennent la forme dannonces de la direction visant agrave accroicirctre la valeur ou agrave reacuteduire le risque bull se composent de politiques proceacutedures pratiques et structures organisationnelles bull sont conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront
preacutevenus ou deacutetecteacutes et corrigeacutes
La direction de lentreprise doit faire des choix concernant ces objectifs de controcircle en bull seacutelectionnant ceux qui sont applicables bull deacutesignant ceux qui seront mis en œuvre bull choisissant la faccedilon de les mettre en œuvre (freacutequence dureacutee automatisation etc) bull acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient sappliquer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 13
Normes
Standards
Objectifs
Comparer Processus
Figure 9 ndash Modegravele de controcircle ndash
COBIT41 On peut sappuyer sur le modegravele de controcircle standard illustreacute par la figure 9 Il suit les principes eacutevidents de lanalogie suivante Apregraves reacuteglage du thermostat dambiance (standard) du systegraveme de chauffage (processus) le systegraveme veacuterifie en permanence (comparer) la tempeacuterature de la piegravece (information de controcircle) et deacuteclenche eacuteventuellement laction dadapter la tempeacuterature (agir)
La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables commerciaux de disposer dun modegravele de reacutefeacuterence commun Pour que cette gouvernance soit efficace la direction informatique doit mettre en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Puisque les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus informatiques et les controcircles informatiques
Figure 9 Modegravele de controcircle
Normes
Standards
Objectifs
AAGGIIRR
CCOONNTTRROcircOcircLLEERR LLrsquorsquoIINNFFOORRMMAATTIIOONN
Comparer Processus
Chacun des processus informatiques de COBIT est associeacute agrave une description et agrave un certain nombre dobjectifs de controcircle Tous ensemble ils sont caracteacuteristiques dun processus bien geacutereacute
Les objectifs de controcircle sont identifieacutes par un domaine de reacutefeacuterence agrave deux caractegraveres (PO AI DS et SE) plus un numeacutero de processus et un numeacutero dobjectif de controcircle En plus des objectifs de controcircle chaque processus COBIT se reacutefegravere agrave des exigences de controcircle geacuteneacuteriques deacutesigneacutees par PCn pour Processus de Controcircle numeacutero n Il faut les prendre en compte en mecircme temps que les objectifs de controcircle du processus pour avoir une vision complegravete des exigences de controcircle
PC1 Buts et objectifs du processus Deacutefinir et communiquer des buts et objectifs speacutecifiques mesurables incitatifs reacutealistes axeacutes sur les reacutesultats et opportuns (SMARRT Specific Measurable Actionable Realistic Results-oriented and Timely) pour lexeacutecution efficace de chaque processus informatique Sassurer quils sont relieacutes aux objectifs meacutetiers et soutenus par des meacutetriques adapteacutees
PC2 Proprieacuteteacute des processus Affecter un proprieacutetaire agrave chaque processus informatique et deacutefinir clairement les rocircles et les responsabiliteacutes du proprieacutetaire du processus Inclure par exemple la charge de conception du processus dinteraction avec les autres processus la responsabiliteacute du reacutesultat final leacutevaluation des performances du processus et lidentification des possibiliteacutes dameacutelioration
PC3 Reproductibiliteacute du processus Deacutefinir et mettre en place chaque processus informatique cleacute de faccedilon agrave ce quil soit reproductible et quil produise invariablement les reacutesultats escompteacutes Fournir un enchaicircnement logique flexible et eacutevolutif dactiviteacutes qui conduiront aux reacutesultats souhaiteacutes et suffisamment souple pour geacuterer les exceptions et les urgences Si possible utiliser des processus coheacuterents et personnaliser uniquement si cest ineacutevitable
PC4 Rocircles et Responsabiliteacutes Deacutefinir les activiteacutes cleacutes et les livrables finaux du processus Attribuer et communiquer des rocircles et responsabiliteacutes non ambigus pour une exeacutecution efficace et efficiente des activiteacutes cleacutes et de leur documentation ainsi que la responsabiliteacute des livrables finaux du processus
PC5 Politique Plans et Proceacutedures Deacuteterminer et indiquer comment tous les plans les politiques et les proceacutedures qui geacutenegraverent un processus informatique sont documenteacutes eacutetudieacutes geacutereacutes valideacutes stockeacutes communiqueacutes et utiliseacutes pour la formation Reacutepartir les responsabiliteacutes pour chacune de ces activiteacutes et au moment opportun veacuterifier si elles sont correctement effectueacutees Sassurer que les politiques plans et proceacutedures sont accessibles corrects compris et agrave jour
PC6 Ameacutelioration des performances du processus Identifier un ensemble de meacutetriques fournissant des indications sur les reacutesultats et les performances du processus Deacutefinir des cibles refleacutetant les objectifs du processus et des indicateurs de performance permettant datteindre les objectifs du processus Deacutefinir le mode dobtention des donneacutees Comparer les mesures reacuteelles et les objectifs et si neacutecessaire prendre des mesures pour corriger les eacutecarts Aligner les meacutetriques les objectifs et les meacutethodes avec lapproche globale de surveillance des performances des SI
Des controcircles efficaces reacuteduisent les risques ameacuteliorent la probabiliteacute de fournir de la valeur et ameacuteliorent lefficience En effet les erreurs seront moins nombreuses et lapproche manageacuteriale sera plus coheacuterente
COBIT y ajoute des exemples pour chaque processus ces exemples ont pour but dillustrer mais pas de prescrire ni decirctre exhaustifs bull entreacutees et sorties geacuteneacuteriques de donneacuteesinformations bull activiteacutes et conseils sur les rocircles et les responsabiliteacutes dans un tableau RACI (Responsable Approuve est Consulteacute est Informeacute) bull objectifs des activiteacutes cleacutes (les choses les plus importantes agrave faire) bull meacutetriques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 14
CADRE DE REacuteFEacuteRENCE Outre la neacutecessiteacute de savoir quels controcircles leur sont neacutecessaires les proprieacutetaires de processus doivent pouvoir dire de quels eacuteleacutements ils ont besoin en entreacutee de la part des autres processus et ce que leurs processus doivent ecirctre capables de fournir aux autres processus COBIT propose des exemples geacuteneacuteriques dentreacutees et de sorties essentiels pour chaque processus qui concernent aussi les services informatiques externes Certaines sorties sont des entreacutees pour tous les autres processus et sont repeacutereacutes par la mention TOUS dans les tableaux de sorties mais ils ne sont pas mentionneacutes comme des entreacutees dans tous les processus cela concerne geacuteneacuteralement les standards de qualiteacute et les impeacuteratifs de mesure le cadre de reacutefeacuterence des processus informatiques les rocircles et responsabiliteacutes deacutetailleacutes le cadre de controcircle de linformatique de lentreprise la politique informatique et les rocircles et responsabiliteacutes du personnel
Comprendre les rocircles et responsabiliteacutes pour chaque processus est fondamental pour une gouvernance efficace COBIT propose un tableau RACI pour chaque processus Garant sapplique au responsable en dernier ressort celui qui donne les orientations et qui autorise une activiteacute Responsable sapplique agrave celui qui fait exeacutecuter la tacircche Les deux autres rocircles (Consulteacute et Informeacute) sappliquent agrave tous ceux qui doivent savoir ce qui se passe et qui doivent soutenir le processus
CONTROcircLES MEacuteTIERS ET CONTROcircLES INFORMATIQUES Le systegraveme de controcircle interne de lentreprise a un impact sur les SI agrave trois niveaux bull Au niveau de la direction geacuteneacuterale on fixe les objectifs meacutetiers on eacutetablit les politiques et on prend les deacutecisions sur la faccedilon de deacuteployer
les ressources de lentreprise pour mettre en œuvre sa strateacutegie Cest le conseil dadministration qui deacutefinit lapproche de gouvernance et de controcircle et qui les diffuse dans lensemble de lentreprise Ce sont ces ensembles de politiques et dobjectifs geacuteneacuteraux qui orientent lenvironnement de controcircle des SI
bull Au niveau des processus meacutetiers les controcircles sappliquent agrave des activiteacutes speacutecifiques de lentreprise La plupart des processus meacutetiers sont automatiseacutes et inteacutegreacutes agrave des applications informatiques ce qui entraicircne que de nombreux controcircles sont eux aussi automatiseacutes agrave ce niveau On les appelle des controcircles applicatifs Certains controcircles de processus meacutetiers restent cependant des proceacutedures manuelles comme les autorisations de transactions la seacuteparation des tacircches et les rapprochements manuels Les controcircles au niveau des processus meacutetiers sont donc une combinaison de controcircles manuels effectueacutes par lentreprise et de controcircles meacutetiers et applicatifs automatiseacutes La responsabiliteacute de ces deux types de controcircles appartient donc aux meacutetiers mecircme si les controcircles applicatifs ont besoin de la fonction informatique pour permettre leur conception et leur deacuteveloppement
bull Pour assister les processus meacutetiers linformatique fournit des services habituellement au sein dun service commun agrave de nombreux processus meacutetiers puisquune grande partie du deacuteveloppement et des processus informatiques sont fournis agrave lensemble de lentreprise et que la majeure partie de linfrastructure informatique constitue un service commun (par ex reacuteseaux bases de donneacutees systegravemes dexploitation et archivage) On appelle controcircles geacuteneacuteraux informatiques les controcircles qui sappliquent agrave toutes les activiteacutes de services informatiques La fiabiliteacute de ces controcircles geacuteneacuteraux est neacutecessaire pour que lon puisse se fier aux controcircles applicatifs Par exemple une mauvaise gestion des changements pourrait mettre en peacuteril (accidentellement ou volontairement) la fiabiliteacute des veacuterifications dinteacutegriteacute automatiques
CONTROcircLES GEacuteNEacuteRAUX INFORMATIQUES ET CONTROcircLES APPLICATIFS Les controcircles geacuteneacuteraux sont ceux qui sont inteacutegreacutes aux processus et aux services informatiques Ils concernent par exemple bull le deacuteveloppement des systegravemes bull la gestion des changements bull la seacutecuriteacute bull lexploitation
On appelle communeacutement controcircles applicatifs les controcircles inteacutegreacutes aux applications des processus meacutetiers Ils concernent par exemple bull lexhaustiviteacute bull lexactitude bull la validiteacute bull lautorisation bull la seacuteparation des tacircches
COBIT considegravere que la conception et la mise en place de controcircles applicatifs automatiseacutes sont de la responsabiliteacute de linformatique Elles relegravevent du domaine Acqueacuterir et Impleacutementer et se basent sur les exigences meacutetiers deacutefinies selon les critegraveres dinformation de COBIT comme lindique la figure 10 La gestion opeacuterationnelle et la responsabiliteacute des controcircles applicatifs ne relegravevent pas de linformatique mais des proprieacutetaires des processus meacutetiers
De ce fait les controcircles applicatifs relegravevent dune responsabiliteacute commune de bout en bout entre meacutetiers et informatique mais la nature des responsabiliteacutes se diffeacuterencie comme suit bull La partie meacutetiers est chargeacutee minus de deacutefinir correctement les exigences de fonctionnement et de controcircle minus dutiliser les services automatiseacutes agrave bon escient bull La partie informatique est chargeacutee minus dautomatiser et de mettre en œuvre les exigences meacutetiers de fonctionnement et de controcircle minus de mettre en place des controcircles pour maintenir linteacutegriteacute des controcircles applicatifs
Par conseacutequent les processus informatiques de COBIT englobent les controcircles geacuteneacuteraux informatiques mais uniquement les aspects lieacutes au deacuteveloppement des controcircles applicatifs Les processus meacutetiers sont chargeacutes de la deacutefinition et de lexploitation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 15
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Figure 10 ndash Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcirclesmeacutetiers
Controcirclesmeacutetiers
ndash
COBIT41 Figure 10 Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Controcircles meacutetiers
Exigences de
fonctionnement
Exigences de
controcircle
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeee lllrsquorsquorsquoiiinnnfffooorrrmmmaaatttiiiqqquuueee
Controcircles geacuteneacuteraux informatiques Controcircles meacutetiers
Controcircles applicatifs
Services automatiseacutes
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
La liste suivante fournit un ensemble dobjectifs de controcircle applicatifs recommandeacutes Ils sont identifieacutes par un numeacutero CAn pour Controcircle Applicatif numeacutero n
CA1 Autorisation et preacuteparation des donneacutees source Sassurer que les documents source sont preacutepareacutes par le personnel qualifieacute et autoriseacute en respectant les proceacutedures eacutetablies en tenant compte de la seacuteparation adeacutequate des tacircches entre la geacuteneacuterationcreacuteation et la validation de ces documents La bonne conception des masques de saisie permet de reacuteduire les erreurs et omissions Deacutetecter les erreurs et les anomalies de faccedilon agrave pouvoir les signaler et les corriger
CA2 Collecte et saisie des donneacutees source Preacutevoir que la saisie des donneacutees sera effectueacutee en temps utile par le personnel autoriseacute et qualifieacute La correction et la ressaisie des donneacutees erroneacutees doivent ecirctre effectueacutees sans compromettre le niveau dorigine dautorisation des transactions Si la reconstruction des donneacutees le requiert conserver les documents source dorigine pendant un laps de temps adeacutequat
CA3 Veacuterifications dexactitude dexhaustiviteacute et dauthenticiteacute Sassurer que les transactions sont exactes complegravetes et valides Valider les donneacutees saisies et modifier ou renvoyer pour correction aussi pregraves que possible du point de creacuteation
CA4 Inteacutegriteacute et validiteacute du traitement Maintenir linteacutegriteacute et la validiteacute des donneacutees tout au long du cycle de traitement La deacutetection des transactions erroneacutees ninterrompt pas le traitement des transactions valides
CA5 Veacuterification des sorties rapprochement et traitement des erreurs Eacutetablir des proceacutedures et les responsabiliteacutes connexes pour sassurer que le traitement des donneacutees en sortie est ducircment effectueacute que ces donneacutees sont transmises au destinataire approprieacute et proteacutegeacutees lors de leur transmission que la veacuterification la deacutetection et la correction de lexactitude des donneacutees en sortie a lieu et que les informations fournies dans ces donneacutees sont utiliseacutees
CA6 Authentification et inteacutegriteacute des transactions Avant deacutechanger des donneacutees de transaction entre les applications internes et les fonctions meacutetiersfonctions opeacuterationnelles (dans lentreprise ou en dehors) veacuterifier lexactitude des destinataires lauthenticiteacute de loriginal et linteacutegriteacute du contenu Maintenir lauthenticiteacute et linteacutegriteacute lors de la transmission ou du transport
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 16
CADRE DE REacuteFEacuteRENCE Fondeacute sur la mesure
Toute entreprise a un besoin vital dappreacutehender leacutetat de ses propres systegravemes informatiques et de deacutecider quel niveau de management et de controcircle elle doit assurer Pour deacuteterminer le bon niveau le management doit se demander jusquougrave doit-on aller et les beacuteneacutefices justifientshyils les coucircts
Obtenir une vue objective du niveau de performance dune entreprise nest pas chose aiseacutee Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer ougrave elles en sont et ougrave il faut apporter des ameacuteliorations et il leur faut des outils de gestion pour surveiller ces ameacuteliorations COBIT traite ces questions en fournissant bull des modegraveles de maturiteacute pour permettre de se comparer et de deacutefinir lameacutelioration neacutecessaire des capaciteacutes bull des objectifs de performances et des meacutetriques pour les processus informatiques qui montrent jusquagrave quel point les processus permettent
datteindre les objectifs meacutetiers et les objectifs informatiques ils servent agrave mesurer la performance des processus internes selon les principes du tableau de bord eacutequilibreacute
bull des objectifs dactiviteacute pour favoriser une performance efficace des processus
MODEgraveLES DE MATURITEacute On demande de plus en plus aux directions geacuteneacuterales des entreprises publiques et priveacutees de sinterroger sur la bonne gestion de leur informatique Pour reacutepondre agrave cette attente des analyses doptimisation de rentabiliteacute concluent agrave la neacutecessiteacute dameacuteliorer cette gestion et datteindre le niveau approprieacute de gestion et de controcircle de linfrastructure informatique Comme peu dentre elles oseraient dire que ce nest pas une bonne chose elles doivent analyser leacutequilibre coucirctsbeacuteneacutefices et se poser les questions suivantes bull Que font nos confregraveresconcurrents et comment sommes-nous positionneacutes par rapport agrave eux bull Quelles sont les bonnes pratiques acceptables du marcheacute et comment nous situons-nous par rapport agrave elles bull Dapregraves ces comparaisons peut-on dire que nous en faisons assez bull Comment identifie-t-on ce quil y a agrave faire pour atteindre un niveau approprieacute de gestion et de controcircle de nos processus informatiques
Il peut ecirctre difficile dapporter des reacuteponses directes agrave ces questions La direction informatique est sans cesse agrave la recherche doutils dautoeacutevaluation et de tests comparatifs pour reacutepondre agrave la neacutecessiteacute didentifier les actions efficaces agrave entreprendre et la faccedilon de les mener efficacement Agrave partir des processus COBIT le proprieacutetaire dun processus doit ecirctre en mesure de se comparer sur une eacutechelle vis-agrave-vis de cet objectif de controcircle Ceci reacutepond agrave trois besoins 1 une mesure relative de la situation actuelle de lentreprise 2 une maniegravere efficace de deacutesigner le but agrave atteindre 3 un outil permettant de mesurer la progression vers lobjectif
Lutilisation des modegraveles de maturiteacute pour la gestion et le controcircle des processus informatiques se base sur une meacutethode deacutevaluation permettant de noter une entreprise selon un niveau de maturiteacute gradueacute de 0 agrave 5 (dInexistant agrave Optimiseacute) Cette approche est baseacutee sur le Modegravele de Maturiteacute que le Software Engineering Institute (SEI) a conccedilu pour mesurer la capaciteacute agrave deacutevelopper des logiciels Mecircme si les concepts de la meacutethode du SEI ont eacuteteacute respecteacutes la mise en œuvre de COBIT preacutesente des diffeacuterences importantes par rapport agrave la deacutemarche initiale du SEI qui eacutetait axeacutee sur les principes dingeacutenierie logicielle les entreprises sefforccedilant datteindre un niveau dexcellence dans ces domaines et leacutevaluation officielle des niveaux de maturiteacute de faccedilon agrave pouvoir certifier les deacuteveloppeurs de logiciels COBIT fournit une deacutefinition geacuteneacuterique de leacutechelle de maturiteacute COBIT qui est similaire au CMM mais interpreacuteteacutee en tenant compte des processus de gestion informatique de COBIT Un modegravele speacutecifique est fourni agrave partir de cette eacutechelle geacuteneacuterique pour chacun des 34 processus COBIT Quel que soit le modegravele les eacutechelles ne doivent pas ecirctre trop fines au risque de rendre le systegraveme difficile agrave utiliser en requeacuterant une preacutecision inutile En effet le but est geacuteneacuteralement de trouver ougrave se situent les problegravemes et comment eacutetablir des prioriteacutes pour les reacutesoudre Le but nest pas deacutevaluer le niveau dadheacutesion aux objectifs de controcircle
Les niveaux de maturiteacute sont conccedilus comme des profils de processus informatiques que lentreprise peut reconnaicirctre comme des situations existantes ou futures Ils ne sont pas conccedilus pour ecirctre utiliseacutes comme des modegraveles par seuils qui exigeraient que toutes les conditions du niveau infeacuterieur soient remplies pour acceacuteder au niveau suivant Avec les modegraveles de maturiteacute COBIT contrairement agrave la deacutemarche CMM initiale du SEI lintention nest pas de mesurer preacuteciseacutement les niveaux ni dessayer de certifier quun niveau a eacuteteacute preacuteciseacutement atteint Une eacutevaluation de maturiteacute COBIT est susceptible de geacuteneacuterer un profil dans lequel les conditions relatives agrave plusieurs niveaux de maturiteacute seront remplies comme le montre le graphique de la figure 11
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 17
ndash rsquo
ndash
COBIT41
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesenteencore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance(niveau 4) et lrsquooptimisation (niveau 5)
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesente encore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance (niveau 4) et lrsquooptimisation (niveau 5)
Figure 11 Niveau de maturiteacute possible d un processus informatique
En effet en cas deacutevaluation de la maturiteacute agrave laide des modegraveles COBIT il arrive souvent quune mise en œuvre soit en place agrave diffeacuterents niveaux mecircme si elle est incomplegravete ou insuffisante Ces atouts peuvent ecirctre mis agrave profit pour ameacuteliorer encore davantage la maturiteacute Par exemple certains eacuteleacutements du processus peuvent ecirctre bien deacutefinis et mecircme sil est incomplet il serait trompeur de dire que le processus nest pas du tout deacutefini
En utilisant les modegraveles de maturiteacute deacutefinis pour chacun des 34 processus informatiques de COBIT le management peut mettre en eacutevidence bull leacutetat actuel de lentreprise ougrave elle se situe aujourdhui bull leacutetat actuel du marcheacute la comparaison bull lambition de lentreprise ougrave elle veut se situer bull la trajectoire de croissance requise entre les situations en cours et les situations cibles
Pour exploiter facilement ces reacutesultats dans les reacuteunions de direction ougrave ils seront preacutesenteacutes comme une aide agrave la deacutecision pour des plans futurs il convient dutiliser une meacutethode de preacutesentation graphique (figure 12)
Figure 12 Repreacutesentation graphique des modegraveles de maturiteacute
IInneexxiissttaanntt IInniittiiaalliisseacuteeacute
ccaass ppaarr ccaass RReepprorodduuccttiibbllee mmaaiiss iinnttuuiittiiff
PProrocceessssuuss ddeacuteeacuteffiinnii
GGeacuteeacuterreacuteeacute eett mmeessuurarabbllee OOppttiimmiisseacuteeacute
000 111 222 333 444 555
LLEacuteEacuteGGEENNDDEE DDEESS SSYYMMBBOOLLEESS UUTTIILLIISSEacuteEacuteSS
EacuteEacutettatat actactuuelel ddee llrsquorsquoenenttrreepprriisese
MMeieilllleueurree pprratatiiqquuee dduu mmararchcheacuteeacute
SSttrratateacuteeacuteggiiee ddee llrsquorsquoenenttrrepeprriissee
LLEacuteEacuteGGEENNDDEE UUTTIILLIISSEacuteEacuteEE PPOOUURR LLEE CCLLAASSSSEEMMEENNTT
00mdashmdashLLeess pprroocesscessuuss ddee mmananagagememenentt nnee sosonntt ppasas apappplliiqquueacuteseacutes dduu ttoouutt 11mdashmdashLLeess pprroocesscessuuss ssoonntt mmiiss enen œœuuvrvree auau cascas pparar cascas etet sansanss mmeacuteeacutetthhooddee 22mdashmdashLLeess pprroocesscessuuss ssuuiivenventt uunn mmecircmecircmee mmooddegravelegravelee 33mdashmdashLLeses pprroocessucessuss ssoonntt ddooccuummenentteacuteseacutes etet cocommmmuunniiqquueacuteseacutes 44mdashmdashLLeess pprroocesscessuuss ssoonntt susurrveiveilllleacuteeacutess etet mmesuesurreacuteseacutes 55mdashmdashLLeess bboonnnneses pprraattiiqquueses sosonntt susuiivivieses etet aauuttoommaattiisseacuteeseacutees
Leacutelaboration de cette repreacutesentation graphique sinspire du modegravele de maturiteacute geacuteneacuterique preacutesenteacute dans la figure 13
COBIT est un cadre de reacutefeacuterence conccedilu pour la gestion des processus informatiques et tregraves axeacute sur le controcircle Ces eacutechelles doivent ecirctre commodes agrave utiliser et faciles agrave comprendre La question de la gestion des processus informatiques est complexe par nature et subjective on lapproche par conseacutequent mieux en favorisant une prise de conscience au moyen doutils deacutevaluation faciles agrave utiliser qui entraicircneront un large consensus et une motivation pour progresser Ces eacutevaluations peuvent se faire soit par comparaison avec les intituleacutes geacuteneacuteraux des niveaux de maturiteacute soit de faccedilon plus rigoureuse en examinant chaque proposition individuelle de ces descriptifs Dans les deux cas il est neacutecessaire dutiliser lexpertise de lentreprise pour le processus eacutevalueacute
Lavantage dune approche baseacutee sur les modegraveles de maturiteacute est quelle permet assez facilement au management de se situer lui-mecircme sur leacutechelle et dappreacutecier les moyens agrave mettre en œuvre pour ameacuteliorer les performances Leacutechelle commence par le degreacute zeacutero parce quil est tregraves possible quil nexiste aucun processus Elle est baseacutee sur une eacutechelle de maturiteacute simple qui montre comment eacutevolue un processus dinexistant (0) agrave optimiseacute (5)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 18
ndash
ndash
CADRE DE REacuteFEacuteRENCE Cependant la capaciteacute agrave geacuterer les processus est diffeacuterente de la performance des processus La capaciteacute requise deacutetermineacutee par les meacutetiers et les objectifs informatiques na pas toujours besoin decirctre appliqueacutee au mecircme niveau dans tout lenvironnement informatique cest-agrave-dire pas systeacutematiquement ou seulement agrave un nombre limiteacute de systegravemes ou duniteacutes La mesure de performance expliqueacutee dans les paragraphes qui suivent est essentielle pour deacuteterminer la veacuteritable performance de lentreprise pour ses processus informatiques
Figure 13 Modegravele de Maturiteacute Geacuteneacuterique
0 Inexistant Absence totale de processus identifiables Lrsquoentreprise nrsquoa mecircme pas pris conscience qursquoil srsquoagissait drsquoun problegraveme agrave eacutetudier
1 InitialiseacuteCas par cas On constate que lrsquoentreprise a pris conscience de lrsquoexistence du problegraveme et de la neacutecessiteacute de lrsquoeacutetudier Il nrsquoexiste toutefois aucun processus standardiseacute mais des deacutemarches dans ce sens tendent agrave ecirctre entreprises individuellement ou cas par cas Lrsquoapproche globale du management nrsquoest pas organiseacutee
2 Reproductible mais intuitif Des processus se sont deacuteveloppeacutes jusqursquoau stade ougrave des personnes diffeacuterentes exeacutecutant la mecircme tacircche utilisent des proceacutedures similaires Il nrsquoy a pas de formation organiseacutee ni de communication des proceacutedures standard et la responsabiliteacute et laisseacutee agrave lrsquoindividu On se repose beaucoup sur les connaissances individuelles drsquoougrave un risque drsquoerreurs
3 Processus deacutefini On a standardiseacute documenteacute et communiqueacute des processus via des seacuteances de formation Ces processus doivent impeacuterativement ecirctre suivis toutefois des eacutecarts seront probablement constateacutes Concernant les proceacutedures elles-mecircmes elles ne sont pas sophistiqueacutees mais formalisent des pratiques existantes
4 Geacutereacute et mesurable La direction controcircle et mesure la conformiteacute aux proceacutedures et agit lorsque certains processus semblent ne pas fonctionner correctement Les processus sont en constante ameacutelioration et correspondent agrave une bonne pratique Lrsquoautomatisation et les outils sont utiliseacutes drsquoune maniegravere limiteacutee ou partielle
5 Optimiseacute Les processus ont atteint le niveau des bonnes pratiques suite agrave une ameacutelioration constante et agrave la comparaison avec drsquoautres entreprises (Modegraveles de Maturiteacute) Lrsquoinformatique est utiliseacutee comme moyen inteacutegreacute drsquoautomatiser le flux des tacircches offrant des outils qui permettent drsquoameacuteliorer la qualiteacute et lrsquoefficaciteacute et de rendre lrsquoentreprise rapidement adaptable
Mecircme si une capaciteacute correctement mise en œuvre reacuteduit deacutejagrave les risques une entreprise a tout de mecircme besoin danalyser les controcircles neacutecessaires pour ecirctre sucircre que les risques sont limiteacutes et que la valeur est obtenue en tenant compte de lappeacutetence pour le risque et des objectifs meacutetiers Le choix de ces controcircles est faciliteacute par les objectifs de controcircle de COBIT Lannexe III propose un modegravele de maturiteacute qui illustre la maturiteacute dune entreprise en ce qui concerne la mise en place et la performance du controcircle interne Cette analyse constitue souvent une reacuteponse agrave des facteurs externes mais ideacutealement elle devrait ecirctre institueacutee et documenteacutee par les processus COBIT PO6 Faire connaicirctre les buts et les orientations du management et SE2 Surveiller et eacutevaluer le controcircle interne
Capaciteacute couverture et controcircle sont les trois dimensions de la maturiteacute dun processus comme le montre la figure 14
Figure 14 Les trois dimensions de la maturiteacute
Risque et conformiteacute
QUOI (controcircle)
100
4
3
2
1
5
0
Inducteurs primaires
Mission et objectifs
informatique
Retour sur investissements et rentabiliteacute
COMBIEN (couverture)
COMMENT (capaciteacute)
Le modegravele de maturiteacute est un moyen de mesurer le niveau de deacuteveloppement des processus de management autrement dit leur capaciteacute reacuteelle Leur niveau de deacuteveloppement ou de capaciteacute deacutepend essentiellement des objectifs informatiques et des besoins meacutetiers sous-jacents quils sont supposeacutes satisfaire La capaciteacute reacuteellement deacuteployeacutee deacutepend largement du retour quune entreprise attend de ses investissements Par exemple il y a des processus et des systegravemes strateacutegiques qui neacutecessitent une gestion de la seacutecuriteacute plus importante et plus stricte que dautres qui sont moins essentiels Dautre part le degreacute et la sophistication des controcircles agrave appliquer agrave un processus sont davantage induits par lappeacutetence pour le risque de lentreprise et par les impeacuteratifs de conformiteacute applicables
Les eacutechelles des modegraveles de maturiteacute aideront les professionnels agrave expliquer aux dirigeants ougrave se situent les points faibles de la gestion des processus informatiques et agrave deacutesigner le niveau que ceux-ci doivent atteindre Le bon niveau de maturiteacute deacutependra des objectifs meacutetiers de lentreprise de lenvironnement opeacuterationnel et des pratiques du secteur En particulier le niveau de maturiteacute de la gestion deacutependra de la deacutependance de lentreprise vis-agrave-vis de linformatique du niveau de sophistication de ses technologies et avant tout de la valeur de ses informations
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 19
COBIT41 Une entreprise deacutesireuse dameacuteliorer la gestion et le controcircle de ses processus informatiques peut trouver des reacutefeacuterences strateacutegiques en sinteacuteressant aux standards internationaux eacutemergents et aux meilleures pratiques Les pratiques eacutemergentes actuelles peuvent devenir le niveau de performance attendu de demain et par conseacutequent ecirctre utiles pour planifier les objectifs de positionnement dune entreprise dans le temps
Les modegraveles de maturiteacute sont creacuteeacutes agrave partir du modegravele qualitatif geacuteneacuteral (voir figure 13) auquel on ajoute progressivement de niveau en niveau des principes issus des attributs suivants bull sensibilisation et communication bull politiques plans et proceacutedures bull outils et automatisation bull compeacutetences et expertise bull responsabiliteacute opeacuterationnelle et responsabiliteacute finale bull deacutesignation des objectifs et meacutetriques
Le tableau des attributs de maturiteacute de la figure 15 reacutepertorie les caracteacuteristiques de la faccedilon dont les processus informatiques sont geacutereacutes et montre comment ils eacutevoluent dinexistant agrave optimiseacute On peut utiliser ces attributs pour une eacutevaluation plus complegravete pour lanalyse des eacutecarts et pour la planification des ameacuteliorations
En reacutesumeacute les modegraveles de maturiteacute proposent un profil geacuteneacuterique des eacutetapes au travers desquelles eacutevoluent les entreprises dans la gestion et le controcircle des processus informatiques Ils constituent bull un ensemble dexigences et les facteurs dapplication aux diffeacuterents niveaux de maturiteacute bull une eacutechelle qui permet de mesurer facilement les eacutecarts bull une eacutechelle qui se precircte agrave des comparaisons pragmatiques bull la base pour positionner les situations en cours et les situations cibles bull une aide pour deacuteterminer par lanalyse des eacutecarts les actions agrave entreprendre pour atteindre le niveau choisi bull pris tous ensemble une vision de la faccedilon dont linformatique est geacutereacutee dans lentreprise
Les modegraveles de maturiteacute COBIT se focalisent sur la maturiteacute mais pas neacutecessairement sur la couverture et lampleur du controcircle Ils ne constituent pas un record agrave eacutegaler ni une base pour se preacuteparer agrave une certification par petites eacutetapes avec des seuils difficiles agrave franchir Ils sont conccedilus pour ecirctre toujours applicables avec des niveaux qui deacutecrivent ce quune entreprise peut identifier comme le mieux adapteacute agrave ses processus Le juste niveau est deacutetermineacute par le type dentreprise lenvironnement et la strateacutegie
La couverture lampleur du controcircle et la faccedilon dont la capaciteacute est utiliseacutee et deacuteployeacutee constituent des deacutecisions coucirctbeacuteneacutefice Par exemple la gestion de la seacutecuriteacute agrave un eacutechelon eacuteleveacute peut navoir agrave se focaliser que sur les systegravemes de lentreprise les plus sensibles Un autre exemple serait le choix entre un examen manuel hebdomadaire et un controcircle automatiseacute permanent
Finalement mecircme si de plus hauts niveaux de maturiteacute augmentent le controcircle des processus lentreprise a toujours besoin danalyser en fonction des inducteurs de risque et de valeur quels meacutecanismes de controcircle elle doit mettre en œuvre Les objectifs meacutetiers et les objectifs informatiques geacuteneacuteriques deacutefinis dans ce cadre de reacutefeacuterence aideront agrave faire cette analyse Les meacutecanismes de controcircle sont guideacutes par les objectifs de controcircle de COBIT et sinteacuteressent en prioriteacute aux actions entreprises au cours du processus les modegraveles de maturiteacute se focalisent dabord sur lappreacuteciation de la qualiteacute de gestion dun processus Lannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lenvironnement de controcircle interne et leacutetablissement de controcircles internes dans une entreprise
On peut consideacuterer quun environnement de controcircle est bien adapteacute lorsquon a traiteacute les trois aspects de la maturiteacute capaciteacute couverture et controcircle Ameacuteliorer la maturiteacute reacuteduit les risques et ameacuteliore lefficience ce qui induit moins derreurs des processus plus preacutevisibles et une utilisation rentable des ressources
MESURE DE LA PERFORMANCE Les objectifs et les meacutetriques sont deacutefinis agrave trois niveaux dans COBIT bull les objectifs et les meacutetriques informatiques qui deacutefinissent les attentes de lentreprise vis-agrave-vis de linformatique et comment les mesurer bull les objectifs et les meacutetriques des processus qui deacutefinissent ce que le processus informatique doit fournir pour reacutepondre aux objectifs
informatiques et comment mesurer ces exigences bull les objectifs et les meacutetriques de lactiviteacute qui deacuteterminent les actions agrave entreprendre au sein du processus pour atteindre la performance
requise et comment les mesurer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 20
ndash
CA
DR
E D
E R
EacuteFEacute
RE
NC
E
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
1
2
3
4
5
Sensibilisation et communication
Politiques plans et proceacutedures Outils et automatisation Compeacutetences et expertise Responsabiliteacute opeacuterationnelle et
responsabiliteacute finale Deacutefinition des objectifs et
meacutetriques On commence agrave Lrsquoapproche par processus et les Il peut exister certains outils la On nrsquoa pas identifieacute quelles Les responsabiliteacutes opeacuterationnelles et Les objectifs ne sont pas clairs et rien reconnaicirctre la pratiques sont envisageacutees au cas par pratique se base sur les outils de compeacutetences eacutetaient neacutecessaires les responsabiliteacutes finales ne sont pas nrsquoest mesureacute neacutecessiteacute des cas bureautique standards au fonctionnement du processus deacutefinies Les gens srsquoattribuent la processus
Les processus et les politiques ne Il nrsquoy a pas drsquoapproche planifieacutee de Il nrsquoexiste pas de plan de formation proprieacuteteacute des problegravemes agrave reacutesoudre de leur propre initiative en fonction
On communique de sont pas deacutefinis lrsquoutilisation des outils et aucune formation nrsquoest des situations temps en temps sur officiellement organiseacutee ces questions On a conscience du On commence agrave utiliser des Il existe des approches communes de On a identifieacute les compeacutetences Une personne assume ses On fixe certains objectifs on mesure besoin drsquoagir processus semblables mais ils sont certains outils mais elles sont baseacutees minimales requises pour les responsabiliteacutes et en est certains flux financiers mais seul le
largement intuitifs car baseacutes sur sur des solutions deacuteveloppeacutees par domaines strateacutegiques habituellement tenue pour management est au courant On Le management lrsquoexpertise individuelle des individus cleacutes responsable (garante) mecircme si cela surveille certains secteurs isoleacutes mais communique sur les On fournit une formation en cas de nrsquoa pas eacuteteacute formellement convenu pas de faccedilon organiseacutee questions geacuteneacuterales Certains aspects des processus sont Des outils ont pu ecirctre acheteacutes chez besoin plutocirct que selon un plan Lorsque des problegravemes surviennent
reproductibles gracircce agrave lrsquoexpertise des fournisseurs mais ils ne sont approuveacute et certaines formations on ne sait plus qui est responsable et individuelle et il peut exister une sans doute pas utiliseacutes correctement informelles ont lieu ldquosur le tasrdquo une culture du blacircme a tendance agrave forme de documentation et de et sont peutshyecirctre mecircme des produits srsquoinstaller compreacutehension informelle de la imparfaitement adapteacutes politique et des proceacutedures F
igu
re 15 T
ableau
des attrib
uts d
e matu
riteacute
On a compris le besoin drsquoagir
Le management communique de faccedilon plus formelle et plus rigoureuse
On commence agrave utiliser les bonnes pratiques
On a deacutefini et documenteacute les processus les politiques et les proceacutedures pour toutes les activiteacutes cleacutes
On a deacutefini un plan drsquoutilisation et de standardisation des outils pour automatiser les processus
Les outils sont utiliseacutes pour leurs fonctions de base mais ne correspondent peutshyecirctre pas tous au plan adopteacute et ne sont peutshyecirctre pas capables de fonctionner les uns avec les autres
On a deacutefini et documenteacute les besoins en compeacutetences pour tous les secteurs
On a eacutelaboreacute un plan de formation officiel mais la formation reste baseacutee sur des initiatives individuelles
Les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et les proprieacutetaires de processus sont identifieacutes Le proprieacutetaire de processus nrsquoa vraisemblablement pas toute autoriteacute pour exercer ses responsabiliteacutes
On fixe certains objectifs drsquoefficaciteacute et on mesure cette efficaciteacute mais on ne communique pas dessus ces objectifs sont clairement relieacutes aux objectifs meacutetiers Des processus de mesures commencent agrave ecirctre utiliseacutes mais pas de faccedilon systeacutematique On adopte les ideacutees du tableau de bord eacutequilibreacute informatique et on utilise parfois lrsquoanalyse causale de maniegravere intuitive
On a pleinement compris les impeacuteratifs
On utilise des techniques abouties et des outils standards pour communiquer
Les processus sont sains et complets on applique les meilleures pratiques internes
Tous les aspects des processus sont documenteacutes et reproductibles Les politiques ont eacuteteacute approuveacutees et avaliseacutees par le management On a adopteacute des standards pour le deacuteveloppement et la gestion des processus et des proceacutedures et on les applique
Les outils sont mis en place selon un plan standardiseacute et certains fonctionnent avec drsquoautres outils dans le mecircme environnement
On utilise certains outils dans les domaines principaux pour automatiser la gestion des processus et pour surveiller les activiteacutes et les controcircles critiques
Les besoins en compeacutetences sont reacuteguliegraverement reacuteajusteacutes pour tous les secteurs on apporte des compeacutetences speacutecialiseacutees agrave tous les secteurs critiques et on encourage la certification
On applique des techniques de formation eacuteprouveacutees conformes au plan de formation et on encourage le partage des connaissances On implique tous les experts des domaines internes et on eacutevalue lrsquoefficaciteacute du plan de formation
Les responsabiliteacutes opeacuterationnelles et finales des processus sont accepteacutees et fonctionnent drsquoune faccedilon qui permet au proprieacutetaire de processus de sacquitter pleinement de ses responsabiliteacutes Il existe une culture de la reacutecompense qui motive un engagement positif dans lrsquoaction
On mesure lrsquoefficaciteacute et lrsquoefficience on communique sur ces questions qursquoon lie aux objectifs meacutetiers et au plan informatique strateacutegique On met en œuvre le tableau de bord eacutequilibreacute informatique dans certains secteurs sauf dans certains cas connus du management et on est en train de standardiser lrsquoanalyse causale Lrsquoameacutelioration continue commence agrave exister
On comprend tout agrave On applique les meilleures pratiques On utilise des progiciels standardiseacutes Lrsquoentreprise encourage Les proprieacutetaires de processus ont le Il existe un systegraveme de mesure de la fait les impeacuteratifs et on et standards externes dans lrsquoensemble de lrsquoentreprise formellement lrsquoameacutelioration pouvoir de prendre des deacutecisions et performance inteacutegreacute qui lie la anticipe sur les continue des compeacutetences selon drsquoagir Le fait drsquoaccepter des performance de lrsquoinformatique aux eacutevolutions La documentation des processus a
eacutevolueacute en workflow automatiseacute On a Les outils sont pleinement inteacutegreacutes entre eux pour supporter le
des objectifs personnels et drsquoentreprise clairement deacutefinis
responsabiliteacutes a eacuteteacute deacuteployeacute de faccedilon coheacuterente agrave tous les eacutechelons
objectifs meacutetiers par lrsquoapplication geacuteneacuterale du tableau de bord eacutequilibreacute
Il existe une standardiseacute et inteacutegreacute les processus processus de bout en bout de lrsquoentreprise informatique Le management prend communication proactive sur les tendances du moment on applique des techniques eacuteprouveacutees
les politiques et les proceacutedures pour permettre une gestion et des ameacuteliorations de tous les maillons de la chaicircne
On utilise des outils pour favoriser lrsquoameacutelioration des processus et pour deacutetecter automatiquement les cas drsquoexception au controcircle
La formation et lrsquoenseignement sappuient sur les meilleures pratiques externes et utilisent des concepts et des techniques de pointe Le partage des
systeacutematiquement note des exceptions et on applique lrsquoanalyse causale Lameacutelioration continue fait deacutesormais partie de la culture drsquoentreprise
et des outils inteacutegreacutes connaissances est une culture pour la communication drsquoentreprise et on deacuteploie des
systegravemes agrave base de connaissances On srsquoappuie sur lrsquoexpeacuterience drsquoexperts externes et drsquoentreprises leaders de la branche
21
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar un accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
ndash rsquo
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Figure 16 ndash Exemple de relation entre les objectifs
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
ndash
COBIT41 Les objectifs sont deacutefinis dans le sens descendant en ce sens que les objectifs meacutetiers deacutetermineront un certain nombre dobjectifs informatiques pour favoriser leur reacutealisation Un objectif informatique est atteint par un processus ou par linteraction de diffeacuterents processus Par conseacutequent les objectifs informatiques aident agrave deacutefinir les diffeacuterents objectifs de processus Dautre part chaque objectif de processus requiert un certain nombre dactiviteacutes eacutetablissant ainsi les objectifs de lactiviteacute La figure 16 fournit des exemples de liens entre les objectifs meacutetiers informatiques des processus et de lactiviteacute
Figure 16 Exemple de relation entre les objectifs
OOObbbjjjeeeccctttiiifff mmmeacuteeacuteeacutetttiiieeerrr
Maintenir la reacuteputation
et le leadership de lrsquorsquorsquorsquoentreprise
Srsquorsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
OOObbbjjjeeeccctttiiifff aaaccctttiiivvviiittteacuteeacuteeacute
Les termes ICO (indicateurs cleacutes dobjectif) et ICP (indicateurs cleacutes de performance) utiliseacutes dans les preacuteceacutedentes versions de COBIT ont eacuteteacute remplaceacutes par deux types de meacutetriques bull Les mesures de reacutesultats (anciens ICO) indiquent si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees quapregraves le reacutesultat et sont
correspondent donc agrave des indicateurs a posteriori bull Les indicateurs de performance (anciens ICP) indiquent si les objectifs ont des chances decirctre atteints Ils peuvent ecirctre mesureacutes avant la
manifestation du reacutesultat et correspondent donc agrave des indicateurs a priori
La figure 17 fournit des mesures de reacutesultats ou dobjectifs possibles pour lexemple utiliseacute
Figure 17 Mesures de reacutesultats possibles pour l exemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
Nombre drsquorsquorsquoincidents qui ont mis
lrsquorsquorsquoentreprise en difficulteacute vis---agrave---vis
des tiers
MMeessuurree ddee rreacuteeacutessuullttaatt
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
OObbjjeeccttiiff aaccttiivviitteacuteeacute
Nombre drsquorsquorsquoincidents informatiques reacuteels
qui ont eu un impact sur lrsquorsquorsquoactiviteacute
de lrsquorsquorsquoentreprise
MMeessuurree ddee rreacuteeacutessuullttaatt
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par un accegraves non autoriseacute
MMeessuurree ddee rreacuteeacutessuullttaatt
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee rreacuteeacutessuullttaatt
Les mesures de reacutesultats du niveau infeacuterieur deviennent les indicateurs de performance du niveau supeacuterieur Comme lillustre lexemple de la figure 16 une mesure de reacutesultat indiquant que la deacutetection et la reacutesolution dun accegraves non autoriseacute sont en bonne voie reacutevegravele eacutegalement que les services informatiques seront tregraves probablement capables de reacutesister aux attaques Ainsi la mesure de reacutesultat est devenue un indicateur de performance pour lobjectif de niveau supeacuterieur La figure 18 montre comment les mesures de reacutesultats deviennent des mesures de performance dans lexemple employeacute
Les mesures de reacutesultats deacutefinissent des indicateurs qui apregraves les faits reacutevegravelent agrave la direction si une activiteacute un processus ou une fonction informatique a atteint ses objectifs Les mesures de reacutesultats des fonctions informatiques sont souvent exprimeacutees en termes de critegraveres dinformation bull Disponibiliteacute des informations requises pour reacutepondre aux besoins meacutetiers de lentreprise bull Absence de risques vis-agrave-vis de linteacutegriteacute et la confidentialiteacute bull Rentabiliteacute des processus et des opeacuterations bull Confirmation de la fiabiliteacute de lefficaciteacute et de la conformiteacute
Les indicateurs de performance deacutefinissent les mesures qui deacuteterminent agrave quel point la performance de lactiviteacute de la fonction informatique ou du processus informatique lui donne des chances datteindre les objectifs Ce sont des indicateurs essentiels pour savoir si un objectif a des chances decirctre atteint ou non conditionnant ainsi les objectifs du niveau supeacuterieur Ils mesurent geacuteneacuteralement la disponibiliteacute des capaciteacutes des pratiques et des compeacutetences approprieacutees et le reacutesultat des activiteacutes sous-jacentes Par exemple un service fourni par les SI est un objectif pour les SI mais un indicateur de performance et une compeacutetence pour lentreprise Cest la raison pour laquelle les indicateurs de performance sont parfois deacutesigneacutes sous le nom dinducteurs de performance notamment dans les tableaux de bord eacutequilibreacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 22
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar des accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
ndash
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave l infrastructure
Nombre d incidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
Freacutequence des analyses du type d incidents de seacutecuriteacute agrave surveiller
Srsquoassurer que les services informatiques sont capables de reacutesister agrave des attaques et drsquoen surmonter les effets
Nombre drsquoincidents informatiques reacuteels qui ont eu un impact sur lrsquoactiviteacute de lrsquoentreprise
Maintenir la reacuteputation et le leadership de lrsquoentreprise
Nombre drsquoincidents qui ont mis lrsquoentreprise en
difficulteacute vis agrave vis des tiers
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
rsquo
rsquo
rsquo
rsquo rsquo
rsquo
rsquo rsquo
ndash
CADRE DE REacuteFEacuteRENCE Figure 18 Inducteurs de performance possibles pour lrsquoexemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
Nombre drsquorsquorsquoincidents informatiques reacuteels
ayant des conseacutequences
pour lrsquorsquorsquoentreprise
MMeessuurree ddee ppeerrffoorrmmaannccee
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par des accegraves non autoriseacute
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee ppeerrffoorrmmaannccee MMeessuurree ddee ppeerrffoorrmmaannccee
iiinnnddduuuiiittt
iiinnnddduuuiiittt
iiinnnddduuuiiittt
Par conseacutequent les meacutetriques fournies constituent une mesure des reacutesultats de la fonction informatique du processus informatique ou de lobjectif dactiviteacute quelles eacutevaluent ainsi quun indicateur de performance induisant lobjectif de niveau supeacuterieur en matiegravere de fonction informatique de processus informatique ou dactiviteacute
La figure 19 illustre les relations entre les objectifs meacutetiers informatiques des processus et de lactiviteacute et les diffeacuterentes meacutetriques La deacuteclinaison des objectifs est illustreacutee den haut agrave gauche agrave en haut agrave droite Sous chaque objectif apparaicirct la mesure de reacutesultat de lobjectif La petite flegraveche indique que la mecircme meacutetrique est un indicateur de performance pour lobjectif de niveau supeacuterieur
Figure 19 Relations entre processus objectifs et meacutetriques (DS5)
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave lrsquorsquoinfrastructure
eesstt mmeessuurreacuteeacute ppaarr
Nombre drsquorsquoincidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
oobbjjeeccttiiff pprroocceessssuuss
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
eesstt mmeessuurreacuteeacute ppaarr
Freacutequence des analyses du type drsquorsquoincidents de seacutecuriteacute agrave surveiller
oobbjjeeccttiiff aaccttiivviitteacuteeacute
S assurer que les services informatiques sont capables de reacutesister agrave des attaques et d en surmonter les effets
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents informatiques reacuteels qui ont eu un impact sur l activiteacute de l entreprise
oobbjjeeccttiiff iinnffoorrmmaattiiqquuee
Maintenir la reacuteputation et le leadership de l entreprise
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents qui ont mis l entreprise en
difficulteacute vis agrave vis des tiers
oobbjjeeccttiiff mmeacuteeacutettiieerr
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
Lexemple fourni est tireacute de DS5 Assurer la seacutecuriteacute des systegravemes COBIT fournit uniquement des meacutetriques jusquau reacutesultat des objectifs informatiques comme lindique la deacutelimitation en pointilleacutes Mecircme sil sagit eacutegalement dindicateurs de performance pour les objectifs meacutetiers des SI COBIT ne fournit pas de mesures de reacutesultat des objectifs meacutetiers
Les objectifs meacutetiers et les objectifs informatiques utiliseacutes dans la section des objectifs et meacutetriques de COBIT ainsi que les relations entre eux sont fournis en Annexe I Pour chaque processus informatique de COBIT les objectifs et les meacutetriques sont preacutesenteacutes comme lillustre la figure 20
Les meacutetriques ont eacuteteacute mises au point en tenant compte des caracteacuteristiques suivantes bull un ratio perspicaciteacuteeffort eacuteleveacute (c-agrave-d vision de la performance et du succegraves des objectifs par rapport agrave leffort pour les atteindre) bull comparables en interne (par ex pourcentage par rapport agrave une base ou agrave des chiffres dans le temps) bull comparables en externe quels que soient la taille ou le secteur dactiviteacute bull quelques bonnes meacutetriques (eacuteventuellement mecircme une seule tregraves bonne sur laquelle agissent plusieurs paramegravetres) sont preacutefeacuterables agrave une
longue liste de mauvaises meacutetriques bull des mesures faciles agrave effectuer qui ne doivent pas ecirctre confondues avec les cibles agrave atteindre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 23
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
Objectifs meacutetiersCritegraveres
drsquoinformation
Ressourcesinformatiques
Processusinformatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesuresde reacutesultat
rsquo
COBIT41 Figure 20 ndash Preacutesentation des objectifs et des meacutetriques
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
ddeacuteeacuteffiinniitt ddeacuteeacuteffiinniitt
mmeessuurree mmeessuurree mmeessuurree
iinndduuiitt
iinndduuiitt
Le modegravele du cadre de reacutefeacuterence COBIT
Le cadre de reacutefeacuterence COBIT par conseacutequent lie les exigences dinformation et de gouvernance meacutetiers aux objectifs de linformatique Le modegravele de processus COBIT permet aux activiteacutes informatiques et aux ressources quelles utilisent decirctre correctement geacutereacutees et controcircleacutees sur la base des objectifs de controcircle de COBIT et decirctre aligneacutees et surveilleacutees en utilisant les objectifs et meacutetriques de COBIT comme lillustre la figure 21
Figure 21 ndash COBIT Gestion Controcircle Alignement et Surveillance
Objectifs meacutetiers Critegraveres
d information
Ressources informatiques
Processus informatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesures de reacutesultat
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 24
ndash
Fiabiliteacute
Efficac
iteacute
Efficience
Confidentia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
DOMAINES
ACTIVITEacuteS
PROCESSUS
CADRE DE REacuteFEacuteRENCE En reacutesumeacute les ressources informatiques sont geacutereacutees par des processus informatiques pour atteindre les objectifs informatiques qui reacutepondent aux exigences meacutetiers Cest le principe de base du cadre de reacutefeacuterence COBIT comme lillustre le cube COBIT (figure 22)
Figure 22 Le cube COBIT
Efficac
iteacute
Efficience
Confiden
DOMAINES
ACTIVITEacuteSPPrroocceessssuuss iinnffoorrmm
aattiiqquueess
PROCESSUS
Fiabiliteacutetia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
RReessssoouurrcceess iinnffoorrmmaattiiqquueess
EExxiiggeenncceess mmeacuteeacutettiieerrss
On peut repreacutesenter plus en deacutetail le cadre de reacutefeacuterence geacuteneacuteral de COBIT par le graphique de la figure 23 le modegravele COBIT eacutetant diviseacute en 4 domaines et en 34 processus geacuteneacuteriques qui gegraverent les ressources informatiques pour fournir linformation agrave lentreprise en fonction des exigences meacutetiers et de celles de la gouvernance
Pourquoi COBIT est largement reconnu
COBIT se base sur lanalyse et lharmonisation des standards informatiques existants comme sur les bonnes pratiques et se conforme aux principes de gouvernance geacuteneacuteralement accepteacutes Il considegravere les exigences meacutetiers au niveau le plus geacuteneacuteral et couvre lensemble des activiteacutes informatiques en se concentrant sur ce qui doit ecirctre accompli plutocirct que sur la faccedilon de reacuteussir une gouvernance une gestion et un controcircle efficaces des activiteacutes Il agit donc comme un inteacutegrateur des pratiques de gouvernance des SI et sadresse aux directions geacuteneacuterales au management des meacutetiers et de linformatique aux professionnels de la gouvernance de lassurance et de la seacutecuriteacute comme agrave ceux de laudit et du controcircle informatique Il est conccedilu pour ecirctre compleacutementaire dautres standards et des bonnes pratiques et pour ecirctre utiliseacute conjointement avec eux
La mise en place des bonnes pratiques doit ecirctre coheacuterente avec la gouvernance de lentreprise et avec le cadre de controcircle approprieacutee agrave lentreprise et inteacutegreacutee aux autres meacutethodes et pratiques utiliseacutees Les standards et les bonnes pratiques ne sont pas la panaceacutee Leur efficaciteacute deacutepend de la faccedilon dont ils ont eacuteteacute mis en œuvre et dont ils sont tenus agrave jour Ils sont plus utiles lorsquon les applique comme un ensemble de principes et comme point de deacutepart pour leacutelaboration de proceacutedures speacutecifiques sur mesure Pour eacuteviter que les pratiques restent au niveau des bonnes intentions le management et le personnel doivent comprendre quoi faire comment le faire et pourquoi cest important
Pour reacuteussir lalignement des bonnes pratiques sur les exigences meacutetiers il est recommandeacute dutiliser COBIT au niveau le plus geacuteneacuteral ce qui fournira un cadre de controcircle global baseacute sur un modegravele de processus informatiques geacuteneacuteriques qui convient habituellement agrave toutes les entreprises Les pratiques speacutecifiques et les standards qui inteacuteressent des domaines particuliers peuvent ecirctre mis en regard du cadre de reacutefeacuterence COBIT fournissant ainsi un ensemble hieacuterarchiseacute de guides
COBIT concerne diffeacuterents types dutilisateurs bull les directions geacuteneacuterales pour que linvestissement informatique produise de la valeur et pour trouver le bon eacutequilibre entre risques et
investissements en controcircles dans un environnement informatique souvent impreacutevisible bull les directions meacutetiers pour obtenir des assurances sur la gestion et le controcircle des services informatiques fournis en interne ou par des
tiers bull les directions informatiques pour fournir les services informatiques dont les meacutetiers ont besoin pour reacutepondre agrave la strateacutegie de
lentreprise et pour controcircler et bien geacuterer ces services bull les auditeurs pour justifier leurs opinions etou donner des conseils au management sur les dispositifs de controcircle interne
COBIT a eacuteteacute deacuteveloppeacute et est maintenu agrave jour par un institut indeacutependant et sans but lucratif puisant dans lexpertise des membres de ses associations affilieacutees des experts du monde des affaires et des professionnels du controcircle et de la seacutecuriteacute Son contenu est baseacute sur une recherche permanente des bonnes pratiques de linformatique et il est continuellement mis agrave jour offrant ainsi un objectif et des ressources pratiques agrave tous les types dutilisateurs
COBIT est axeacute sur les objectifs et sur la perspective de la gouvernance des SI Il sassure que son cadre de reacutefeacuterence en englobe bien tous les aspects en accord avec les principes de la gouvernance dentreprise et par conseacutequent quil peut ecirctre accepteacute par les administrateurs dirigeants auditeurs et reacutegulateurs Dans lAnnexe II un tableau montre comment les objectifs de controcircle de COBIT se relient aux cinq domaines de la gouvernance des SI et aux activiteacutes de controcircle du COSO
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 25
ndash
Mesure de la performance
Gestion des ressources
Gestiondes risques
Apportde valeur
Alignementstrateacutegique
Modegravelesde maturiteacute
PratiquesMeacutetriquesObjectifs
ndash
bullbullbullbull
ApplicationsInformationsInfrastructuresPersonnes
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SE 2 Surve er et eacuteva uer e controcirc e nterneSE 3 S assurer de a conform teacute aux ob gat ons externesSE 4 Mettre en p ace une gouvernance des SI
SE 1 Surve er et eacuteva uer a performance des SI
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
RESSOURCESINFORMATIQUES
bull Efficience
bull Inteacutegriteacutebull Disponibiliteacutebull Conformiteacutebull Fiabiliteacute
Confidentialiteacutebull
Efficaciteacutebull
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRESDrsquoINFORMATION
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
COBIT
CRITEgraveRESDrsquoINFORMATIONrsquo
COBIT41 Figure 23 Le Cadre de reacutefeacuterence geacuteneacuteral de COBIT
bullbull bullbull bullbull bullbull
AAAppppppllliiicccaaatttiiiooonnnsss IIInnnfffooorrrmmmaaatttiiiooonnnsss IIInnnfffrrraaassstttrrruuuccctttuuurrreeesss PPPeeerrrsssooonnnnnneeesss
DS 1 Deacutefiiiiniiiir et geacuterer lllles niiiiveaux de serviiiice
DS 3 Geacuterer lllla performance et lllla capaciiiiteacute
DS 5 Assurer lllla seacutecuriiiiteacute des systegravemes
DS 7 Instruiiiire et former lllles utiiiilllliiiisateurs
DS 9 Geacuterer lllla confiiiiguratiiiion
DS 11 Geacuterer lllles donneacutees
DS 13 Geacuterer llllrsquorsquorsquorsquoexplllloiiiitatiiiion
DS 2 Geacuterer lllles serviiiices tiiiiers
DS 4 Assurer un serviiiice contiiiinu
DS 6 Identiiiifiiiier et iiiimputer lllles coucircts
DS 8 Geacuterer lllle serviiiice drsquorsquorsquorsquoassiiiistance clllliiiient et lllles iiiinciiiidents
DS 10 Geacuterer lllles probllllegravemes
DS 12 Geacuterer llllrsquorsquorsquorsquoenviiiironnement physiiiique
AI 1 Trouver des solllutiiions iiinformatiiiques
AI 3 Acqueacuteriiir une iiinfrastructure techniiique et en assurer llla maiiintenance
AI 7 Installllller et vallliiider llles solllutiiions et llles modiiifiiicatiiions
AI 4 Faciiillliiiter llle fonctiiionnement et lllrsquorsquorsquoutiiillliiisatiiion
AI 6 Geacuterer llles changements
AI 2 Acqueacuteriiir des appllliiicatiiions et en assurer llla maiiintenance
AI 5 Acqueacuteriiir des ressources iiinformatiiiques
PO 1 Deacutefiiiniiir un plllan iiinformatiiique strateacutegiiique PO 2 Deacutefiiiniiir lllrsquorsquorsquoarchiiitecture de lllrsquorsquorsquoiiinformatiiion PO 3 Deacutetermiiiner lllrsquorsquorsquooriiientatiiion technolllogiiique PO 4 Deacutefiiiniiir llles processus lllrsquorsquorsquoorganiiisatiiion et llles relllatiiions de travaiiilll PO 5 Geacuterer llles iiinvestiiissements iiinformatiiiques PO 6 Faiiire connaicirctre llles buts et llles oriiientatiiions du management PO 7 Geacuterer llles ressources humaiiines de lllrsquorsquorsquoiiinformatiiique
PO 9 Eacutevallluer et geacuterer llles riiisques PO 10 Geacuterer llles projjjets
PO 8 Geacuterer llla quallliiiteacute
SE 2 Surveiillller et eacutevalluer lle controcirclle iinterne SE 3 Srsquorsquoassurer de lla conformiiteacute aux oblliigatiions externes SE 4 Mettre en pllace une gouvernance des SI
SE 1 Surveiillller et eacutevalluer lla performance des SI
SURVEILLER ET EVALUER
PLANIFIER ET ORGANISER
DEacuteLIVRER ET SUPPORTER
ACQUEacuteRIR ET IMPLEacuteMENTER
RESSOURCES INFORMATIQUES
bullbullbull EEEffffffiiiccciiieeennnccceee
bullbullbull IIInnnttteacuteeacuteeacutegggrrriiittteacuteeacuteeacute bullbullbull DDDiiissspppooonnniiibbbiiillliiittteacuteeacuteeacute bullbullbull CCCooonnnfffooorrrmmmiiittteacuteeacuteeacute bullbullbull FFFiiiaaabbbiiillliiittteacuteeacuteeacute
Cbullbullbull CCooonnnfffiiidddeeennntttiiiaaallliiittteacuteeacuteeacute
Ebullbullbull EEffffffiiicccaaaccciiittteacuteeacuteeacute
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRES D INFORMATION
La figure 24 preacutesente les relations entre les diffeacuterents eacuteleacutements du cadre de reacutefeacuterence de COBIT et les domaines daction de la gouvernance des SI
Figure 24 Cadre de reacutefeacuterence COBIT et domaines de gouvernance des SI
SSPPPPMesure de la performance
PPPPSSGestion des ressources
SSPPSSGestion des risques
PPSSPPApport de valeur
PPPPAlignement strateacutegique
Modegraveles de maturiteacute
PratiquesMeacutetriquesObjectifs
PP == iinndduucctteeuurr PPrriimmaaiirree SS == iinndduucctteeuurr SSeeccoonnddaaiirree
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 26
ndash
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
CADRE DE REacuteFEacuteRENCE
COMMENT UTILISER CE LIVRE
Navigation dans le cadre de reacutefeacuterence COBIT On trouvera une description de chacun des processus informatiques de COBIT ainsi que des objectifs cleacutes et des meacutetriques dans cette preacutesentation en cascade (figure 25)
Figure 25 Navigation dans COBIT
Pour chaque processus informatique les objectifs de controcircle sont preacutesenteacutes comme les actions geacuteneacuteriques des bonnes pratiques de gestion minimum neacutecessaires pour que le processus soit sous controcircle
Le controcircle du processus informatique
nom du processus
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
liste des principaux objectifs meacutetiers
en se concentrant sur
liste des principaux objectifs du processus
atteint son objectif gracircce agrave
des objectifs lieacutes agrave lrsquoactiviteacute
et est mesureacute par
des meacutetriques cleacutes
EEffffiiccaa
cciitteacuteeacute
IInntteacuteeacute
ggrriitteacuteeacute
CCoonnffiidd
eennttiiaa
lliitteacuteeacute
EEffffiicciieennccee
DDiissppoonn
iibbiilliitt
eacuteeacute
CCoonnffoo
rrmmiitteacuteeacute
FFiiaabb
iilliitteacuteeacute
AApppplliiccaattiioo
nnss
PPeerrssoonnnneess
IInnffoorrmmaattiioo
nnss
IInnffrraassttrr
uuccttuurreess
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SSSeeecccooonnndddaaaiiirrreeePPPrrriiimmmaaaiiirrreee
Preacutesentation des composants essentiels de COBIT
Le cadre de reacutefeacuterence COBIT est constitueacute dun certain nombre de composants principaux que lon retrouve dans le reste de cette publication et qui sont organiseacutes en 34 processus offrant ainsi une image complegravete de la faccedilon de controcircler de geacuterer et de mesurer chacun dentre eux Chaque processus est deacutetailleacute en quatre sections et chaque section occupe le plus souvent une page bull La section 1 (figure 25) contient une description du processus qui reacutesume ses objectifs la description du processus eacutetant preacutesenteacutee en
eacuteleacutements successivement deacutecaleacutes (en cascade) Cette page montre aussi sous forme scheacutematique quels sont les critegraveres dinformation les ressources informatiques et les domaines de la gouvernance des SI qui concernent ce processus avec la preacutecision P pour primaire ou S pour secondaire
bull La section 2 contient les objectifs de controcircle pour ce processus bull La section 3 contient un tableau des eacuteleacutements en entreacutee (entreacutees) et un autre des eacuteleacutements en sortie (sorties) du processus le tableau RACI
et un dernier tableau qui rapproche les objectifs et les meacutetriques bull La section 4 contient le modegravele de maturiteacute pour ce processus
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 27
COBIT41 On peut preacutesenter ainsi les eacuteleacutements qui conditionnent la performance du processus bull Les entreacutees du processus sont ce dont le proprieacutetaire du processus a besoin que les autres lui fournissent bull La description du processus et les objectifs de controcircle deacutetailleacutes preacutesentent ce que le proprieacutetaire du processus doit faire bull Les sorties du processus sont ce que le proprieacutetaire du processus doit livrer bull La partie objectifs et meacutetriques montre comment il faut mesurer le processus bull Le tableau RACI preacutecise ce qui doit ecirctre deacuteleacutegueacute et agrave qui bull Le modegravele de maturiteacute montre ce quil faut faire pour progresser
Les rocircles dans le tableau RACI sont deacutesigneacutes pour tous les processus par les expressions bull Directeur geacuteneacuteral (DG) bull Directeur financier (DF) bull Direction meacutetier bull Directeur informatique (DSI) bull Proprieacutetaire de processus meacutetier bull Responsable de lexploitation bull Responsable de larchitecture bull Responsable des deacuteveloppements bull Responsable administratif de linformatique (dans les grandes entreprises le responsable de fonctions telles que ressources humaines
budget ou controcircle interne) bull Responsable de la gestion des projets (PMO Project Management Officer) ou fonction de gestion de projet bull Conformiteacute audit risque et seacutecuriteacute (personnes qui ont des responsabiliteacutes de controcircle mais pas de responsabiliteacutes opeacuterationnelles
informatiques)
Certains processus speacutecifiques ont un rocircle speacutecialiseacute suppleacutementaire propre au processus par ex Responsable service gestion des incidents pour le processus DS8
Il faut bien noter que mecircme si le preacutesent contenu a eacuteteacute collecteacute aupregraves de centaines dexperts selon des recherches et des veacuterifications rigoureuses les entreacutees sorties responsabiliteacutes mesures et objectifs sont des exemples et ne preacutetendent constituer ni des prescriptions ni une liste exhaustive Ils proposent une base de connaissance et dexpertise dans laquelle chaque entreprise doit seacutelectionner ce qui sera efficace et efficient pour son activiteacute en fonction de sa strateacutegie de ses objectifs et de ses politiques
Utilisateurs des composants de COBIT
Les dirigeants peuvent utiliser les supports COBIT pour eacutevaluer les processus informatiques agrave laide des objectifs meacutetier et des objectifs informatiques deacutecrits en Annexe I afin de clarifier les objectifs des processus informatiques et les modegraveles de maturiteacute des processus pour eacutevaluer les performances reacuteelles
Les responsables de la mise en œuvre et les auditeurs peuvent identifier les exigences de controcircle applicables agrave partir des objectifs de controcircle et les responsabiliteacutes agrave partir des activiteacutes et des tableaux RACI associeacutes
Tous les utilisateurs potentiels peuvent tirer parti du contenu COBIT et lutiliser dans le cadre dune meacutethode globale de gestion et de gouvernance des SI conjointement agrave dautres normes plus deacutetailleacutees telles que bull ITIL pour la prestation de services bull CMM pour la fourniture de solutions bull ISO 17799 pour la seacutecuriteacute de linformation bull PMBOK ou PRINCE2 pour la gestion de projets
Annexes
On trouvera agrave la fin du livre les sections de reacutefeacuterence suppleacutementaires suivantes I Tableaux eacutetablissant les liens entre les objectifs et les processus (3 tableaux) II Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT III Modegravele de maturiteacute pour le controcircle interne IV Documents de reacutefeacuterence de COBIT 41 V Correspondance entre COBIT 3e eacutedition et COBIT 41 VI Approche recherche et deacuteveloppement VII Glossaire VIII COBIT et produits de la famille COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 28
PLANIFIER ET ORGANISER
PO1 Deacutefinir un plan informatique strateacutegique PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation PO3 Deacuteterminer lrsquoorientation technologique PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail PO5 Geacuterer les investissements informatiques PO6 Faire connaicirctre les buts et les orientations du management PO7 Geacuterer les ressources humaines de lrsquoinformatique PO8 Geacuterer la qualiteacute PO9 Eacutevaluer et geacuterer les risques PO10 Geacuterer les projets
PL
AN
IFIE
R E
T
OR
GA
NIS
ER
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
DESCRIPTION DU PROCESSUS
PO1 Deacutefinir un plan informatique strateacutegique
Un plan de strateacutegie informatique est neacutecessaire pour geacuterer et orienter toutes les ressources informatiques vers les prioriteacutes strateacutegiques de lrsquoentreprise La DSI et les parties prenantes de lrsquoentreprise ont la responsabiliteacute de srsquoassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services Le plan strateacutegique doit permettre aux principales parties prenantes drsquoameacuteliorer leur compreacutehension des potentialiteacutes et des limites des technologies de lrsquoinformation (TI) drsquoeacutevaluer la performance actuelle drsquoidentifier les besoins en capaciteacute et en ressources humaines et de les eacuteclairer sur le niveau drsquoinvestissement neacutecessaire La strateacutegie et les prioriteacutes de lrsquoentreprise doivent se refleacuteter dans les portefeuilles de projets et doivent ecirctre mises en œuvre par le(s) plan(s) tactique(s) des SI qui preacutecise(nt) succintement les objectifs les plans et les tacircches et qui sont compris et accepteacutes agrave la fois par les meacutetiers et lrsquoinformatique
Le controcircle du processus informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Deacutefinir un plan informatique strateacutegique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices des coucircts et des risques
en se concentrant sur
la convergence du management de lrsquoentreprise et du management de lrsquoinformatique dans la traduction des exigences des meacutetiers en offres de services et sur le deacuteveloppement de strateacutegies pour fournir ces services en toute transparence et efficaciteacute
atteint son objectif en
bull travaillant avec les meacutetiers et la direction geacuteneacuterale pour aligner la planification strateacutegique des SI avec les besoins actuels et futurs de lrsquoentreprise
bull ayant un bonne connaissance des capaciteacutes actuelles des technologies de lrsquoinformation bull fournissant un scheacutema des prioriteacutes agrave appliquer aux objectifs des meacutetiers qui quantifie les exigences
des meacutetiers
et est mesureacute par
bull le pourcentage des objectifs informatiques du plan informatique strateacutegique qui apporte un soutien au plan strateacutegique des meacutetiers
bull le pourcentage de projets informatiques dans le portefeuille de projets qui deacutecoule directement du plan tactique des SI
bull le deacutelai entre les mises agrave jour du plan strateacutegique des SI et celles du plan tactique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 29
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
OBJECTIFS DE CONTROcircLE
PO1 Deacutefinir un plan informatique strateacutegique
PO11 Gestion de la valeur des SI Travailler avec les meacutetiers pour srsquoassurer que le portefeuille drsquoinvestissements informatiques de lrsquoentreprise contient des programmes ou projets dont les analyses de rentabiliteacute sont solides Reconnaicirctre qursquoil y a des investissements obligatoires indispensables et discreacutetionnaires qui diffegraverent en complexiteacute et en degreacute de liberteacute pour ce qui est de lrsquoattribution des creacutedits Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes au plus tocirct pour tout eacutecart par rapport au plan par exemple en ce qui concerne les coucircts les deacutelais et les fonctionnaliteacutes susceptible drsquoavoir des conseacutequences sur les reacutesultats attendus des programmes Les services informatiques doivent ecirctre rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) eacutequitables et applicables La responsabiliteacute finale de lrsquoobtention des beacuteneacutefices et du controcircle des coucircts est clairement assigneacutee et superviseacutee Eacutetablir une eacutevaluation juste transparente reproductible et comparable des analyses de rentabiliteacute qui tient compte de la valeur financiegravere du risque de ne pas fournir une capaciteacute et de ne pas reacutealiser les beacuteneacutefices attendus
PO12 Alignement meacutetiers-informatique Instaurer des processus de formation bi-directionnelle et drsquoengagement reacuteciproque dans le plan strateacutegique pour arriver agrave un alignement et une inteacutegration de lrsquoinformatique et des meacutetiers Trouver un compromis entre les impeacuteratifs meacutetiers et ceux de lrsquoinformatique de faccedilon agrave ce que les prioriteacutes fassent lrsquoobjet drsquoun agreacutement mutuel
PO13 Eacutevaluation de la capaciteacute et de la performance actuelle Eacutevaluer la capaciteacute et la performance actuelle de la configuration et le servi fourni de faccedilon agrave constituer une base drsquoeacutevaluation de besoins agrave venir Deacutefinir la performance en termes de contribution de lrsquoinformatique aux objectifs des meacutetiers de fonctionnaliteacutes de stabiliteacute de complexiteacute de coucircts de forces et de faiblesses
PO14 Plan informatique strateacutegique Creacuteer un plan strateacutegique qui deacutefinit en coopeacuteration avec les parties prenantes comment les objectifs de lrsquoinformatique vont contribuer aux objectifs strateacutegiques de lrsquoentreprise et aux coucircts et aux risques qui leur sont lieacutes Il doit inclure les programmes drsquoinvestissements informatiques les services et les actifs informatiques Il doit deacutefinir comment les objectifs seront atteints les meacutetriques agrave retenir et les proceacutedures permettant drsquoobtenir un aval formel des parties prenantes Le plan informatique strateacutegique doit couvrir les budgets drsquoinvestissement et de fonctionnement les sources de financement la strateacutegie de fourniture la strateacutegie drsquoachat et les exigences leacutegales et reacuteglementaires Le plan strateacutegique doit ecirctre suffisamment deacutetailleacute pour permettre de deacutefinir des plans informatiques tactiques
PO15 Plans informatiques tactiques Creacuteer un portefeuille de plans informatiques tactiques qui deacutecoule du plan informatique strateacutegique Ces plans tactiques doivent contenir les programmes drsquoinvestissements informatiques les services et les actifs informatiques Ces plans tactiques doivent deacutecrire les initiatives informatiques neacutecessaires des besoins en ressources et comment lrsquoutilisation des ressources et la reacutealisation de beacuteneacutefices seront surveilleacutees et geacutereacutees Les plans tactiques doivent ecirctre suffisamment deacutetailleacutes pour permettre de deacutefinir des plans de projets Geacuterer activement les plans tactiques informatiques et les initiatives au moyen de lrsquoanalyse de projets et des portefeuilles de services
PO16 Gestion du portefeuille informatique Geacuterer activement avec les meacutetiers le portefeuille des programmes dinvestissements informatiques qui sont neacutecessaires pour atteindre les objectifs meacutetiers strateacutegiques speacutecifiques cela consiste agrave identifier deacutefinir eacutevaluer seacutelectionner initier et controcircler ces programmes et agrave eacutetablir leurs prioriteacutes respectives Cela inclut de clarifier les reacutesultats meacutetiers deacutesireacutes de srsquoassurer que les objectifs des programmes favorisent lrsquoobtention de ces reacutesultats de comprendre lrsquoampleur des efforts neacutecessaires pour les obtenir drsquoaffecter clairement la responsabiliteacute finale et de deacutefinir les mesures de soutien de deacutefinir les projets qui font partie des programmes drsquoallouer les ressources et les financements de deacuteleacuteguer lrsquoautoriteacute et de commander les projets neacutecessaires au moment du lancement des programmes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 30
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
GUIDE DE MANAGEMENT
PO1 Deacutefinir un plan informatique strateacutegique
De Entreacutees PO5 Rapports coucirctsbeacuteneacutefices PO9 Eacutevaluation des risques PO10 Portefeuille actualiseacute des projets DS1 Besoins de services nouveauxactualiseacutes
portefeuille actualiseacute des services
Strateacutegie drsquoentreprise et prioriteacutes Portefeuille de programmes SE1 Entreacutee de la performance dans le planning SI SE4 Etat de situation de la gouvernance des SI
orientation strateacutegique de lrsquoentreprise pour les SI
Sorties Vers Plan informatique strateacutegique PO2hellipPO6 PO8 PO9 AI1 DS1 Plan informatique tactique PO2hellipPO6 PO9 AI1 DS1 Portefeuille de projets PO5 PO6 PO10 AI6 Portefeuille de services PO5 PO6 PO9 DS1 Strateacutegie de fourniture DS2 Strateacutegie drsquoachats AI5
Entreacutees externes agrave COBIT
Lier objectifs meacutetiers et objectifs informatiques C I AR R C
Identifier les deacutependances critiques et les performances actuelles C C R AR C C C C C C
Construire un plan informatique strateacutegique A C C R I C C C C I C
Eacutelaborer des plans informatiques tactiques C I A C C C C C R I
Analyser les portefeuilles de programmes et geacuterer les portefeuilles de projets et de services C I I A R R C R C C I
FonctionsDG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration
induit
induit
Meacutetriq
ues
bull Degreacute drsquoapprobation des plans informatiques strateacutegiquestactiques par les proprieacutetaires meacutetiers bull Degreacute de conformiteacute avec les exigences des meacutetiers et de gouvernance bull Niveau de satisfaction de lrsquoentreprise sur lrsquoeacutetat en cours du portefeuille drsquoapplications et de projets (nombre ampleur etc)
bull Pourcentage drsquoobjectifs informatiques dans le plan strateacutegique SI qui soutiennent le plan strateacutegique meacutetiers bull Pourcentage drsquoinitiatives informatiques dans le plan tactique SI qui soutiennent le plan tactique meacutetiers bull Pourcentage de projets informatiques dans le portefeuille de projets qursquoon peut directement relier au plan tactique SI
bull Deacutelai de mise agrave jour entre plan strateacutegique et tactique drsquoentreprise et plan strateacutegique et tactique SI bull Pourcentage de reacuteunions sur la planification strateacutegiquetactique SI ougrave des repreacutesentants meacutetiers ont activement participeacute bull Deacutelai entre la mise agrave jour du plan strateacutegique SI et la mise agrave jour des plans tactiques SI bull Pourcentage de plans tactiques SI qui se conforment aux structurescontenus preacutedeacutefinis de ces plans bull Pourcentage drsquoinitiativesprojets SI deacutefendus par les proprieacutetaires meacutetiers
Processus
bull Deacutefinir comment les exigences des meacutetiers se traduisent en offres de services bull Deacutefinir la strateacutegie pour fournir les offres de services bull Contribuer agrave la gestion du portefeuille des investissements de lrsquoentreprise agrave composantes informatiques bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique
Activiteacutes
bull Srsquoimpliquer avec les directions opeacuterationnelles et geacuteneacuterales dans lrsquoalignement des plans strateacutegiques informatiques avec les exigences des meacutetiers actuelles et futures bull Comprendre les capaciteacutes actuelles des TI bull Traduire les plans de strateacutegie informatique en plans tactiques bull Proposer un scheacutema de prioriteacutes pour les objectifs meacutetiers qui quantifie les exigences des meacutetiers
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 31
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
MODEgraveLE DE MATURITEacute
PO1 Deacutefinir un plan informatique strateacutegique
La gestion du processus Deacutefinir un plan informatique strateacutegique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices coucircts et risques est
0 Inexistante quand
Il ny a pas de planification informatique strateacutegique Le management na pas conscience quun plan informatique strateacutegique est neacutecessaire agrave la reacutealisation des objectifs de lentreprise
1 Initialiseacutee au cas par cas quand
Le management connaicirct le besoin drsquoun plan informatique strateacutegique La planification informatique srsquoeffectue au cas par cas en reacuteponse agrave des exigences meacutetiers speacutecifiques La planification informatique strateacutegique fait lrsquoobjet de discussions occasionnelles aux reacuteunions de la DSI Lalignement des exigences meacutetiers des applications et de lrsquoinformatique se fait dune faccedilon reacuteactive plus que par une strateacutegie geacuteneacuterale de lentreprise La position strateacutegique par rapport au risque est deacutetermineacutee de faccedilon informelle projet par projet
2 Reproductible mais intuitive quand
Le plan strateacutegique informatique nest partageacute avec la direction de lentreprise quen reacuteponse agrave des besoins speacutecifiques On met agrave jour les plans informatiques en reacuteponse agrave des demandes du management On prend les deacutecisions projet par projet sans coheacuterence avec une strateacutegie globale drsquoentreprise On connaicirct intuitivement les risques et les avantages des principales deacutecisions strateacutegiques pour les utilisateurs
3 Deacutefinie quand
Une politique deacutefinit quand et comment reacutealiser le plan informatique strateacutegique Ce dernier adopte une approche structureacutee qui est documenteacutee et connue de tout le personnel Le processus de planification informatique est raisonnablement conccedilu et garantit une bonne probabiliteacute de reacutealisation dun plan approprieacute Toutefois la mise en œuvre du processus est laisseacutee agrave linitiative de responsables individuels et aucune proceacutedure dexamen de ce processus nest preacutevue La strateacutegie informatique globale inclut une deacutefinition coheacuterente des risques accepteacutes par lentreprise et preacutecise si elle se voit en position dinnovateur ou de suiveur Les strateacutegies informatiques en matiegravere de finances de techniques et de ressources humaines influencent de plus en plus lacquisition de nouveaux produits et de nouvelles technologies La planification informatique strateacutegique fait lrsquoobjet de discussions aux reacuteunions de la direction de lrsquoentreprise
4 Geacutereacutee et mesurable quand
La planification informatique strateacutegique est une pratique standard et le management signale les anomalies Elle correspond agrave une fonction de management comportant des responsabiliteacutes de cadre supeacuterieur Le management est capable de surveiller le processus de planification informatique strateacutegique de prendre des deacutecisions eacutetayeacutees en se basant sur lui et de mesurer son efficaciteacute Il existe agrave la fois des plans informatiques agrave court et long terme qui sont diffuseacutes agrave tous les eacutechelons de lentreprise avec des mises agrave jour lorsque cest neacutecessaire La strateacutegie informatique et la strateacutegie globale de lentreprise sont de mieux en mieux coordonneacutees gracircce agrave lutilisation de processus meacutetiers et de capaciteacutes qui ajoutent de la valeur et gracircce agrave la mise en œuvre dapplications et de technologies qui induisent la reacute-ingeacutenierie des processus meacutetiers Il existe un processus bien deacutefini assurant une bonne reacutepartition entre les ressources internes et externes neacutecessaires au deacuteveloppement et agrave lexploitation des systegravemes
5 Optimiseacutee quand
Le plan informatique strateacutegique est un processus documenteacute et vivant toujours pris en compte dans la deacutefinition des objectifs meacutetiers la valeur apporteacutee par les investissements informatiques est patente Les consideacuterations risquevaleur ajouteacutee sont continuellement actualiseacutees dans le processus de planification informatique strateacutegique On deacuteveloppe et on actualise en permanence des plans informatiques agrave long terme reacutealistes pour refleacuteter leacutevolution des technologies et des activiteacutes de lentreprise On utilise des tests comparatifs avec les normes reconnues et fiables des meacutetiers et on les integravegre au processus drsquoeacutelaboration de la strateacutegie Le plan informatique strateacutegique tient compte de la faccedilon dont lrsquoeacutevolution des nouvelles technologies peut induire de nouvelles capaciteacutes meacutetiers et ameacuteliorer lrsquoavantage compeacutetitif de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 32
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
DESCRIPTION DU PROCESSUS
PO2 Deacutefinir larchitecture de lrsquoinformation
Les responsables des systegravemes informatiques doivent creacuteer et mettre reacuteguliegraverement agrave jour un modegravele drsquoinformation de lrsquoentreprise et deacuteterminer quels sont les systegravemes approprieacutes susceptibles drsquooptimiser lrsquoutilisation de cette information Cela comprend lrsquoeacutelaboration drsquoun dictionnaire des donneacutees de lrsquoentreprise des regravegles de syntaxe de donneacutees propres agrave lrsquoentreprise drsquoun systegraveme de classification des donneacutees et de niveaux de seacutecuriteacute En assurant une information fiable et sucircre ce processus ameacuteliore la gestion de la prise de deacutecision et permet de rationaliser les ressources informatiques pour ecirctre en phase avec les strateacutegies de lrsquoentreprise Ce processus informatique est aussi neacutecessaire pour eacutetendre le champ de la responsabiliteacute de lrsquointeacutegriteacute et de la seacutecuriteacute des donneacutees et pour ameacuteliorer lrsquoefficaciteacute et le controcircle du partage de lrsquoinformation entre les applications et les diffeacuterents deacutepartements de lrsquoentreprise
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PS PS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacutefinir larchitecture de lrsquoinformation
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers
en se concentrant sur
la constitution drsquoun modegravele de donneacutees de lrsquoentreprise inteacutegrant un systegraveme de classification des informations pour assurer lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees
atteint son objectif en
bull garantissant lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull attribuant la proprieacuteteacute des donneacutees bull classant lrsquoinformation selon un systegraveme de classification approuveacute
et est mesureacute par
bull le pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes bull le pourcentage drsquoapplications qui ne se conforment pas agrave la meacutethodologie drsquoarchitecture
de lrsquoinformation de lrsquoentreprise bull la freacutequence des activiteacutes de validation des donneacutees
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 33
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
OBJECTIFS DE CONTROcircLE
PO2 Deacutefinir larchitecture de lrsquoinformation
PO21 Modegravele darchitecture de linformation de lrsquoentreprise Eacutetablir et tenir agrave jour un modegravele drsquoinformation de lrsquoentreprise pour faciliter le deacuteveloppement drsquoapplications et les activiteacutes drsquoaide agrave la deacutecision conforme aux plans informatiques deacutecrits dans PO1 Ce modegravele doit permettre drsquooptimiser la creacuteation lrsquoutilisation et le partage de lrsquoinformation dans lrsquoentreprise et drsquoen maintenir lrsquointeacutegriteacute la flexibiliteacute la fonctionnaliteacute la rentabiliteacute la disponibiliteacute en temps opportun la seacutecuriteacute et la reacutesistance aux pannes
PO22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise Maintenir opeacuterationnel un dictionnaire des donneacutees qui utilise les regravegles de syntaxe des donneacutees de lentreprise Ce dictionnaire doit faciliter le partage drsquoeacuteleacutements de donneacutees par les applications et les systegravemes favoriser la compreacutehension commune des donneacutees entre lrsquoinformatique et les utilisateurs meacutetiers et eacuteviter la creacuteation drsquoeacuteleacutements de donneacutees incompatibles
PO23 Systegraveme de classification des donneacutees Eacutetablir un systegraveme de classification baseacute sur les dimensions critiques et sensibles des donneacutees (par ex publiques confidentielles secregravetes) qui srsquoapplique agrave toute lrsquoentreprise Ce systegraveme doit comprendre les deacutetails sur la proprieacuteteacute des donneacutees la deacutefinition des niveaux de seacutecuriteacute et des controcircles de protection approprieacutes une bregraveve description des regravegles de conservation et de destruction des donneacutees et de leurs dimensions critiques et sensibles Il doit ecirctre utiliseacute comme base pour les controcircles comme les controcircles drsquoaccegraves drsquoarchivage ou de cryptage
PO24 Gestion de lrsquointeacutegriteacute Deacutefinir et mettre en place des proceacutedures qui assurent lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees conserveacutees sous forme eacutelectronique comme les bases de donneacutees les entrepocircts de donneacutees et les archives de donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 34
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
GUIDE DE MANAGEMENT
PO2 Deacutefinir larchitecture de lrsquoinformation
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
AI1 Eacutetude de faisabiliteacute shy exigences des meacutetiers
AI7 Revue postshydeacutemarrage
DS3 Informations sur la performance et la capaciteacute
SE1 Entreacutee de la performance dans le planning SI
Sorties Vers Systegraveme de classification de donneacutees AI2 Plan optimiseacute des systegravemes meacutetiers PO3 AI2 Dictionnaire de donneacutees AI2 DS11 Architecture de linformation PO3 DS5 Classifications attribueacutees aux donneacutees DS1 DS4 DS5 DS11 DS12 Proceacutedures et outils de classification Sorties externes agrave CobiT
Creacuteer et maintenir le modegravele drsquoinformation de lrsquoentreprise ou du groupe C I A C R C C C
Creacuteer et maintenir le(s) dictionnaire(s) de donneacutees de lrsquoentreprise ou du groupe I C AR R C
Eacutelaborer et maintenir le systegraveme de classification de donneacutees I C A C C I C C R
Fournir aux proprieacutetaires de donneacutees les proceacutedures et les outils neacutecessaires aux systegravemes de classification des donneacutees
I C A C C I C C R
Utiliser le modegravele drsquoinformation le dictionnaire de donneacutees et le systegraveme de classification pour planifier des systegravemes informatiques meacutetiers optimiseacutes
C C I A C R C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Assurer une inteacutegration en douceur des applications dans les processus meacutetiers bull Reacuteagir aux exigences des meacutetiers en fonction de la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Eacutetablir un modegravele des donneacutees de lrsquoentreprise bull Reacuteduire la redondance des donneacutees bull Soutenir une gestion efficace de lrsquoinformation
deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de satisfaction des utilisateurs du modegravele drsquoinformation (par ex le dictionnaire de donneacutees est-il facile agrave utiliser ) bull Pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes
bull Pourcentage drsquoeacuteleacutements de donneacutees qui ne font pas partie du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements non conformes au systegraveme de classification des donneacutees bull Pourcentage drsquoapplications non conformes aux architectures de lrsquoinformation
bull Freacutequence drsquoactualisation du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements de donneacutees qui nrsquoont pas de proprieacutetaire bull Freacutequence des activiteacutes de validation des donneacutees bull Niveau de participation des utilisateurs
Activiteacutes
bull Assurer lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull Attribuer la proprieacuteteacute des donneacutees bull Classer lrsquoinformation selon un systegraveme de classification approuveacute bull Assurer la coheacuterence entre les composants de lrsquoinfrastructure informatique (par ex architecture de lrsquoinformation dictionnaires de donneacutees applications systegravemes de classification et niveaux de seacutecuriteacute) bull Maintenir lrsquointeacutegriteacute des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 35
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
MODEgraveLE DE MATURITEacute
PO2 Deacutefinir larchitecture de lrsquoinformation
La gestion du processus Deacutefinir lrsquoarchitecture de lrsquoinformation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance de larchitecture de linformation pour lentreprise Les connaissances les compeacutetences et les responsabiliteacutes neacutecessaires pour mettre en place cette architecture nexistent pas dans lentreprise
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune architecture de lrsquoinformation Lrsquoeacutelaboration de certains composants drsquoune architecture de lrsquoinformation a lieu au cas par cas Les deacutefinitions concernent les donneacutees plutocirct que les informations et viennent des logiciels applicatifs disponibles sur le marcheacute La communication sur le besoin dune architecture de linformation se fait au hasard sans coheacuterence
2 Reproductible mais intuitive quand
Un processus drsquoarchitecture de lrsquoinformation se fait jour et diffeacuterentes personnes dans lentreprise suivent des proceacutedures semblables bien qursquoinformelles et intuitives Les personnels acquiegraverent leurs compeacutetences en architecture de lrsquoinformation par la pratique et par la mise en œuvre de techniques reacutepeacutetitives La neacutecessiteacute tactique est agrave lorigine de la creacuteation de certains composants dune architecture de linformation
3 Deacutefinie quand
Limportance de larchitecture de linformation est comprise et accepteacutee et lrsquoon sait clairement qui est responsable de sa mise en place On a standardiseacute et documenteacute des proceacutedures outils et techniques lieacutes agrave cette architecture ils sont encore simples et font partie dactiviteacutes de formation informelles On a deacutefini certaines politiques de base sur cette question en fonction de certaines neacutecessiteacutes strateacutegiques mais la conformiteacute avec les politiques standards et outils nrsquoest pas systeacutematiquement respecteacutee On trouve une fonction dadministration des donneacutees formellement deacutefinie qui met en place des standards agrave leacutechelle de lentreprise et qui commence agrave faire des rapports sur la mise agrave disposition et lutilisation de larchitecture de linformation On commence agrave employer des outils automatiseacutes mais les processus et les regravegles utiliseacutes sont deacutefinis par les offres commerciales de logiciels de bases de donneacutees Un plan de formation formel a eacuteteacute eacutelaboreacute mais les formations formelles sont encore baseacutees sur lrsquoinitiative individuelle
4 Geacutereacutee et mesurable quand
Des meacutethodes et des techniques preacutecises soutiennent pleinement le deacuteveloppement et la mise en œuvre de larchitecture de linformation On rend compte des performances du processus de deacuteveloppement de larchitecture de linformation et on mesure ses reacutesultats Des outils automatiques dassistance sont largement reacutepandus mais pas encore inteacutegreacutes On a identifieacute les principaux eacuteleacutements agrave mesurer et un systegraveme de mesure est en place Le processus de deacutefinition de larchitecture de linformation est proactif et conccedilu pour faire face aux besoins futurs de lentreprise Le personnel chargeacute de ladministration des donneacutees simplique activement dans tous les efforts de deacuteveloppement des applications pour en assurer la coheacuterence Un reacutefeacuterentiel central automatiseacute est pleinement opeacuterationnel On utilise des modegraveles de donneacutees plus complexes pour beacuteneacuteficier des informations contenues des bases de donneacutees Les systegravemes dinformation agrave lusage du management (EIS) et les systegravemes daide agrave la deacutecision utilisent pleinement les informations disponibles
5 Optimiseacutee quand
Lrsquoarchitecture de lrsquoinformation est systeacutematiquement utiliseacutee agrave tous les niveaux On met en permanence lrsquoaccent sur la valeur de lrsquoarchitecture de lrsquoinformation pour lrsquoentreprise Les informaticiens ont les connaissances et les compeacutetences neacutecessaires pour deacutevelopper et assurer la maintenance dune architecture de linformation robuste et reacuteactive qui srsquointeacuteresse agrave tous les besoins de lentreprise On utilise systeacutematiquement et abondamment linformation fournie On utilise largement les meilleures pratiques de la profession en matiegravere de deacuteveloppement et de maintenance de larchitecture de linformation y compris un processus dameacutelioration permanente On a deacutefini une strateacutegie de mobilisation des informations en utilisant les technologies dentrepocircts de donneacutees et doutils dexploration des donneacutees (data mining) Larchitecture de linformation sameacuteliore sans cesse et elle prend en compte les informations non traditionnelles sur les processus les organisations et les systegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 36
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
DESCRIPTION DU PROCESSUS
PO3 Deacuteterminer lorientation technologique
Le SI deacutetermine lrsquoorientation technologique susceptible de favoriser lrsquoactiviteacute de lrsquoentreprise Cela exige la creacuteation et la maintenance dun plan dinfrastructure technologique et drsquoun comiteacute architecture des TI qui fixe et gegravere les attentes clairement exprimeacutees et reacutealistes de ce que la technologie peut offrir en termes de produits services et meacutecanismes de livraison Ce plan est reacuteguliegraverement actualiseacute et comprend des aspects comme lrsquoarchitecture lrsquoorientation technologique les plans drsquoacquisition les standards les strateacutegies de migration et les impreacutevus Cela permet de reacuteagir en temps utile aux modifications de lrsquoenvironnement concurrentiel cela permet aussi des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacuteterminer lorientation technologique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise
en se concentrant sur
la deacutefinition et la mise en place drsquoun plan drsquoinfrastructure informatique drsquoune architecture et de standards qui savent identifier et mettre agrave profit les opportuniteacutes technologiques
atteint son objectif en
bull mettant en place un forum destineacute agrave conseiller lrsquoarchitecture et agrave veacuterifier la conformiteacute bull mettant en place un plan drsquoinfrastructure technologique qui trouve le bon eacutequilibre entre coucircts
risques et besoins bull deacutefinissant les standards drsquoinfrastructure technologique en fonction des besoins de lrsquoarchitecture
informatique
et est mesureacute par
bull le nombre et le type drsquoeacutecarts par rapport au plan drsquoinfrastructure technologique bull la freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technologique bull le nombre de plates-formes technologiques par service dans lrsquoentreprise
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 37
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
OBJECTIFS DE CONTROcircLE
PO3 Deacuteterminer lorientation technologique
PO31 Planification de lrsquoorientation technologique Analyser les technologies existantes et eacutemergentes et deacutecider quelle orientation technologique sera la plus favorable pour reacutepondre agrave la strateacutegie informatique et pour lrsquoarchitecture des systegravemes de lrsquoentreprise Deacutesigner aussi dans le plan les technologies qui permettront de creacuteer des opportuniteacutes pour lrsquoactiviteacute de lrsquoentreprise Entre autres composantes de lrsquoinfrastructure le plan doit prendre en compte lrsquoarchitecture des systegravemes lrsquoorientation technologique les strateacutegies de migration et les impreacutevus
PO32 Plan dinfrastructure technologique Creacuteer et maintenir un plan drsquoinfrastructure technologique en phase avec les plans strateacutegiques et tactiques des SI Ce plan doit se baser sur les orientations technologiques et comporter une gestion des impreacutevus et des orientations pour lrsquoacquisition de ressources informatiques Il doit prendre en compte les modifications de lrsquoenvironnement concurrentiel des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
PO33 Surveillance de lrsquoeacutevolution des tendances et de la reacuteglementation Mettre en place un processus pour surveiller les tendances de lrsquoenvironnement du secteur drsquoactiviteacute de la profession de lrsquoenvironnement informatique leacutegal et reacuteglementaire Introduire les conseacutequences de ces tendances dans le deacuteveloppement du plan drsquoinfrastructure technologique des SI
PO34 Standards informatiques Pour proposer des solutions informatiques efficaces et sucircres agrave lrsquoensemble de lrsquoentreprise constituer un forum informatique pour donner des lignes directrices en technologie de lrsquoinformation des avis sur les produits drsquoinfrastructure et des conseils sur le choix technologique mesurer la conformiteacute par rapport agrave ces standards et agrave ces lignes directrices Ce forum doit piloter les standards et les pratiques informatiques en fonction de leur pertinence vis-agrave-vis de lrsquoactiviteacute de lrsquoentreprise des risques et de leur conformiteacute aux exigences externes
PO35 Comiteacute drsquoarchitecture technologique Creacuteer un comiteacute architecture des TI pour fournir les lignes directrices de cette architecture et les conseils pour leur application et pour en veacuterifier la conformiteacute Ce comiteacute doit piloter la conception de lrsquoarchitecture des TI en srsquoassurant qursquoelle favorise la strateacutegie de lrsquoentreprise et qursquoelle prend en compte les impeacuteratifs de conformiteacute et de continuiteacute Ceci est relieacute au processus PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 38
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
GUIDE DE MANAGEMENT
PO3 Deacuteterminer lorientation technologique
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
PO2 Plan optimiseacute des systegravemes meacutetiers architecture de linformation
AI3 Mises agrave jour des standards techniques
DS3 Information sur la performance et la capaciteacute
Sorties Vers Opportuniteacutes technologiques AI3 Standards techniques AI1 AI3 AI7 DS5 Mises agrave niveau reacuteguliegraveres de lrsquoeacutetat de la technologie AI1 AI2 AI3 Plan dinfrastructure technique AI3 Besoins en infrastructure PO5
Creacuteer et maintenir agrave niveau un plan drsquoinfrastructure technique I I A C R C C C
Creacuteer et maintenir agrave niveau des standards techniques A C R C I I I
Publier les standards techniques I I A I R I I I I
Surveiller lrsquoeacutevolution de la technologie I I A C R C C C
Deacutefinir lrsquoutilisation (future) (strateacutegique) des nouvelles technologies C C A C R C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Informatique Activiteacutes
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
deacutefinit deacutefinit
bull Deacutefinir les standards drsquoinfrastructure technique en fonction des besoins de lrsquoarchitecture informatique bull Mettre en place un plan drsquoinfrastructure technique qui trouve le bon eacutequilibre entre coucircts risques et besoins bull Mettre en place un forum destineacute agrave conseiller sur lrsquoarchitecture et agrave veacuterifier la conformiteacute
mesure induit mesure
induit mesure
bull Pourcentage drsquoeacuteleacutements non conformes aux standards techniques bull Nb de plates-formes techniques diffeacuterentes par service dans lrsquoentreprise
bull Freacutequence des reacuteunions du forum sur la technologie bull Freacutequence des reacuteunions du comiteacute drsquoarchitecture technique bull Freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technique
Meacutetriq
ues
bull Nb et type drsquoeacutecarts par rapport au plan drsquoinfrastructure technique
Processus
bull Identifier et mettre agrave profit les opportuniteacutes technologiques bull Deacutevelopper et mettre en place un plan dinfrastructure technique bull Deacutefinir les standards drsquoarchitecture et de technologie pour lrsquoinfrastructure informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 39
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
MODEgraveLE DE MATURITEacute
PO3 Deacuteterminer lorientation technologique
La gestion du processus Deacuteterminer lorientation technologique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance dun plan dinfrastructure technique pour lentreprise Les connaissances et compeacutetences neacutecessaires pour deacutevelopper un tel plan nexistent pas Personne ne reacutealise quil est essentiel de preacutevoir des changements technologiques pour affecter les ressources de maniegravere efficace
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de planifier lrsquoarchitecture technique Le deacuteveloppement de composants informatiques et la mise en place de nouvelles technologies se font isoleacutement au cas par cas Lapproche de la planification de lrsquoinfrastructure est reacuteactive et pousseacutee par les besoins opeacuterationnels Les choix techniques sont dicteacutes par les plans produits souvent contradictoires des fournisseurs de mateacuteriels de systegravemes et de progiciels Il y a peu de communication sur limpact potentiel des changements technologiques
2 Reproductible mais intuitive quand
On communique sur le besoin et lrsquoimportance drsquoune planification technologique La planification reste tactique et orienteacutee vers la recherche de solutions techniques agrave des problegravemes techniques plutocirct que vers lutilisation de lrsquoinformatique pour reacutepondre aux besoins de lentreprise Leacutevaluation des changements technologiques est laisseacutee agrave des personnes diffeacuterentes qui suivent des processus intuitifs mais similaires Les personnels acquiegraverent leurs compeacutetences en planification technologique par la pratique et par la mise en œuvre reacutepeacutetitive de techniques On voit eacutemerger des techniques et des normes communes pour le deacuteveloppement de composants dinfrastructure
3 Deacutefinie quand
Le management a conscience de limportance du plan dinfrastructure technique Le processus de son deacuteveloppement est raisonnablement sain et en coheacuterence avec le plan strateacutegique informatique Il existe un plan dinfrastructure technique deacutefini documenteacute et bien diffuseacute mais il nest pas toujours respecteacute Les orientations de ce plan montrent quels sont les domaines technologiques ougrave lentreprise souhaite ecirctre en pointe et ceux qui ont une moindre prioriteacute en fonction des risques et de la strateacutegie geacuteneacuterale de lrsquoentreprise Les fournisseurs principaux sont choisis en fonction de ladeacutequation de leurs projets deacutevolution technologiques et de leurs politiques produits agrave long terme avec les orientations de lentreprise Il existe un programme formel de formation et de reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Le management assure le deacuteveloppement et la maintenance du plan dinfrastructure technique Leacutequipe informatique a les connaissances et les compeacutetences neacutecessaires pour deacutevelopper un plan dinfrastructure technique Limpact potentiel de leacutevolution des technologies et des technologies nouvelles est pris en compte Le management peut mettre en eacutevidence les eacutecarts par rapport au plan et anticiper les problegravemes On a deacutesigneacute des responsables du deacuteveloppement et de la maintenance dun plan dinfrastructure technique Le processus de deacuteveloppement du plan drsquoinfrastructure technique est eacutelaboreacute et reacuteactif aux changements Les bonnes pratiques internes ont eacuteteacute inteacutegreacutees au processus La strateacutegie des ressources humaines est en adeacutequation avec les orientations technologiques pour faire en sorte que les informaticiens soient en mesure de faire face aux changements technologiques On a deacutefini des plans de migration pour lintroduction de nouvelles technologies Lexternalisation et le partenariat sont mis en œuvre pour acceacuteder aux connaissances et compeacutetences neacutecessaires Le management a analyseacute lrsquoacceptation du risque vis-agrave-vis de lutilisation audacieuse ou au contraire prudente des technologies lorsquil sagit de creacuteer de nouvelles opportuniteacutes professionnelles ou dameacuteliorer lefficaciteacute opeacuterationnelle
5 Optimiseacutee quand
Une eacutequipe de recherche eacutevalue les technologies nouvelles ou en eacutevolution et compare les pratiques de lentreprise aux normes de la profession Les orientations du plan drsquoinfrastructure technique sont deacutefinies par rapport aux standards et deacuteveloppements internationaux et ceux de la branche et non en fonction des technologies proposeacutees par les fournisseurs Les conseacutequences potentielles de changements technologiques sont analyseacutees au niveau du management Les dirigeants approuvent formellement les orientations technologiques nouvelles et les eacutevolutions Lrsquoentreprise a un plan dinfrastructure technique qui correspond agrave ses besoins qui est robuste reacuteactif et susceptible de sadapter agrave des modifications de lenvironnement des meacutetiers On applique un processus continu drsquoameacutelioration du plan drsquoinfrastructure technique Les orientations technologiques sont largement inspireacutees des meilleures pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 40
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
DESCRIPTION DU PROCESSUS
PO4 Deacutefinir les processus lorganisation et les relations de travail
On deacutefinit lrsquoorganisation de lrsquoinformatique en prenant en compte les besoins en personnel et en compeacutetences en preacutevoyant les fonctions les rocircles et les responsabiliteacutes la supervision lrsquoautoriteacute et en sachant qui rend des comptes agrave qui Cette organisation fait partie drsquoun cadre de reacutefeacuterence de processus informatiques qui assure la transparence et le controcircle ainsi que lrsquoimplication de la direction geacuteneacuterale et de la direction opeacuterationnelle Un comiteacute Strateacutegie assure la supervision des SI pour le compte du Conseil drsquoAdministration (CA) et un ou plusieurs comiteacute(s) de pilotage auxquel(s) participent les responsables des meacutetiers et les responsables de lrsquoinformatique deacuteterminent les prioriteacutes relatives aux ressources informatiques en fonction des besoins des meacutetiers Les processus les politiques et les proceacutedures administratives sont en place pour toutes les fonctions en apportant une attention particuliegravere au controcircle agrave lrsquoassurance qualiteacute agrave la gestion du risque agrave la proprieacuteteacute des donneacutees et des systegravemes et agrave la seacuteparation des tacircches Pour assurer leur soutien aux exigences des meacutetiers en temps voulu lrsquoinformatique doit ecirctre impliqueacutee dans les processus de deacutecisions en cause
Le controcircle du processus informatique
Deacutefinir les processus lrsquoorganisation et les relations de travail
qui reacutepondent agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents
en se concentrant sur
des structures organisationnelles informatiques transparentes flexibles et reacuteactives des processus informatiques attribueacutes agrave des proprieacutetaires avec des rocircles et des responsabiliteacutes inteacutegreacutes aux processus meacutetiers et aux processus de deacutecision
atteint son objectif en
bull deacutefinissant un cadre de reacutefeacuterence de processus informatiques bull mettant en place les entiteacutes et les structures organisationnelles approprieacutees bull deacutefinissant les rocircles et les responsabiliteacutes
et est mesureacute par
bull le pourcentage de rocircles dont la position et lrsquoautoriteacute sont deacutecrits en deacutetail bull le nombre drsquouniteacutes meacutetiersprocessus qui ne sont pas pris en compte par lrsquoorganisation
informatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull le nombre dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation informatique
et qui ne sont pas approuveacutees ou pas conformes aux standards organisationnels deacutefinis par lrsquoinformatique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 41
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
OBJECTIFS DE CONTROcircLE
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO41 Cadre de reacutefeacuterence des processus informatiques Deacutefinir un cadre de reacutefeacuterence des processus pour mettre en œuvre le plan strateacutegique des SI Ce cadre doit deacutefinir la structure des processus informatiques et leurs liens (ex geacuterer les lacunes et les recouvrements entre processus) la proprieacuteteacute la maturiteacute la mesure de la performance lrsquoameacutelioration la conformiteacute les objectifs qualiteacute et les plans pour les faire aboutir Il doit organiser lrsquointeacutegration des processus speacutecifiques aux SI la gestion du portefeuille de lrsquoentreprise les processus meacutetiers et les processus de modification de lrsquoactiviteacute de lrsquoentreprise Le cadre de reacutefeacuterence des processus informatiques doit ecirctre inteacutegreacute agrave un systegraveme de gestion de la qualiteacute et au cadre de controcircle interne
PO42 Comiteacute strateacutegique informatique Mettre en place un Comiteacute strateacutegique informatique au niveau du conseil drsquoadministration Ce comiteacute doit srsquoassurer que la gouvernance des SI eacuteleacutement de la gouvernance drsquoentreprise est bien traiteacutee donne des avis sur les orientations strateacutegiques et passe en revue les investissements majeurs pour le compte du conseil drsquoadministration
PO43 Comiteacute de pilotage informatique Mettre en place un comiteacute de pilotage informatique (ou eacutequivalent) composeacute de cadres exeacutecutifs meacutetiers et informatiques pour bull Deacuteterminer les prioriteacutes des programmes drsquoinvestissements informatiques en accord avec la strateacutegie et les prioriteacutes des meacutetiers de
lrsquoentreprise bull Assurer un suivi des projets et reacutesoudre les conflits de ressources bull Surveiller les niveaux et lrsquoameacutelioration des services
PO44 Position de la fonction informatique au sein de lentreprise Positionner la fonction informatique dans la structure globale de lrsquoentreprise selon un modegravele lieacute agrave lrsquoimportance des technologies de lrsquoinformation dans lrsquoentreprise en tenant en particulier compte de leur dimension critique pour la strateacutegie des meacutetiers et du niveau de deacutependance opeacuterationnelle vis-agrave-vis drsquoelles Le niveau hieacuterarchique du DSI doit ecirctre proportionnel agrave lrsquoimportance des SI dans lrsquoentreprise
PO45 Structure du service informatique Mettre en place une structure interne et externe drsquoorganisation de lrsquoinformatique qui reflegravete les exigences des meacutetiers En outre mettre en place un processus pour reacuteviser peacuteriodiquement la structure organisationnelle des SI de faccedilon agrave ajuster les besoins en personnel et les strateacutegies de recrutement pour faire face aux objectifs des meacutetiers deacutefinis et aux changements qui se produisent
PO46 Eacutetablissement des rocircles et responsabiliteacutes Eacutetablir et communiquer les rocircles et les responsabiliteacutes du personnel de lrsquoinformatique et des utilisateurs finaux Ils deacutefinissent lautoriteacute le niveau de responsabiliteacute et drsquoapprobation de chacun pour reacutepondre aux besoins de lrsquoentreprise
PO47 Responsabiliteacute de lassurance qualiteacute informatique Attribuer la responsabiliteacute de la performance de la fonction assurance qualiteacute et doter la fonction assurance qualiteacute des systegravemes drsquoassurance qualiteacute des compeacutetences en controcircle et en communication approprieacutes La position au sein de lrsquoentreprise les responsabiliteacutes et la dimension du groupe assurance qualiteacute doivent reacutepondre aux besoins de lentreprise
PO48 Responsabiliteacute des risques de la seacutecuriteacute et de la conformiteacute Situer la proprieacuteteacute et la responsabiliteacute des risques lieacutes aux SI dans lrsquoentreprise au niveau de management approprieacute Deacutefinir et attribuer les rocircles cruciaux de gestion des risques informatiques en y incluant les responsabiliteacutes speacutecifiques de la seacutecuriteacute de lrsquoinformation de la seacutecuriteacute physique et de la conformiteacute Situer la responsabiliteacute de la gestion de la seacutecuriteacute au niveau de lrsquoentreprise de faccedilon agrave ce qursquoelle soit concerneacutee par les questions qui touchent lrsquoensemble de lrsquoentreprise On peut avoir besoin drsquoattribuer des responsabiliteacutes suppleacutementaires de gestion de la seacutecuriteacute agrave certains niveaux des SI pour faire face agrave des problegravemes de seacutecuriteacute speacutecifiques Obtenir des orientations de la part du management sur lrsquoappeacutetence pour le risque et sur lrsquoapprobation de tout risque informatique reacutesiduel
PO49 Proprieacuteteacute des donneacutees et du systegraveme Doter lrsquoentreprise de proceacutedures et drsquooutils qui lui permettent de faire face agrave ses responsabiliteacutes de proprieacutetaire des donneacutees et des systegravemes drsquoinformation Les proprieacutetaires doivent prendre les deacutecisions concernant la classification de lrsquoinformation et la protection de cette information en fonction de cette classification
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 42
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
PO410 Supervision Mettre en place des pratiques adeacutequates de supervision dans la fonction informatique pour srsquoassurer que les rocircles et les responsabiliteacutes sont bien exerceacutes pour eacutevaluer si le personnel possegravede suffisamment dautoriteacute et de ressources pour accomplir ses tacircches et responsabiliteacutes et pour proceacuteder de maniegravere geacuteneacuterale agrave la reacutevision des indicateurs cleacutes de performance
PO411 Seacuteparation des tacircches Mettre en place une seacuteparation des rocircles et des responsabiliteacutes qui reacuteduisent la possibiliteacute quun seul individu puisse deacutetourner un processus critique Le management doit srsquoassurer que le personnel nrsquoeffectue que les tacircches autoriseacutees relevant de sa fonction et de ses attributions
PO412 Recrutement informatique Eacutevaluer reacuteguliegraverement les besoins en personnel ou agrave lrsquooccasion de changements majeurs au sein de lrsquoentreprise au niveau meacutetiers ou informatique pour srsquoassurer que la fonction informatique a un nombre suffisant de collaborateurs pour apporter le support adeacutequat et approprieacute aux attentes et objectifs des meacutetiers
PO413 Personnel informatique cleacute Recenser et identifier les personnels cleacutes (par ex les remplaccedilants ou les renforts) et limiter la deacutependance vis-agrave-vis de personnes uniques en charge drsquoune fonction critique
PO414 Proceacutedures et regravegles applicables au personnel sous contrat Srsquoassurer que les consultants et le personnel sous contrat qui travaillent agrave la direction informatique connaissent les regravegles de protection de lrsquoinformation de lrsquoentreprise et srsquoy conforment et ce pour que les termes des contrats passeacutes avec eux soient respecteacutes
PO415 Relations Mettre en place et maintenir opeacuterationnelle une structure de coordination de communication et de liaison optimale entre la fonction informatique et divers autres professionnels agrave lrsquointeacuterieur et agrave lrsquoexteacuterieur de cette fonction comme le conseil drsquoadministration la direction geacuteneacuterale les uniteacutes opeacuterationnelles certains utilisateurs les fournisseurs les responsables de la seacutecuriteacute les responsables de la gestion des risques le groupe responsable de la conformiteacute dans lrsquoentreprise et les responsables chargeacutes des prestations externes (externalisation et sousshytraitance)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 43
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 44
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
GUIDE DE MANAGEMENT
PO4 Deacutefinir les processus lorganisation et les relations de travail
De Entreacutees
PO1 Plans strateacutegiques et tactiques
PO7 Politiques et proceacutedures RH des SI tableau des compeacutetences SI descriptions des postes
PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques SI
SE1 Plans drsquoactions correctives
SE2 Rapport sur lrsquoefficaciteacute des controcircles SI
SE3 Recueil des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
SE4 Ameacuteliorations du reacutefeacuterentiel des processus
Sorties Vers Reacutefeacuterentiel des processus informatiques SE4 Documentation sur les proprieacutetaires de systegravemes AI7 DS6 Organisation et relations de travail de lrsquoinformatique PO7 Reacutefeacuterentiel des processus informatiques documentation des rocircles et responsabiliteacutes
Tous
Mettre en place une organisation des SI comprenant des comiteacutes et des liens vers les parties prenantes et les fournisseurs
C C C A C C C R C I
Eacutelaborer le reacutefeacuterentiel des processus informatiques C C C A C C C R C C
Identifier les proprieacutetaires des systegravemes C C A C R I I I I I
Identifier les proprieacutetaires des donneacutees I A C C I R I I I C
Mettre en place les rocircles et les responsabiliteacutes des SI en incluant supervision et seacuteparation des tacircches I I A I C C C R C C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Mettre en place des structures organisationnelles et des relations souples et reacuteactives pour les SI bull Deacutefinir clairement les proprieacutetaires les rocircles et les responsabiliteacutes pour tous les processus informatiques et pour les relations avec les parties prenantes
deacutefinit
induit
induit
Meacutetriq
ues
bull Satisfaction des parties prenantes (enquecirctes) bull Nb drsquoinitiatives meacutetiers retardeacutees du fait de linertie de lrsquoorganisation informatique ou de labsence des compeacutetences neacutecessaires bull Nb de processus meacutetiers non supporteacutes par lrsquoinformatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull Nb dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation des SI et qui ne sont pas approuveacutees ou pas conformes aux standards deacutefinis par lrsquoorganisation des SI
bull Nb de responsabiliteacutes en conflit vis-agrave-vis de la seacuteparation des tacircches bull Nb de points escaladeacutes ou de problegravemes non reacutesolus dus agrave une absence drsquoattribution de responsabiliteacute ou agrave son insuffisance
bull Pourcentage de rocircles ayant une description de leur position et de leur autoriteacute bull Pourcentage de fonctionsprocessus opeacuterationnels informatiques lieacutes aux structures opeacuterationnelles meacutetiers bull Freacutequence des reacuteunions des comiteacutes de strateacutegie et de pilotage
Activiteacutes
bull Deacutefinir un cadre de reacutefeacuterence pour les processus informatiques bull Mettre en place les entiteacutes et les structures organisationnelles approprieacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 45
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
MODEgraveLE DE MATURITEacute
PO4 Deacutefinir les processus lorganisation et les relations de travail
La gestion du processus Deacutefinir les processus lorganisation et les relations de travail qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents est
0 Inexistante quand
Lrsquoorganisation de lrsquoinformatique nrsquoest pas conccedilue de maniegravere efficace pour contribuer au succegraves des objectifs des meacutetiers
1 Initialiseacutee au cas par cas quand
Les activiteacutes et fonctions informatiques viennent dinitiatives au cas par cas et sont mises en place sans coheacuterence Les SI ne sont impliqueacutes dans les processus meacutetiers que dans les derniegraveres eacutetapes La fonction informatique est consideacutereacutee comme une fonction de support qui ne prend pas en compte lrsquoorganisation globale de lentreprise Le besoin dune organisation informatique est implicitement compris mais les rocircles et les responsabiliteacutes ne sont ni formaliseacutes ni appliqueacutes
2 Reproductible mais intuitive quand
La fonction informatique est organiseacutee pour offrir des solutions tactiques aux besoins des clients et aux relations avec les fournisseurs mais sans coheacuterence On communique sur le besoin dune organisation structureacutee et dune gestion des fournisseurs mais les deacutecisions deacutependent encore des connaissances et des compeacutetences dindividus cleacutes On voit eacutemerger des techniques communes de gestion de lorganisation informatique et des relations avec les fournisseurs
3 Deacutefinie quand
On a deacutefini les rocircles et les responsabiliteacutes de lrsquoinformatique et des tiers Lorganisation informatique a eacuteteacute deacuteveloppeacutee documenteacutee communiqueacutee et aligneacutee sur la strateacutegie informatique Lrsquoenvironnement de controcircle interne est deacutefini On a formaliseacute les relations avec les tiers y compris les comiteacutes de pilotage laudit interne et la gestion des fournisseurs Lrsquoorganisation informatique possegravede toutes les fonctions neacutecessaires Les fonctions agrave la charge du SI et celles agrave la charge des utilisateurs sont bien deacutefinies Les besoins essentiels en personnel et en compeacutetences informatiques sont satisfaits Les relations avec les utilisateurs et les tiers sont formellement deacutefinies On a deacutefini et mis en place la reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Lrsquoinformatique anticipe les changements et dispose de tous les rocircles neacutecessaires agrave la satisfaction des exigences des meacutetiers La direction des SI la proprieacuteteacute des processus et les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et eacutequilibreacutees Les bonnes pratiques internes sont mises en pratique dans lorganisation des fonctions du SI La direction des SI a lrsquoexpertise et les compeacutetences requises pour deacutefinir mettre en œuvre et surveiller le type dorganisation et de relations retenu On a standardiseacute les meacutetriques agrave lrsquoappui des objectifs des meacutetiers ainsi que les facteurs cleacutes de succegraves deacutefinis par les utilisateurs On dispose dun inventaire des compeacutetences pour soutenir la constitution deacutequipes de projets et le deacuteveloppement professionnel La proportion de compeacutetences et de ressources internes et de celles que lon recherchera agrave lexteacuterieur est preacuteciseacutee et appliqueacutee La structure organisationnelle de lrsquoinformatique est un bon reflet des besoins de lentreprise car elle fournit des services plus en ligne avec les processus meacutetiers strateacutegiques quavec des technologies isoleacutees
5 Optimiseacutee quand
La structure organisationnelle de lrsquoinformatique est souple et capable de sadapter On a mis en place les meilleures pratiques de la profession Lrsquoinformatique est abondamment mise agrave contribution pour assurer la surveillance de la performance de lrsquoorganisation des SI et des processus Les technologies servent de levier pour srsquoaligner et supporter la complexiteacute et la reacutepartition geacuteographique de lrsquoentreprise Un processus dameacutelioration continu est en place
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 46
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP SS
Planifier et Organiser Geacuterer les investissements informatiques PO5
DESCRIPTION DU PROCESSUS
PO5 Geacuterer les investissements informatiques
Mettre en place et maintenir opeacuterationnel pour les programmes drsquoinvestissements informatiques un cadre de reacutefeacuterence qui couvre les coucircts les beacuteneacutefices les prioriteacutes budgeacutetaires un processus de budgeacutetisation formaliseacute et une gestion conforme au budget Travailler avec les parties prenantes pour identifier et controcircler les coucircts et beacuteneacutefices totaux dans le contexte des plans strateacutegiques et tactiques informatiques et initier des mesures correctives lorsque crsquoest neacutecessaire Le processus favorise le partenariat entre lrsquoinformatique et les parties prenantes des meacutetiers facilite lrsquoutilisation efficace et efficiente des ressources informatiques et apporte transparence et responsabiliteacute dans le coucirct total de proprieacuteteacute la reacutealisation de beacuteneacutefices pour lrsquoentreprise et le retour sur investissement des investissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les investissements informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux
en se concentrant sur
des deacutecisions drsquoinvestissement et de gestion de portefeuille informatique efficaces et efficientes et sur lrsquoeacutetablissement et le suivi de budgets informatiques en ligne avec la strateacutegie et les deacutecisions drsquoinvestissement informatique
atteint son objectif en
bull preacutevoyant et en attribuant des budgets bull deacutefinissant des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette
actuelle) bull mesurant et en eacutevaluant la valeur pour lrsquoentreprise par rapport aux preacutevisions
et est mesureacute par
bull la reacuteduction du coucirct unitaire des services informatiques fournis bull le pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull le pourcentage des deacutepenses informatiques exprimeacutees en inducteurs de valeur meacutetiers (ex
augmentation des ventesservices gracircce agrave une plus grande connectiviteacute)
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 47
Planifier et Organiser PO5 Geacuterer les investissements informatiques
OBJECTIFS DE CONTROcircLE
PO5 Geacuterer les investissements informatiques
PO51 Reacutefeacuterentiel de gestion financiegravere Mettre en place un reacutefeacuterentiel de gestion financiegravere pour geacuterer les investissements et les coucircts des actifs et services informatiques agrave lrsquoaide de portefeuilles de programmes drsquoinvestissements drsquoanalyse de rentabiliteacute et de budgets
PO52 Deacutefinition des prioriteacutes dans le budget informatique Mettre en place un processus de prise de deacutecision pour deacutefinir les prioriteacutes dans lrsquoattribution des ressources informatiques pour lrsquoexploitation les projets et la maintenance dans le but de maximiser la contribution des SI agrave lrsquooptimisation du retour sur investissement du portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et des autres services et actifs informatiques
PO53 Budget informatique Deacutefinir et mettre en place des pratiques drsquoeacutelaboration drsquoun budget qui reflegravete les prioriteacutes eacutetablies par le portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et qui prend en compte les coucircts reacutecurrents de fonctionnement et de maintenance de lrsquoinfrastructure actuelle Ces pratiques doivent favoriser le deacuteveloppement drsquoun budget global informatique ainsi que celui de budgets de programmes individuels avec une attention particuliegravere pour les composantes informatiques de ces programmes Ces pratiques doivent preacutevoir des reacutevisions et des reacuteajustements reacuteguliers et lrsquoapprobation du budget global et des budgets des programmes individuels
PO54 Gestion des coucircts Mettre en place un processus de gestion des coucircts qui compare les coucircts reacuteels aux deacutepenses budgeacuteteacutees Les coucircts doivent ecirctre suivis et communiqueacutes dans un rapport Lorsqursquoil y a des eacutecarts il faut les mettre en eacutevidence en temps voulu eacutevaluer leurs conseacutequences sur les programmes et avec le responsable meacutetier de ces programmes prendre des mesures pour y remeacutedier si neacutecessaire il faut aussi reacuteeacutevaluer lrsquoanalyse de rentabiliteacute du programme
PO55 Gestion des beacuteneacutefices Mettre en place un processus de surveillance des beacuteneacutefices attendus de la fourniture et du maintien de capaciteacutes informatiques approprieacutes La contribution de lrsquoinformatique aux meacutetiers soit en tant que composante des programmes drsquoinvestissements agrave composantes informatiques soit en tant que soutien opeacuterationnel habituel doit ecirctre identifieacutee eacutetayeacutee par une analyse de rentabiliteacute approuveacutee surveilleacutee et faire lrsquoobjet de rapports Il faut faire une analyse critique des rapports et srsquoil est possible drsquoameacuteliorer la contribution des SI il faut deacuteterminer des actions agrave entreprendre et agir Lorsque des changements dans la contribution des SI ont des conseacutequences sur un programme ou lorsque ces conseacutequences viennent de modifications drsquoautres projets lrsquoanalyse de rentabiliteacute du programme doit ecirctre reacuteeacutevalueacutee
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 48
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les investissements informatiques PO5
GUIDE DE MANAGEMENT
PO5 Geacuterer les investissements informatiques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO3 Besoins en infrastructures
PO10 Portefeuille de projets informatiques actualiseacute
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
DS3 Plan performance et capaciteacute (exigences)
DS6 Donneacutees financiegraveres informatiques
SE4 Reacutesultats attendus des investissements informatiques des meacutetiers
Sorties Vers Rapports coucirctsbeacuteneacutefices PO1 AI2 DS6 SE1 SE4 Budgets informatiques DS6 Portefeuille actualiseacute des services SI DS1 Portefeuille actualiseacute des projets SI PO10
Tenir agrave jour le portefeuille de programmes A R R R C I I
Tenir agrave jour le portefeuille de projets I C AR AR C C C C I
Tenir agrave jour le portefeuille de services I C AR AR C C C I
Mettre en place et tenir agrave jour le processus de budgeacutetisation informatique I C C A C C C R C
Identifier communiquer et surveiller les investissements les coucircts et la valeur des SI pour lrsquoentreprise I C C AR C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage des investissements informatiques qui apportent ou deacutepassent les beacuteneacutefices preacutedeacutefinis pour lrsquoentreprise bull Pourcentage drsquoinducteurs valeur des SI mis en rapport avec les inducteurs de valeur meacutetiers bull Pourcentage de la deacutepense informatique exprimeacutee en inducteurs de valeur meacutetiers (ex augmentation des ventes gracircce agrave une plus grande connectiviteacute)
bull Nb drsquoeacutecarts par rapport au budget bull Pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull Pourcentage de reacuteduction du coucirct unitaire des services informatiques fournis bull Pourcentage drsquoinvestissements informatiques qui apportent les beacuteneacutefices preacutedeacutefinis
bull Pourcentage de projets dont les beacuteneacutefices sont deacutefinis sans eacutequivoque bull Pourcentage de services informatiques dont le coucirct est eacutevalueacute bull Pourcentage de projets qui ont fait lrsquoobjet drsquoun bilan a posteriori bull Freacutequence du reportage sur les beacuteneacutefices bull Pourcentage de projets pour lesquels on dispose de lrsquoinformation sur la performance (par ex performance coucirct deacutelai et profil de risque)
Processus
bull Faciliter les deacutecisions drsquoinvestissements informatiques et de portefeuilles bull Eacutetablir et suivre les budgets informatiques en ligne avec la strateacutegie en SI et les deacutecisions drsquoinvestissement en SI bull Optimiser les coucircts et maximiser les beacuteneacutefices informatiques
Activiteacutes
bull Deacutefinir des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette actuelle) bull Preacutevoir et attribuer des budgets bull Mesurer et eacutevaluer la valeur pour lrsquoentreprise par rapport aux preacutevisions
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 49
Planifier et Organiser PO5 Geacuterer les investissements informatiques
MODEgraveLE DE MATURITEacute
PO5 Geacuterer les investissements informatiques
La gestion du processus Geacuterer les investissements informatiques qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance du choix des investissements informatiques et de leur budgeacutetisation Il nrsquoy a ni suivi ni surveillance des investissements et des deacutepenses informatiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de geacuterer les investissements informatiques mais ce besoin nrsquoest pas reacuteguliegraverement communiqueacute Lrsquoattribution de la responsabiliteacute du choix des investissements et de lrsquoeacutelaboration du budget informatique se fait au cas par cas On trouve isoleacutement des choix dinvestissements et des budgets informatiques documenteacutes de faccedilon informelle Les investissements informatiques sont justifieacutes au cas par cas Certaines deacutecisions budgeacutetaires sont prises de faccedilon circonstancielle pour reacutepondre agrave des besoins opeacuterationnels
2 Reproductible mais intuitive quand
Le besoin de faire des choix drsquoinvestissements et drsquoeacutetablir un budget informatique est implicitement compris On communique sur le besoin drsquoun processus de choix et de gestion budgeacutetaire La conformiteacute deacutepend drsquoinitiatives individuelles On voit eacutemerger des techniques communes pour deacutevelopper des composantes du budget informatique On prend des deacutecisions budgeacutetaires au coup par coup
3 Deacutefinie quand
Les politiques et les processus drsquoinvestissements et de gestion budgeacutetaire sont deacutefinis documenteacutes et communiqueacutes et prennent en compte les aspects meacutetiers et technologiques essentiels Le budget informatique est en ligne avec le plan strateacutegique informatique et avec celui de lentreprise Les processus deacutetablissement du budget et de choix des investissements informatiques sont formaliseacutes documenteacutes et communiqueacutes Une formation formelle est mise en place mais elle reste principalement baseacutee sur des initiatives individuelles On formalise lapprobation des choix budgeacutetaires et dinvestissements informatiques Le personnel informatique a les connaissances et les compeacutetences neacutecessaires pour eacutetablir le budget informatique et recommander les investissements approprieacutes
4 Geacutereacutee et mesurable quand
La responsabiliteacute fonctionnelle et la responsabiliteacute finale des choix dinvestissements et du budget est confieacutee agrave une personne preacutecise On relegraveve les eacutecarts par rapport au budget et on y remeacutedie Une analyse formelle est effectueacutee et rend compte des coucircts directs et indirects des opeacuterations en cours aussi bien que des investissements proposeacutes elle prend en compte tous les coucircts du cycle de vie On utilise un processus de gestion budgeacutetaire normaliseacutee et capable danticiper On constate dans les plans drsquoinvestissement un glissement des coucircts de deacuteveloppement et dexploitation des des mateacuteriels et logiciels au profit de lrsquointeacutegration des systegravemes et des ressources humaines informatiques On calcule les beacuteneacutefices et autres avantages en termes agrave la fois financiers et non financiers
5 Optimiseacutee quand
On utilise les meilleures pratiques de la profession pour eacutetalonner les coucircts et susciter des approches susceptibles dameacuteliorer lrsquoefficaciteacute des investissements On analyse les nouveauteacutes technologiques pour opeacuterer les choix dinvestissements et eacutetablir les budgets Le processus de gestion des investissements est continuellement ameacutelioreacute en fonction de lrsquoanalyse des performances reacuteelles des investissements Les deacutecisions drsquoinvestissement tiennent compte des tendances agrave lrsquoameacutelioration du rapport prixperformance On cherche et on eacutevalue meacutethodiquement des alternatives de financement dans le contexte existant de la structure du capital de lentreprise en utilisant des meacutethodes deacutevaluation formelles On indentifie les variations de faccedilon proactive On tient compte dans les deacutecisions dinvestissements dune analyse agrave long terme des coucircts et des beacuteneacutefices pour un cycle de vie complet
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 50
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
P S
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
DESCRIPTION DU PROCESSUS
PO6 Faire connaicirctre les buts et orientations du management
Le management deacuteveloppe un cadre de controcircle des SI pour lrsquoentreprise deacutefinit et communique les politiques Il met en place un programme de communication permanent approuveacute et soutenu par le management pour articuler la mission les objectifs de fourniture de services les politiques et les proceacutedures etc Cette communication apporte son soutien aux objectifs informatiques et srsquoassure qursquoon est attentif aux risques aux objectifs et aux orientations meacutetiers et informatique et qursquoon les comprend Ce processus srsquoassure de la conformiteacute aux lois et regraveglements qui srsquoappliquent agrave lui
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Faire connaicirctre les buts et les orientations du management
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes
en se concentrant sur
la fourniture aux parties prenantes de politiques proceacutedures lignes directrices et autres eacuteleacutements drsquoinformation compreacutehensibles et approuveacutes agrave lrsquointeacuterieur drsquoun cadre de controcircle des SI
atteint son objectif en
bull deacutefinissant un cadre de controcircle pour les processus informatiques bull deacuteveloppant et deacuteployant des politiques informatiques bull appliquant les politiques informatiques
et est mesureacute par
bull le nombre de perturbations des activiteacutes du fait de perturbations des services informatiques
bull le pourcentage de parties prenantes qui comprennent le cadre de controcircle des SI de lrsquoentreprise
bull le pourcentage de parties prenantes qui ne se conforment pas agrave la politique
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 51
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
OBJECTIFS DE CONTROcircLE
PO6 Faire connaicirctre les buts et orientations du management
PO61 Politique informatique et environnement de controcircle Deacutefinir les eacuteleacutements drsquoun environnement de controcircle des SI en ligne avec la philosophie de management et le style de fonctionnement de lrsquoentreprise Parmi ces eacuteleacutements on doit trouver les attentesexigences drsquoapport de valeur des investissements informatiques lrsquoappeacutetence pour le risque lrsquointeacutegriteacute les valeurs eacutethiques la compeacutetence du personnel les responsabiliteacutes opeacuterationnelles et finales Lrsquoenvironnement de controcircle est baseacute sur une culture dont les principes sont lrsquoapport de valeur tout en geacuterant les risques significatifs lrsquoencouragement agrave la coopeacuteration entre services et au travail drsquoeacutequipe la promotion de la conformiteacute et de lrsquoameacutelioration permanente des processus et la bonne prise en main des anomalies de fonctionnement (ou des eacutechecs) des processus
PO62 Risque informatique pour lrsquoentreprise et cadre de controcircle Deacutevelopper et maintenir agrave jour un cadre de reacutefeacuterence qui deacutefinit lrsquoapproche globale de lrsquoentreprise vis-agrave-vis du risque informatique et de son controcircle Ce cadre est aligneacute sur la politique informatique et son environnement de controcircle ainsi que sur le reacutefeacuterentiel de risque et de controcircle de lrsquoentreprise
PO63 Gestion des politiques informatiques Deacutevelopper et tenir agrave jour un ensemble de politiques agrave lrsquoappui de la strateacutegie SI Ces politiques doivent preacuteciser leurs objectifs comporter des rocircles et responsabiliteacutes des processus de gestion des exceptions une approche conformiteacute et des reacutefeacuterences aux proceacutedures aux standards et aux lignes directrices Leur pertinence doit ecirctre reacuteguliegraverement confirmeacutee et approuveacutee
PO64 Deacuteploiement des politiques des standards et des proceacutedures Deacuteployer et faire respecter par tout le personnel concerneacute des politiques informatiques Elles font partie inteacutegrante du fonctionnement de lrsquoentreprise
PO65 Communication des objectifs et des orientations informatiques Sensibiliser et faire comprendre les objectifs et les orientations informatiques aux parties prenantes et utilisateurs concerneacutes dans lrsquoensemble de lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 52
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
GUIDE DE MANAGEMENT
PO6 Faire connaicirctre les buts et orientations du management
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO9 Guide de gestion des risques lieacutes aux SI
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
Sorties Vers Reacutefeacuterentiel de controcircle des SI de lrsquoentreprise Tous Politiques informatiques Tous
Mettre en place et maintenir opeacuterationnels un environnement et un reacutefeacuterentiel de controcircle informatique I C I AR I C C C C
Deacutevelopper et actualiser les politiques informatiques I I I AR C C C R C
Communiquer le reacutefeacuterentiel de controcircle les objectifs et les orientations des SI I I I AR R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Srsquoassurer que linformation sensible et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoa qursquoun impact minimum sur les meacutetiers bull Srsquoassurer drsquoune bonne utilisation et de la bonne performance des applications et des technologies bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
bull Deacutefinir le reacutefeacuterentiel de controcircle des SI bull Deacutevelopper et deacuteployer des politiques informatiques bull Faire appliquer les politiques informatiques bull Deacutefinir et maintenir agrave jour un plan de communication
induit
induit
Meacutetriq
ues
bull Nb drsquooccasions ougrave des informations confidentielles ont eacuteteacute compromises bull Nb de perturbations meacutetiers dues agrave des perturbations de services informatiques bull Niveau de compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services informatiques
bull Pourcentage de parties prenantes qui comprennent la politique informatique bull Pourcentage de parties prenantes qui comprennent le reacutefeacuterentiel de controcircle des SI de lrsquoentreprise bull Pourcentage de parties concerneacutees qui ne se conforment pas agrave la politique
bull Freacutequence des reacutevisionsmises agrave jour des politiques bull Caractegravere opportun et freacutequence de la communication aux utilisateurs bull Freacutequence de reacutevisionmise agrave jour du reacutefeacuterentiel de controcircle des SI
Processus
bull Deacutevelopper un reacutefeacuterentiel de controcircle des SI commun et exhaustif bull Deacutevelopper un ensemble commun et exhaustif de politiques informatiques bull Communiquer la strateacutegie informatique les politiques et le reacutefeacuterentiel de controcircle
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 53
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
MODEgraveLE DE MATURITEacute
PO6 Faire connaicirctre les buts et orientations du management
La gestion du processus Faire connaicirctre les buts et orientations du management qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes est
0 Inexistante quand
Le management na pas mis en place un environnement de controcircle de linformatique positif On ne reconnaicirct pas encore le besoin deacutetablir un ensemble de processus de mise en œuvre des politiques des plans et proceacutedures et de la mise en conformiteacute
1 Initialiseacutee au cas par cas quand
Le management ne prend en compte les exigences dun environnement de controcircle de linformation qursquoen reacuteaction aux circonstances On eacutetablit et on communique les politiques les proceacutedures et les standards selon les besoins au fur et agrave mesure quils se font jour Les processus de deacuteveloppement de communication et de mise en conformiteacute sont informels et incoheacuterents
2 Reproductible mais intuitive quand
Le management comprend implicitement les besoins et les exigences dun environnement de controcircle de linformation efficace mais les pratiques restent largement informelles Le management a fait connaicirctre le besoin de politiques de plans et de proceacutedures de controcircle mais leur deacuteveloppement est laisseacute agrave linitiative de chaque responsable et de certaines entiteacutes de lrsquoentreprise On reconnaicirct quune politique de qualiteacute est philosophiquement souhaitable mais les pratiques sont laisseacutees agrave la discreacutetion de chaque responsable La formation elle aussi se fait sur la base de besoins identifieacutes de faccedilon individuelle
3 Deacutefinie quand
Le management deacuteveloppe documente et communique un environnement complet du controcircle de lrsquoinformation et de la gestion de la qualiteacute qui inclut un cadre de reacutefeacuterence pour les politiques les plans et proceacutedures Le processus de deacuteveloppement des politiques est structureacute tenu agrave jour et connu du personnel et les politiques plans et proceacutedures existants sont raisonnablement fiables et sappliquent aux questions essentielles Le management met laccent sur limportance de la sensibilisation agrave la seacutecuriteacute des SI et a lanceacute des programmes de sensibilisation sur ce thegraveme Une formation formelle pour soutenir lenvironnement de controcircle de linformation existe mais elle nest pas mise en œuvre de faccedilon rigoureuse Lorsqursquoil existe un cadre de reacutefeacuterence geacuteneacuteral pour le deacuteveloppement de politiques et de proceacutedures de controcircle la surveillance de la conformiteacute agrave ces politiques et agrave ces proceacutedures nrsquoest pas reacuteguliegravere Il existe un cadre de reacutefeacuterence geacuteneacuteral de deacuteveloppement On a formaliseacute et standardiseacute des techniques pour promouvoir la sensibilisation agrave la seacutecuriteacute
4 Geacutereacutee et mesurable quand
Le management accepte la responsabiliteacute de communiquer les politiques de controcircle interne deacutelegravegue les responsabiliteacutes et attribue suffisamment de ressources pour que lenvironnement puisse sadapter agrave des changements importants On a creacuteeacute un environnement de controcircle de linformation positif et proactif et on sest engageacute sur la voie de la sensibilisation aux questions de qualiteacute et de seacutecuriteacute de linformation On deacuteveloppe tient agrave jour et communique un ensemble complet de politiques de plans et proceacutedures constitueacute des bonnes pratiques internes On eacutetablit un cadre de deacuteploiement qui comporte les veacuterifications de conformiteacute neacutecessaires
5 Optimiseacutee quand
Lenvironnement de controcircle de linformation est en ligne avec la vision strateacutegique geacuteneacuterale et avec le cadre de gestion de cette strateacutegie il est freacutequemment reacuteviseacute mis agrave jour et constamment ameacutelioreacute Des experts internes et externes sont deacutesigneacutes pour sassurer quon utilise les meilleures pratiques de la profession en ce qui concerne la conduite du controcircle et les techniques de communication Les processus de surveillance dauto eacutevaluation et de veacuterification de la conformiteacute ont peacuteneacutetreacute toute lentreprise On utilise linformatique pour tenir agrave jour les bases de connaissances sur les politiques et sur la sensibilisation et pour optimiser la communication gracircce agrave la bureautique et aux outils de formation sur ordinateur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 54
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7
DESCRIPTION DU PROCESSUS
PO7 Geacuterer les ressources humaines de lrsquoinformatique
Engager et conserver des collaborateurs compeacutetents pour la creacuteation et la fourniture de services informatiques agrave lrsquoentreprise Pour y arriver il faut suivre des pratiques deacutefinies et approuveacutees en matiegravere de recrutement de formation drsquoeacutevaluation de promotion et de deacutepart Ce processus est critique car les personnes constituent un actif important et la gouvernance et lrsquoenvironnement de controcircle interne deacutependent eacutenormeacutement de la motivation et de la compeacutetence du personnel
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les ressources humaines de lrsquoinformatique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques
en se concentrant sur
lrsquoembauche et la formation du personnel sa motivation par des plans de carriegraveres clairs lrsquoattribution de rocircles qui correspondent agrave sa compeacutetence lrsquoeacutetablissement drsquoun processus drsquoeacutevaluation deacutefini la creacuteation de fiches de postes et la surveillance agrave ne pas deacutependre de personnes cleacutes
atteint son objectif en
bull eacutevaluant les performances du personnel bull embauchant et en formant du personnel informatique pour faire avancer les plans tactiques bull minimisant les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes
et est mesureacute par
bull le niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique
bull le taux de turnover du personnel informatique bull le pourcentage drsquoinformaticiens dont les diplocircmes sont en adeacutequation avec les besoins des
diffeacuterents postes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 55
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
OBJECTIFS DE CONTROcircLE
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO71 Recrutement et maintien du personnel Aligner les processus de recrutement du personnel informatique sur les politiques et les proceacutedures globales de lrsquoentreprise (ex embauche environnement de travail favorable orientation) Mettre en place des processus pour srsquoassurer que le personnel informatique est deacuteployeacute comme il convient dans lrsquoentreprise et qursquoil a les compeacutetences neacutecessaires pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO72 Compeacutetences du personnel Veacuterifier reacuteguliegraverement que le personnel a les compeacutetences neacutecessaires pour remplir son rocircle en fonction de son instruction formation etou expeacuterience Deacutefinir les besoins en compeacutetences informatiques fondamentales et veacuterifier qursquoils sont satisfaits en utilisant des programmes de qualification et de certification si crsquoest utile
PO73 Affectation des rocircles Deacutefinir surveiller et superviser des reacutefeacuterentiels pour les rocircles les responsabiliteacutes et la reacutemuneacuteration du personnel en incluant lrsquoobligation dadheacuterer aux proceacutedures et politiques de lentreprise agrave son code deacutethique et agrave ses pratiques professionnelles Le niveau de supervision doit ecirctre fonction de lrsquoimportance du poste et de lrsquoeacutetendue des responsabiliteacutes attribueacutees
PO74 Formation Bien orienter les employeacutes des SI agrave lrsquoembauche et leur dispenser la formation permanente neacutecessaire pour tenir agrave jour leurs connaissances compeacutetences capaciteacutes et leur sensibilisation au controcircle interne et agrave la seacutecuriteacute au niveau neacutecessaire pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO75 Deacutependance agrave lrsquoeacutegard drsquoindividus Deacutependre le moins possible drsquoindividus cleacutes dans les secteurs essentiels gracircce agrave lrsquoacquisition de connaissances (documentation) au partage des connaissances aux plans drsquoeacutevolution de carriegravere et aux personnels de remplacement
PO76 Proceacutedures de seacutecuriteacute concernant le personnel Inclure des veacuterifications drsquoanteacuteceacutedents dans le processus de recrutement du personnel informatique Lrsquoeacutetendue et la freacutequence de ces veacuterifications doivent ecirctre fonction du niveau de criticiteacute etou de sensibiliteacute de la fonction et srsquoappliquer aux employeacutes aux contractuels et aux fournisseurs
PO77 Eacutevaluation des performances Exiger des eacutevaluations approprieacutees et reacuteguliegraveres par rapport agrave des objectifs individuels eacutetablis drsquoapregraves les objectifs de lrsquoentreprise les standards en vigueur et les responsabiliteacutes speacutecifiques du poste Les performances et le comportement des employeacutes doivent ecirctre activement stimuleacutes par lrsquoaccompagnement lorsque crsquoest approprieacute
PO7 8 Changements de postes et deacuteparts Agir avec deacutetermination en ce qui concerne les mouvements de personnels en particulier les deacuteparts Il faut organiser le transfert des connaissances reacuteattribuer les responsabiliteacutes et supprimer les droits drsquoaccegraves de faccedilon agrave minimiser les risques et agrave garantir la continuiteacute de la fonction
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 56
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7 GUIDE DE MANAGEMENT
PO7 Geacuterer les ressources humaines de lrsquoinformatique
De Entreacutees
PO4 Documentation relative agrave lrsquoorganisation aux relations aux rocircles et responsabiliteacutes des SI
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
Sorties Vers Politiques et proceacutedures RH des SI PO4 Tableau des compeacutetences SI PO4 PO10 Fiches de poste PO4 Compeacutetences et connaissances des utilisateurs et formation individuelle
DS7
Besoins speacutecifiques de formation DS7 Rocircles et responsabiliteacutes Tous
Identifier les compeacutetences informatiques les fiches de postes lrsquoeacuteventail des salaires et les tests comparatifs de performance personnelle
C A C C C R C
Appliquer les politiques RH et les proceacutedures particuliegraveres aux SI (recrutement embauche approbation reacutemuneacuteration formation eacutevaluation promotion et licenciement)
A R R R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Se procurer et conserver les compeacutetences neacutecessaires agrave la strateacutegie informatique bull Donner de lrsquoagiliteacute aux SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique bull Turnover du personnel informatique bull Pourcentage du personnel informatique satisfait (meacutetrique composite)
bull Pourcentage du personnel informatique dont le profil de compeacutetences correspond aux postes deacutefinis par la strateacutegie bull Pourcentage de postes informatiques occupeacutes bull Pourcentage de journeacutees de travail perdues du fait drsquoabsences impreacutevues bull Pourcentage du personnel informatique qui va au bout de son programme de formation annuel bull Ratio reacuteel contractuelssalarieacutes compareacute au ratio preacutevu bull Pourcentage drsquoemployeacutes de lrsquoinformatique dont les anteacuteceacutedents ont eacuteteacute veacuterifieacutes bull Pourcentage de postes informatiques pourvus de remplaccedilants qualifieacutes
bull Pourcentage du personnel informatique qui a meneacute agrave terme un plan de formation professionnelle bull Pourcentage du personnel informatique dont lrsquoeacutevaluation des performances est valideacutee et documenteacutee en temps opportun bull Pourcentage de postes informatiques assortis drsquoune fiche et drsquoexigences de qualification bull Nb moyen de jours de formation et de deacuteveloppement personnel (y compris accompagnement) par personne et par an bull Taux de rotation du personnel informatique bull Pourcentage du personnel informatique dont les diplocircmes correspondent aux besoins du poste bull Nb moyen de jours pour pourvoir les postes informatiques disponibles
Processus
bull Eacutelaborer des pratiques professionnelles de management RH pour les SI bull Utiliser tout le personnel informatique efficacement tout en minimisant la deacutependance vis-agrave-vis de personnels cleacutes
Activiteacutes
bull Embaucher et former du personnel informatique pour faire avancer les plans tactiques bull Reacuteduire les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes bull Evaluer les performances du personnel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 57
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
MODEgraveLE DE MATURITEacute
PO7 Geacuterer les ressources humaines de lrsquoinformatique
La gestion du processus Geacuterer les ressources humaines de lrsquoinformatique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance quil y a pour lentreprise agrave mettre en coheacuterence la gestion des ressources humaines de lrsquoinformatique avec le processus de planification informatique Personne individuellement ou en groupe nest formellement responsable de la gestion des ressources humaines de lrsquoinformatique
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de geacuterer les ressources humaines informatiques Le processus de gestion des ressources humaines de lrsquoinformatique est informel et deacutepend des circonstances Il est axeacute sur lrsquoactiviteacute drsquoembauche et de gestion du personnel informatique Il y a cependant une prise de conscience de limpact quont les modifications rapides de lrsquoentreprise et des technologies ainsi que la complexiteacute de plus en plus grande des solutions sur le besoin de nouvelles expertises et de compeacutetences
2 Reproductible mais intuitive quand
Il y a une approche tactique de lembauche et de la gestion du personnel informatique inspireacutee par les besoins de projets speacutecifiques plutocirct que par la recherche drsquoun bon eacutequilibre entre les compeacutetences internes et externes Le nouveau personnel beacuteneacuteficie dune formation informelle puis de formations adapteacutees aux circonstances
3 Deacutefinie quand
Il existe un processus deacutefini et documenteacute pour la gestion des ressources humaines de lrsquoinformatique Il existe un plan de gestion des ressources humaines de lrsquoinformatique Il y a une approche strateacutegique de lembauche et de la gestion du personnel informatique On a conccedilu un programme formel de formation pour faire face aux besoins des ressources humaines de lrsquoinformatique On a mis en place un plan de formation alterneacute destineacute agrave deacutevelopper aussi bien les compeacutetences meacutetiers que les compeacutetences techniques
4 Geacutereacutee et mesurable quand
On a confieacute speacutecifiquement agrave une personne ou agrave un groupe doteacute(e) de lexpeacuterience et des compeacutetences requises la responsabiliteacute de deacutevelopper et de maintenir opeacuterationnel le plan de gestion des ressources humaines de lrsquoinformatique Le processus de deacuteveloppement et de gestion du plan de gestion des ressources humaines de lrsquoinformatique est reacuteactif aux changements Lentreprise dispose de mesures standards qui lui permettent de faire ressortir les eacutecarts par rapport au plan de gestion des ressources humaines de lrsquoinformatique avec une attention particuliegravere pour la gestion de la croissance des effectifs et du turnover On met en place des analyses des reacutemuneacuterations et des compeacutetences et on les compare aux bonnes pratiques des autres DSI et des autres entreprises de la branche La gestion des ressources humaines est proactive et prend en compte les plans de deacuteveloppement de carriegravere
5 Optimiseacutee quand
Le plan de gestion des ressources humaines de lrsquoinformatique est continuellement actualiseacute pour faire face aux besoins drsquoeacutevolution de lrsquoentreprise La gestion des ressources humaines de lrsquoinformatique fait partie du plan informatique assurant le deacuteveloppement et lutilisation optimum des compeacutetences informatiques disponibles La gestion des ressources humaines de lrsquoinformatique fait partie des orientations strateacutegiques de lrsquoentreprise et reacuteagit agrave leur eacutevolution Les composantes de cette gestion telles que reacutemuneacuteration eacutevaluation des performances participation agrave des forums professionnels transfert de connaissances formation et suivi individuel sont conformes aux meilleures pratiques en vigueur dans la branche On met en place des programmes de formation avant tout deacuteploiement de nouveaux produits ou de nouvelles normes techniques dans lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 58
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et Organiser Geacuterer la qualiteacute PO8
DESCRIPTION DU PROCESSUS
PO8 Geacuterer la qualiteacute
Un systegraveme de gestion de la qualiteacute est deacuteveloppeacute et actualiseacute ce qui implique des processus et des standards de deacuteveloppement et drsquoachat eacuteprouveacutes Ceci est rendu possible par la planification la mise en place et lrsquoactualisation drsquoun systegraveme de gestion de la qualiteacute et par des exigences des proceacutedures et des politiques de qualiteacute clairement deacutefinies Les exigences de qualiteacute doivent ecirctre eacutenonceacutees et communiqueacutees au travers drsquoindicateurs quantifiables et reacutealistes Lrsquoameacutelioration permanente srsquoobtient par une surveillance continue lrsquoanalyse des eacutecarts et leur correction et la communication des reacutesultats aux parties prenantes La gestion de la qualiteacute est essentielle pour srsquoassurer que lrsquoinformatique apporte de la valeur agrave lrsquoentreprise une ameacutelioration continue et une transparence vis-agrave-vis des parties prenantes
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer la qualiteacute
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis
en se concentrant sur
la deacutefinition drsquoun systegraveme de gestion de la qualiteacute (SGQ) la surveillance permanente de la performance compareacutee aux objectifs et la mise en place drsquoun programme drsquoameacutelioration permanente des services informatiques
atteint son objectif en
bull deacutefinissant des standards et des pratiques de qualiteacute bull surveillant et reacutevisant les performances internes et externes par rapport aux standards et pratiques de
qualiteacute deacutefinis bull ameacuteliorant le systegraveme de gestion de la qualiteacute de faccedilon permanente
et est mesureacute par
bull le pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
bull le pourcentage de processus informatiques formellement et peacuteriodiquement reacuteviseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et leurs objectifs qualiteacute
bull le pourcentage de processus qui font lrsquoobjet drsquoune revue drsquoassurance qualiteacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 59
Planifier et Organiser PO8 Geacuterer la qualiteacute
OBJECTIFS DE CONTROcircLE
PO8 Geacuterer la qualiteacute
PO81 Systegraveme de gestion de la qualiteacute (SGQ) Mettre en place et actualiser un SGQ qui offre une approche standard formelle et continue de la gestion qualiteacute en ligne avec les exigences des meacutetiers Le SGQ doit identifier les exigences et les critegraveres qualiteacute les processus informatiques cleacutes leur ordre de succession et leurs interactions les politiques critegraveres et meacutethodes pour deacutefinir deacutetecter corriger et preacutevenir les deacutefauts de conformiteacute Le SGQ doit deacutefinir lrsquoorganisation de la gestion qualiteacute avec ses rocircles ses tacircches et ses responsabiliteacutes Tous les domaines cleacutes deacuteveloppent leurs plans qualiteacute avec leurs critegraveres et leurs politiques en ligne avec les critegraveres et les politiques et enregistrent leurs donneacutees qualiteacute Surveiller et mesurer lrsquoefficaciteacute et lrsquoadoption du SGQ et lrsquoameacuteliorer lorsque crsquoest neacutecessaire
PO82 Standards informatiques et pratiques qualiteacute Identifier et actualiser les standards les proceacutedures et les pratiques pour les processus cleacutes pour guider lrsquoentreprise vers lrsquoobjectif du SGQ Utiliser les meilleures pratiques de la branche comme reacutefeacuterence lorsqursquoon adapte et qursquoon ameacuteliore les pratiques qualiteacute de lrsquoentreprise
PO83 Standards de deacuteveloppement et drsquoacquisition Adopter et actualiser les standards pour tous les deacuteveloppements et acquisitions qui suivent le cycle de vie du livrable deacutefinitif et qui exigent un aval agrave chaque eacutetape cleacute selon des critegraveres drsquoagreacutement convenus Prendre en compte les standards de codification des logiciels conventions de nommage formats de fichiers standards de conception de scheacutemas et de dictionnaires de donneacutees standards drsquointerfaces utilisateurs interopeacuterabiliteacute efficience des performances des systegravemes capaciteacute de mise agrave lrsquoeacutechelle standards de deacuteveloppement et de tests validation par rapport aux demandes plans de tests et tests unitaires de reacutegression et drsquointeacutegration
PO84 Orientation client Orienter la gestion qualiteacute vers les clients en deacuteterminant leurs besoins et en alignant ces derniers sur les standards et les pratiques informatiques Deacutefinir les rocircles et les responsabiliteacutes concernant la reacutesolution de conflits entre lrsquoutilisateurclient et lrsquoinformatique
PO85 Ameacutelioration continue Actualiser et communiquer reacuteguliegraverement un plan geacuteneacuteral qualiteacute qui promeut lrsquoameacutelioration continue de la qualiteacute
PO86 Mesure surveillance et revue qualiteacute Deacutefinir planifier et mettre en place un systegraveme de mesure pour surveiller en continu la conformiteacute au SGQ ainsi que la valeur apporteacutee par celui-ci Le proprieacutetaire du processus doit mesurer surveiller et enregistrer les informations pour pouvoir deacutecider des actions correctives et preacuteventives approprieacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 60
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer la qualiteacute PO8
GUIDE DE MANAGEMENT
PO8 Geacuterer la qualiteacute
De Entreacutees
PO1 Plan informatique strateacutegique
PO10 Plans deacutetailleacutes des projets
SE1 Plans drsquoactions correctives
Sorties Vers Standards drsquoacquisition AI1 AI2 AI3 AI5 DS2 Standards de deacuteveloppement PO10 AI1 AI2 AI3 AI7 Exigences de standards de qualiteacute et de meacutetriques Tous Actions pour lrsquoameacutelioration de la qualiteacute PO4 AI6
Deacutefinir un systegraveme de gestion qualiteacute (SGQ) C C AR I I I I I I C
Mettre en place et actualiser un SGQ I I I AR I C C C C C C
Bacirctir et communiquer des standards qualiteacute dans toute lrsquoentreprise I AR I C C C C C C
Bacirctir et geacuterer le plan qualiteacute pour lrsquoameacutelioration continue AR I C C C C C C
Mesurer surveiller et reacuteviser la conformiteacute avec les objectifs qualiteacute AR I C C C C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire les deacutefauts et la reacutefection de la fourniture de solutions et de services bull Livrer les projets dans les deacutelais et dans le budget en respectant les standards qualiteacute
deacutefinit deacutefinit
bull Deacutefinir des standards et des pratiques de qualiteacute bull Surveiller et reacuteviser les performances internes et externes par rapport aux standards et pratiques de qualiteacute deacutefinis
mesure induit mesure
induit mesure
bull Pourcentage de deacutefauts deacutecouverts avant mise en production bull Pourcentage de reacuteduction du nombre drsquoincidents graves par utilisateur et par mois bull Pourcentage de projets informatiques reacuteviseacutes et avaliseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et les objectifs qualiteacute bull Pourcentage de processus informatiques formellement et reacuteguliegraverement reacuteviseacutes par lrsquoassurance qualiteacute et qui atteignent leur cible et les objectifs qualiteacute
bull Pourcentage de projets faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage du personnel informatique sensibiliseacuteformeacute agrave la gestion de la qualiteacute bull Pourcentage de processus et de projets informatiques beacuteneacuteficiant drsquoune participation active des parties prenantes agrave lrsquoassurance qualiteacute bull Pourcentage de processus faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage des parties prenantes participant agrave des enquecirctes qualiteacute
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
Processus
bull Eacutetablir des standards et une culture qualiteacute pour les processus informatiques bull Eacutetablir une fonction assurance qualiteacute informatique efficiente et efficace bull Surveiller lrsquoefficaciteacute des processus et des projets informatiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 61
Planifier et Organiser PO8 Geacuterer la qualiteacute
MODEgraveLE DE MATURITEacute
PO8 Geacuterer la qualiteacute
La gestion du processus Geacuterer la qualiteacute qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis est
0 Inexistante quand
Lrsquoentreprise ne dispose ni drsquoun processus de planification SGQ ni drsquoune meacutethodologie du de gestion du cycle de vie des systegravemes Le management et le personnel informatique ne pensent pas qursquoun programme qualiteacute soit neacutecessaire Les projets et les opeacuterations ne font jamais lrsquoobjet drsquoune revue dassurance qualiteacute
1 Initialiseacutee au cas par cas quand
Le management a conscience du besoin dun SGQ Lorsque le SGQ est mis en œuvre crsquoest isoleacutement Le management porte des jugements informels sur la qualiteacute
2 Reproductible mais intuitive quand
On a lanceacute un programme de deacutefinition et de surveillance des activiteacutes SGQ au sein du SI Lorsquelles se produisent les deacutemarches SGQ sont appliqueacutees aux projets et aux initiatives orienteacutes processus informatiques mais pas aux processus concernant lensemble de lentreprise
3 Deacutefinie quand
Un processus deacutefini de SGQ est communiqueacute par le management et il concerne agrave la fois la gestion par lrsquoinformatique et par les utilisateurs finaux Un programme denseignement et de formation voit le jour pour faire connaicirctre la deacutemarche qualiteacute agrave tous les niveaux de lentreprise Les exigences qualiteacute de base sont deacutefinies et adopteacutees pour les projets et au sein de lrsquoinformatique On voit eacutemerger des outils communs et des pratiques communes dans la gestion de la qualiteacute On preacutevoit des enquecirctes de satisfaction qualiteacute et on les fait agrave lrsquooccasion
4 Geacutereacutee et mesurable quand
Tous les processus font appel au SGQ y compris ceux qui sont confieacutes agrave des tiers On constitue une base de connaissances standardiseacutee sur la mesure de la qualiteacute On utilise les meacutethodes danalyse coucirctsbeacuteneacutefices pour justifier les initiatives SGQ On commence agrave faire des tests comparatifs pour se situer vis-agrave-vis de la concurrence et du marcheacute Un programme denseignement et de formation est creacuteeacute pour enseigner la deacutemarche qualiteacute agrave tous les niveaux de lentreprise On a standardiseacute les outils et les pratiques et on utilise peacuteriodiquement lanalyse causale On effectue reacuteguliegraverement des enquecirctes de satisfaction qualiteacute On a mis en place un programme standardiseacute et bien structureacute de mesure de la qualiteacute Le management informatique est en train de constituer une base de connaissances sur la mesure de la qualiteacute
5 Optimiseacutee quand
Le SGQ est inteacutegreacute et appliqueacute par toutes les activiteacutes informatiques Les processus dassurance qualiteacute sont souples et sadaptent aux modifications de lenvironnement informatique La base de connaissances des mesures de qualiteacute senrichit des meilleures pratiques constateacutees agrave lexteacuterieur Les comparaisons avec les standards externes font partie de la routine La surveillance de la satisfaction vis-agrave-vis de la qualiteacute est un processus continu qui conduit agrave lanalyse causale et agrave des actions drsquoameacutelioration Il existe une assurance formelle du niveau du processus de gestion de la qualiteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 62
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
SS PP P S S
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
DESCRIPTION DU PROCESSUS
PO9 Eacutevaluer et geacuterer les risques
Un reacutefeacuterentiel de gestion des risques est creacuteeacute et maintenu agrave niveau Ce reacutefeacuterentiel documente un niveau commun et agreacuteeacute de risques informatiques de strateacutegies pour les reacuteduire et de risques reacutesiduels Tout impact potentiel drsquoun eacuteveacutenement impreacutevu sur les objectifs de lrsquoentreprise est identifieacute analyseacute et eacutevalueacute Des strateacutegies de reacuteduction des risques sont adopteacutees pour ramener le risque reacutesiduel agrave un niveau acceptable Le reacutesultat de lrsquoeacutevaluation est compreacutehensible par les parties prenantes et exprimeacute en termes financiers pour permettre agrave ces parties de preacuteconiser le niveau de risque toleacuterable
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
SS PP P S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Eacutevaluer et geacuterer les risques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers
en se concentrant sur
le deacuteveloppement drsquoun cadre de reacutefeacuterence de gestion des risques inteacutegreacute agrave celui de la gestion des risques opeacuterationnels lrsquoeacutevaluation des risques leur reacuteduction et la communication des risques reacutesiduels
atteint son objectif en
bull srsquoassurant que la gestion des risques est pleinement inteacutegreacutee aux processus de management en interne et en externe et reacuteguliegraverement appliqueacutee
bull proceacutedant agrave lrsquoeacutevaluation des risques bull recommandant et en communiquant des plans drsquoaction pour les reacuteduire
et est mesureacute par
bull le pourcentage drsquoobjectifs informatiques critiques pris en compte dans lrsquoeacutevaluation des risques
bull le pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull le pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 63
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
OBJECTIFS DE CONTROcircLE
PO9 Eacutevaluer et geacuterer les risques
PO91 Reacutefeacuterentiel de gestion des risques informatiques Constituer un reacutefeacuterentiel de gestion des risques informatiques aligneacute sur le reacutefeacuterentiel de gestion des risques de lrsquoentreprise
PO92 Eacutetablissement du contexte du risque Eacutetablir le contexte dans lequel srsquoapplique le reacutefeacuterentiel drsquoeacutevaluation des risques pour srsquoassurer drsquoobtenir les reacutesultats approprieacutes Cela implique de deacuteterminer le contexte interne et externe de chaque eacutevaluation du risque le but de lrsquoeacutevaluation et les critegraveres de cette eacutevaluation
PO93 Identification des eacuteveacutenements Identifier les eacuteveacutenements (un nombre important de menaces reacutealistes susceptibles drsquoexploiter un nombre significatif de vulneacuterabiliteacutes potentielles) qui peuvent avoir un impact neacutegatif sur les objectifs ou les opeacuterations de lrsquoentreprise dont lrsquoactiviteacute les aspects reacuteglementaires et leacutegaux la technologie les partenaires commerciaux les ressources humaines et le caractegravere opeacuterationnel Deacuteterminer la nature des impacts et maintenir agrave jour cette information Eacutetablir une cartographie des risques actuels et la maintenir agrave jour
PO94 Eacutevaluation du risque Eacutevaluer reacuteguliegraverement la probabiliteacute et les conseacutequences de tous les risques identifieacutes en utilisant des meacutethodes qualitatives et quantitatives La probabiliteacute et les conseacutequences associeacutees aux risques inheacuterents et reacutesiduels doivent ecirctre deacutetermineacutees individuellement par cateacutegorie et par portefeuille
PO95 Reacuteponse au risque Deacutevelopper et tenir agrave jour un processus de reacuteponse au risque destineacute agrave srsquoassurer que des controcircles eacuteconomiquement rentables reacuteduisent en permanence lrsquoexposition au risque La reacuteponse au risque doit proposer des strateacutegies comme lrsquoeacutevitement la reacuteduction le partage et lrsquoacceptation Elle doit preacuteciser les responsabiliteacutes associeacutees et tenir compte du niveau drsquoappeacutetence aux risques
PO96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques Eacutetablir les prioriteacutes et planifier les activiteacutes de controcircle agrave tous les niveaux pour mettre en place les reacuteponses aux risques consideacutereacutees comme neacutecessaires sans oublier lrsquoeacutevaluation des coucircts et des beacuteneacutefices et la responsabiliteacute de leur mise en œuvre Rechercher lrsquoapprobation pour les actions recommandeacutees et lrsquoacceptation de tous les risques reacutesiduels et srsquoassurer que les proprieacutetaires des processus affecteacutes par le risque assument aussi la proprieacuteteacute des actions entreprises Surveiller lrsquoexeacutecution des plans et rapporter tout eacutecart au management
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 64
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
GUIDE DE MANAGEMENT
PO9 Eacutevaluer et geacuterer les risques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de services informatiques
PO10 Plan de gestion des risques des projets
DS2 Risques fournisseurs
DS4 Reacutesultats des tests des plans de secours
DS5 Menaces et vulneacuterabiliteacutes de seacutecuriteacute
SE1 Historique des eacuteveacutenements de risque et des tendances
SE4 Appeacutetence de lrsquoentreprise pour le risque informatique
Sorties Vers Eacutevaluations des risques PO1 DS4 DS5 DS12 SE4 Rapports sur les risques SE4 Guides de gestion des risques informatiques PO6 Plans drsquoactionssolutions risques informatiques PO4 AI6
Tableau RACI
Activiteacutes Deacuteterminer lrsquoalignement pour la gestion des risques (ex eacutevaluer les risques) A RA C C RA I I
Identifier les objectifs meacutetiers strateacutegiques concerneacutes C C RA C C I
Identifier les objectifs processus meacutetiers concerneacutes C C RA I
Identifier les objectifs informatiques internes et eacutetablir leur contexte risque RA C C C I
Identifier les eacuteveacutenements associeacutes aux objectifs [certains eacuteveacutenements sont orienteacutes meacutetiers (meacutetier A) certains sont orienteacutes informatique (Informatique A meacutetier C)] I AC A R R R R C
Eacutevaluer les risques associeacutes aux eacuteveacutenements AC A R R R R C
Eacutevaluer les reacuteponses aux risques I I A AC A R R R R C
Planifier les activiteacutes de controcircle en tenant compte des prioriteacutes C C A A R R C C C C
Approuver les plans drsquoaction de traitement des risques et en assurer le financement A A R I I I I I
Tenir agrave jour et surveiller un plan drsquoaction de traitement des risques A C I R R C C C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Proteacuteger lrsquoatteinte des objectifs informatique bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage drsquoobjectifs informatique critiques pris en compte dans lrsquoeacutevaluation des risques bull Pourcentage drsquoeacutevaluations des risques inteacutegreacutees agrave lrsquoapproche drsquoeacutevaluation des risques informatiques
bull Pourcentage drsquoeacuteveacutenements informatiques critiques identifieacutes eacutevalueacutes bull Nb de risques informatiques nouveaux identifieacutes (par rapport agrave lrsquoexercice preacuteceacutedent) bull Nb drsquoincidents significatifs dus agrave des risques non identifieacutes par le processus drsquoeacutevaluation de risques bull Pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull Pourcentage du budget informatique deacutepenseacute pour la gestion des risques (eacutevaluation et reacuteduction) bull Freacutequence de revue du processus de gestion des risques inormatiques bull Pourcentage drsquoeacutevaluations de risques approuveacutees bull Nb de rapports de surveillance du risque reacutealiseacutes selon la freacutequence preacutevue bull Pourcentage drsquoeacuteveacutenements informatiques identifieacutes utiliseacutes dans les eacutevaluations des risques bull Pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
Processus
bull Eacutevaluer et reacuteduire la probabiliteacute et les conseacutequences des risques informatiques bull Mettre en place des plans drsquoaction rentables pour les risques informatiques critiques
Activiteacutes
bull Sassurer que la gestion des risques est pleinement inteacutegreacutee aux processus de management bull Effectuer des eacutevaluations des risques reacuteguliegraveres avec le management et le personnel cleacute bull Recommander et communiquer des plans drsquoaction pour les reacuteduire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 65
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
MODEgraveLE DE MATURITEacute
PO9 Eacutevaluer et geacuterer les risques
La gestion du processus Eacutevaluer et geacuterer les risques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers est
0 Inexistante quand
On ne fait pas deacutevaluation des risques lieacutes aux processus ou aux deacutecisions meacutetiers Lrsquoentreprise ne prend pas en compte les conseacutequences pour son activiteacute des faiblesses de sa seacutecuriteacute et des incertitudes lieacutees au deacuteveloppement de ses projets La gestion des risques nrsquoest pas identifieacutee comme pertinente dans lacquisition de solutions et la livraison de services informatiques
1 Initialiseacutee au cas par cas quand
Les risques informatiques sont traiteacutes au cas par cas On fait des eacutevaluations informelles des risques projet selon une approche speacutecifique agrave chaque projet Lrsquoeacutevaluation des risques est parfois incluse dans un plan de projet mais elle est rarement attribueacutee agrave des responsables speacutecifiques On prend en compte les risques speacutecifiques agrave linformatique comme la seacutecuriteacute la disponibiliteacute et linteacutegriteacute agrave loccasion de chaque projet On aborde peu souvent lors des reacuteunions de direction les risques informatiques lieacutes agrave lexploitation quotidienne Lorsque cest le cas la reacuteduction de ces risques nrsquoest pas coheacuterente On comprend de mieux en mieux lrsquoimportance des risques lieacutes agrave lrsquoinformatique et la neacutecessiteacute den tenir compte
2 Reproductible mais intuitive quand
On commence agrave deacutevelopper une approche encore embryonnaire de lrsquoeacutevaluation des risques et elle se met en place agrave lrsquoinitiative des chefs de projets La gestion des risques est geacuteneacuteralement mise en œuvre agrave un niveau eacuteleveacute et ne sapplique typiquement quaux projets majeurs ou lorsqursquoun problegraveme surgit Les processus de reacuteduction des risques commencent agrave ecirctre mis en place lorsque certains risques ont eacuteteacute identifieacutes
3 Deacutefinie quand
Une politique de gestion des risques deacutefinit agrave lrsquoeacutechelle de lrsquoentreprise quand et comment doivent avoir lieu les eacutevaluations La gestion des risques suit un processus deacutefini qui est documenteacute La formation agrave la gestion des risques est accessible agrave tout le personnel On laisse chacun libre de deacutecider de suivre la formation et de mettre le processus en œuvre La meacutethodologie drsquoeacutevaluation des risques est convaincante et solide et permet didentifier presque agrave coup sucircr les risques essentiels encourus par lentreprise On institue en geacuteneacuteral un processus de reacuteduction des risques lorsque ceux-ci sont identifieacutes Les fiches de poste prennent en compte les responsabiliteacutes de gestion des risques
4 Geacutereacutee et mesurable quand
Lrsquoeacutevaluation et la gestion des risques sont des proceacutedures standard On rapporte agrave la direction informatique les cas qui eacutechappent au processus de gestion des risques La gestion des risques informatiques est sous la responsabiliteacute drsquoun cadre supeacuterieur On eacutevalue et on reacuteduit les risques aussi bien au niveau de chaque projet que reacuteguliegraverement au niveau geacuteneacuteral de lexploitation informatique Le management est aviseacute des modifications de lrsquoenvironnement meacutetiers et informatique qui pourraient affecter de faccedilon significative les sceacutenarios de risques informatiques Le management est capable de surveiller lexposition au risque et de deacutecider en toute connaissance de cause du niveau de risque acceptable Tous les risques identifieacutes ont un proprieacutetaire deacutesigneacute et la direction geacuteneacuterale deacutetermine avec la direction des systegravemes drsquoinformation les niveaux de risques toleacuterables par lrsquoentreprise La DSI conccediloit des mesures standard pour eacutevaluer les risques et deacutefinir les ratios risquesbeacuteneacutefices Le management budgeacutetise un projet de gestion des risques opeacuterationnels pour reacuteeacutevaluer les risques de faccedilon reacuteguliegravere On a creacuteeacute une base de donneacutee deacutedieacutee agrave la gestion des risques et une partie des processus de gestion des risques commence agrave ecirctre automatiseacutee La DSI envisage des strateacutegies de reacuteduction des risques
5 Optimiseacutee quand
La gestion des risques a atteint le stade drsquoun processus structureacute bien appliqueacute et bien geacutereacute dans toute lrsquoentreprise On applique les bonnes pratiques dans lrsquoensemble de lrsquoentreprise La capture lanalyse et le reportage sur les informations de gestion des risques sont largement automatiseacutes On sinspire des leaders dans le domaine et lrsquoinformatique partage son expeacuterience avec ses pairs La gestion des risques est veacuteritablement inteacutegreacutee dans toutes les activiteacutes meacutetiers et informatique elle est bien accepteacutee et implique largement les utilisateurs des services informatiques Le management deacutetecte toute deacutecision opeacuterationnelle ou drsquoinvestissement majeure concernant lrsquoinformatique qui ne prend pas en compte le plan de gestion des risques et agit en conseacutequence Le management eacutevalue en permanence les strateacutegies de reacuteduction des risques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 66
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les projets PO10
DESCRIPTION DU PROCESSUS
PO10 Geacuterer les projets
Un programme et un cadre de reacutefeacuterence de gestion de projets pour la gestion de tous les projets informatiques est en place Ce cadre permet de srsquoassurer que tous les projets sont correctement coordonneacutes et que les prioriteacutes sont eacutetablies Il preacutevoit un plan maicirctre lrsquoattribution de ressources la deacutefinition des livrables lrsquoapprobation par les utilisateurs une approche de livraison par eacutetapes une assurance qualiteacute un plan de tests formaliseacute des tests et une revue apregraves mise en place pour srsquoassurer que la gestion des risques et que lrsquoapport de valeur agrave lrsquoentreprise sont effectives Cette approche reacuteduit les risques de coucircts non preacutevus et drsquoannulation de projets ameacuteliore la communication en direction des meacutetiers et des utilisateurs finaux ainsi que leur implication permet drsquoecirctre sucircr de la valeur et de la qualiteacute des livrables du projet et maximise leur contribution aux programmes drsquoinvestissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Geacuterer les projets
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus
en se concentrant sur
un programme deacutefini et une approche de la gestion de projets qui srsquoappliquent aux projets informatiques et permettent aux parties prenantes de srsquoimpliquer et de surveiller les risques et lrsquoavancement des projets
atteint son objectif en
bull deacutefinissant et en appliquant des cadres et des approches pour les programmes et les projets bull diffusant des guides de gestion de projets bull utilisant la planification de projets pour chaque projet deacutetailleacute dans le portefeuille de projets
et est mesureacute par
bull le pourcentage de projets qui reacutepondent aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
bull le pourcentage de projets qui ont eacuteteacute reacuteviseacutes apregraves leur mise en place bull le pourcentage de projets qui respectent les standards et les pratiques de la gestion de
projet
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 67
Planifier et Organiser PO10 Geacuterer les projets
OBJECTIFS DE CONTROcircLE
PO10 Geacuterer les projets
PO101 Reacutefeacuterentiel de gestion de programme Tenir agrave jour le programme des projets en relation avec le portefeuille des programmes dinvestissements informatiques en identifiant deacutefinissant eacutevaluant seacutelectionnant initiant et controcirclant ces projets et en eacutetablissant leurs prioriteacutes respectives Srsquoassurer que les projets servent les objectifs du programme Coordonner les activiteacutes et lrsquointerdeacutependance de multiples projets geacuterer la contribution de tous les projets aux reacutesultats attendus au sein du programme et reacutesoudre les problegravemes et les conflits lieacutes aux ressources
PO102 Reacutefeacuterentiel de gestion de projet Mettre en place et tenir agrave jour un reacutefeacuterentiel de gestion de projets qui deacutefinit aussi bien leacutetendue et les limites de la gestion de projets que la meacutethode agrave adopter et agrave appliquer pour chaque projet entrepris Le reacutefeacuterentiel et les meacutethodologies qui lrsquoappuient doivent ecirctre inteacutegreacutes aux processus de gestion de programmes
PO103 Approche gestion de projet Eacutetablir une approche de gestion de projet en rapport avec la taille la complexiteacute et les exigences reacuteglementaires de chaque projet La structure de gouvernance des projets peut comporter les rocircles responsabiliteacutes opeacuterationnelles et finales du commanditaire du programme des commanditaires des projets du comiteacute de pilotage du bureau des projets et du chef de projet ainsi que les meacutecanismes gracircce auxquels ils peuvent faire face agrave ces responsabiliteacutes (comme le reporting et les revues drsquoeacutetapes) Veacuterifier que chaque projet informatique est doteacute drsquoun commanditaire assez haut placeacute pour ecirctre proprieacutetaire de la mise en œuvre du projet au sein du programme strateacutegique geacuteneacuteral
PO104 Implication des parties prenantes Obtenir lrsquoimplication et la participation de toutes les parties prenantes concerneacutees par la deacutefinition et la mise en œuvre du projet agrave lrsquointeacuterieur du programme global drsquoinvestissements informatiques
PO105 Eacutenonceacute du peacuterimegravetre du projet Deacutefinir et documenter la nature et lrsquoeacutetendue du projet pour confirmer et deacutevelopper parmi les parties prenantes une compreacutehension commune du peacuterimegravetre du projet et la faccedilon dont il est relieacute aux autres projets du programme global drsquoinvestissements informatiques Cette deacutefinition doit ecirctre formellement approuveacutee par les commanditaires du programme et du projet avant que ce dernier ne deacutemarre
PO106 Deacutemarrage drsquoune phase du projet Le deacutemarrage de chaque phase principale du projet est approuveacutee et communiqueacute agrave toutes les parties prenantes Fonder lrsquoapprobation de la phase de deacutemarrage sur les deacutecisions de la gouvernance des programmes Lrsquoapprobation des phases suivantes doit se baser sur les revues et lrsquoacceptation des livrables de la phase preacuteceacutedente ainsi que sur lrsquoapprobation drsquoune analyse de rentabiliteacute mise agrave jour lors de la prochaine revue majeure du programme Dans lrsquoeacuteventualiteacute ougrave des phases du projet se chevaucheraient les commanditaires du programme et de chaque projet devraient faire le point pour autoriser lrsquoavancement du projet
PO107 Plan projet inteacutegreacute Mettre en place un plan projet inteacutegreacute formaliseacute et approuveacute (couvrant les ressources meacutetiers et informatiques) pour guider la mise en œuvre et le controcircle du projet tout au long de son cycle de vie Les activiteacutes et les interdeacutependances de projets multiples dans un programme doivent ecirctre comprises et documenteacutees Le plan projet doit ecirctre tenu agrave jour durant toute la vie du projet Le plan projet et les modifications qui lui sont apporteacutes doivent ecirctre approuveacutes en ligne avec le cadre de gouvernance des programmes et des projets
PO108 Ressources du projet Deacutefinir les responsabiliteacutes les relations lrsquoautoriteacute et les critegraveres de performances des membres de lrsquoeacutequipe du projet et preacuteciser la base sur laquelle on engagera et affectera des membres compeacutetents etou des contractuels dans lrsquoeacutequipe du projet Lrsquoachat de produits et de services neacutecessaires agrave chaque projet doit ecirctre planifieacute et geacutereacute pour favoriser lrsquoatteinte des objectifs du projet en utilisant les pratiques drsquoachat de lrsquoentreprise
PO109 Gestion des risques du projet Eacuteliminer ou reacuteduire les risques speacutecifiques agrave chaque projet au moyen drsquoun processus systeacutematique de planification drsquoidentification drsquoanalyse drsquoactions de reacuteduction des risques de surveillance et de controcircle des domaines ou des eacuteveacutenements susceptibles de provoquer des changements non souhaiteacutes Les risques auxquels le processus de gestion de projet et les livrables sont exposeacutes doivent ecirctre identifieacutes et consolideacutes au niveau central
PO1010 Plan qualiteacute du projet Preacuteparer un plan de gestion qualiteacute qui deacutecrit le systegraveme qualiteacute du projet et comment il sera mis en place Le plan doit ecirctre formellement revu et accepteacute par toutes les parties prenantes puis incorporeacute au plan projet inteacutegreacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 68
Planifier et Organiser Geacuterer les projets PO10
PO1011 Controcircle des changements du projet Mettre en place un systegraveme de controcircle des changements pour chaque projet de faccedilon agrave ce que toutes les modifications de ses caracteacuteristiques de base (ex coucirct planning peacuterimegravetre et qualiteacute) soient ducircment analyseacutees approuveacutees et incorporeacutees au plan projet inteacutegreacute en ligne avec le cadre de gouvernance des programmes et des projets
PO1012 Planification du projet et meacutethodes dassurance Identifier les tacircches drsquoassurance destineacutees agrave appuyer la validation de systegravemes nouveaux ou modifieacutes pendant la planification du projet et les inclure dans le plan projet inteacutegreacute Les tacircches doivent fournir lrsquoassurance que les controcircles internes et les caracteacuteristiques de seacutecuriteacute satisfont les exigences preacutevues
PO1013 Meacutetrique reporting et surveillance de la performance du projet Mesurer la performance du projet par rapport agrave lrsquoensemble des critegraveres cleacutes de performance des projets peacuterimegravetre planning qualiteacute coucirct et risque Identifier tout eacutecart par rapport au plan Eacutevaluer les conseacutequences drsquoun eacutecart sur le projet et sur lrsquoensemble du programme et rapporter les reacutesultats aux parties prenantes cleacutes Recommander mettre en place et surveiller les actions correctrices lorsque crsquoest neacutecessaire en accord avec le cadre de gouvernance des programmes et des projets
PO1014 Clocircture du projet Exiger qursquoagrave la fin de chaque projet les parties prenantes deacuteterminent si le projet a fourni les reacutesultats et beacuteneacutefices preacutevus Identifier et communiquer toutes les activiteacutes exceptionnelles qui ont eacuteteacute neacutecessaires pour obtenir les reacutesultats du projet et les beacuteneacutefices du programme preacutevus et identifier et documenter les enseignements qui en ont eacuteteacute tireacutes et qui pourront ecirctre utiles agrave des projets ou des programmes futurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 69
Planifier et Organiser PO10 Geacuterer les projets
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 70
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les projets PO10
GUIDE DE MANAGEMENT
PO10 Geacuterer les projets
De Entreacutees
PO1 Portefeuille projets
PO5 Portefeuille actualiseacute des projets informatiques
PO7 Tableau des compeacutetences informatiques
PO8 Standards de deacuteveloppement
AI7 Revue postshydeacutemarrage
Sorties Vers Rapports sur la performance des projets SE1 Plan de gestion des risques des projets PO9 Guides de gestion des projets AI1hellipAI7 Plans de projets deacutetailleacutes PO8 AI1hellipAI7 DS6 Portefeuille de projets informatiques agrave jour PO1 PO5
Tableau RACI
Activiteacutes Deacutefinir un cadre de gestion de programme etou de portefeuille pour les investissements informatiques C C A R C C
Mettre en place et maintenir un cadre de gestion des projets informatiques I I I AR I C C C C R C
Mettre en place et maintenir opeacuterationnel un systegraveme de surveillance de mesure et de gestion de gestion des projets informatiques I I I R C C C C AR C
Eacutelaborer des chartes plannings plans qualiteacute budgets et des plans de gestion de la communication et des risques pour les projets C C C C C C C AR C
Srsquoassurer de la participation et de lrsquoimplication des parties prenantes aux projets I A R C C
Assurer un controcircle efficace des projets et des changements qui leur sont apporteacutes C C C C C AR C
Deacutefinir et mettre en place des meacutethodes drsquoassurance et de revue pour les projets I C I AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Livrer les projets dans le respect des deacutelais des coucircts et de la qualiteacute attendus bull Reacutepondre aux exigences de la gouvernance en ligne avec les orientations du conseil drsquoadministration
deacutefinit deacutefinit
induit
induit
bull Pourcentage de projets respectant deacutelais et coucircts bull Pourcentage de projets reacutepondant aux attentes des parties prenantes
bull Pourcentage de projets respectant les standards et les pratiques de la gestion de projet bull Pourcentage de chefs de projets certifieacutes ou formeacutes bull Pourcentage de projets faisant lrsquoobjet drsquoune revue apregraves mise en place bull Pourcentage de parties prenantes participant aux projets (indice drsquoimplication)
Processus
bull Mettre en place un suivi de projet et des meacutecanismes de controcircle des cocircutstemps bull Rendre transparente la situation du projet bull Prendre agrave temps les deacutecisions de gestion de projet aux jalons critiques
Activiteacutes
bull Deacutefinir et appliquer des cadres et des approches pour les programmes et les projets bull Diffuser des guides de gestion de projets bull Reacutealiser la planification de chaque projet du portefeuille de projets
mesure mesure mesure
Meacutetriq
ues
bull Pourcentage de projets reacutepondant aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 71
Planifier et Organiser PO10 Geacuterer les projets
MODEgraveLE DE MATURITEacute
PO10 Geacuterer les projets
La gestion du processus Geacuterer les projets qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus est
0 Inexistante quand
On nutilise pas les techniques de gestion de projets et lentreprise ne prend pas en compte les conseacutequences pour son activiteacute dune mauvaise gestion des projets et des eacutechecs survenus au cours du deacuteveloppement des projets
1 Initialiseacutee au cas par cas quand
Lutilisation des techniques de gestion de projets et leur approche informatique est laisseacutee agrave linitiative individuelle des responsables informatiques Il y a un manque drsquoimplication de la part du management dans la proprieacuteteacute et la gestion des projets Les deacutecisions critiques concernant la gestion des projets sont prises participation des utilisateurs ni des clients Les clients et utilisateurs ne sont que peu impliqueacutes dans la deacutefinition des projets informatiques voire pas du tout Il nrsquoy a pas drsquoorganisation claire de la gestion des projets au sein de lrsquoinformatique Les rocircles et responsabiliteacutes en matiegravere de gestion des projets ne sont pas deacutefinis Les projets leur planning et leurs jalons sont mal deacutefinis On ne fait pas de releveacutes des temps ni des deacutepenses consacreacutes aux projets et donc on ne les confronte pas aux preacutevisions
2 Reproductible mais intuitive quand
La direction geacuteneacuterale sest convaincue du besoin de faire de la gestion des projets et communique sur ce thegraveme Lentreprise a deacutecideacute de deacutevelopper et drsquoutiliser certaines techniques et meacutethodes quelle commence agrave appliquer projet apregraves projet Les objectifs meacutetiers et techniques des projets informatiques sont deacutefinis de faccedilon informelle Limplication des parties prenantes dans la gestion des projets informatiques est faible On deacuteveloppe les premiers guides pour de nombreux aspects de la gestion des projets Lrsquoapplication des guides de gestion des projets est laisseacutee agrave lrsquoinitiative de chaque chef de projets
3 Deacutefinie quand
Le processus et la meacutethodologie de gestion des projets informatiques sont en place et on communique sur ces thegravemes On dote les projets informatiques drsquoobjectifs meacutetiers et techniques approprieacutes Le management de lrsquoinformatique et des meacutetiers commence agrave srsquoimpliquer dans la gestion des projets informatiques Un bureau de gestion des projets est mis en place agrave lrsquoinformatique et on en a deacutefini certains rocircles et certaines responsabiliteacutes On deacutefinit et actualise les jalons le planning le budget et les mesures de performance des projets et on les surveille La formation agrave la gestion des projets existe et reacutesulte encore drsquoinitiatives individuelles On deacutefinit des proceacutedures dassurance qualiteacute et des activiteacutes post-deacutemarrage cependant la direction des SI ne les applique pas systeacutematiquement Les projets commencent agrave ecirctre geacutereacutes en portefeuilles
4 Geacutereacutee et mesurable quand
Le management exige des meacutetriques projet standardiseacutees et formelles et une revue des enseignements agrave tirer agrave lrsquoeacutecheacuteance drsquoun projet La gestion des projets est mesureacutee et eacutevalueacutee non seulement au sein de lrsquoinformatique mais dans toute lentreprise On formalise et communique les ameacuteliorations aux processus de gestion des projets avec les membres des eacutequipes des projets formeacutees agrave ces ameacuteliorations La direction des SI met en place une structure dorganisation de projets attribue des rocirclesresponsabiliteacutes et des critegraveres de performance pour le personnel le tout ducircment documenteacute Des critegraveres drsquoeacutevaluation de succegraves de chaque jalon sont mis en place Valeur et risques sont mesureacutes et geacutereacutes avant pendant et apregraves lrsquoachegravevement des projets Les projets visent de plus en plus des objectifs de lrsquoentreprise plutocirct que des objectifs speacutecifiquement informatiques Les commanditaires de la direction geacuteneacuterale et les parties prenantes soutiennent fortement et activement les projets Une formation approprieacutee agrave la gestion des projets est preacutevue pour le personnel du bureau de gestion des projets et pour certains personnels de lrsquoinformatique
5 Optimiseacutee quand
On met en place et on applique une meacutethodologie de gestion des projets et des programmes qui prend en compte leur cycle de vie entier et cette meacutethodologie fait deacutesormais partie de la culture de toute lentreprise On met en place une initiative permanente pour identifier et institutionnaliser les meilleures pratiques de gestion des projets Lrsquoinformatique met en place une strateacutegie de recherche de collaborateurs pour les projets de deacuteveloppement et les projets techniques Une cellule inteacutegreacutee de gestion des projets est responsable des projets et des programmes de leur origine agrave leur achegravevement La planification des programmes et des projets agrave leacutechelle de lentreprise permet de sassurer que les ressources utilisateurs et informatiques sont utiliseacutees au mieux pour soutenir les initiatives strateacutegiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 72
ACQUEacuteRIR ET IMPLEacuteMENTER
AI1 Trouver des solutions informatiques AI2 Acqueacuterir des applications et en assurer la maintenance AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lrsquoutilisation AI5 Acqueacuterir des ressources informatiques AI6 Geacuterer les changements AI7 Installer et valider les solutions et les modifications
AC
QU
EacuteR
IR E
T
IMPL
EacuteM
EN
TE
R
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
DESCRIPTION DU PROCESSUS
AI1 Trouver des solutions informatiques
Le besoin drsquoune nouvelle application ou fonction impose une analyse avant achat ou creacuteation pour srsquoassurer que les exigences des meacutetiers seront satisfaites gracircce agrave une approche efficace et efficiente Ce processus recouvre la deacutefinition des besoins la prise en compte de sources alternatives lrsquoanalyse de la faisabiliteacute technique et eacuteconomique lrsquoanalyse des risques et du rapport coucirctsbeacuteneacutefices et la deacutecision finale qui tranchera entre faire ou acheter Toutes ces eacutetapes permettent aux entreprises de minimiser les coucircts drsquoachat et de mise en place de solutions et de srsquoassurer que celles-ci permettront agrave lrsquoentreprise drsquoatteindre ses objectifs
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Trouver des solutions informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes
en se concentrant sur
lrsquoidentification de solutions techniquement faisables et rentables
atteint son objectif en
bull deacutefinissant les exigences des meacutetiers et les impeacuteratifs techniques bull entreprenant des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull approuvant (ou rejetant) les reacutesultats des eacutetudes des besoins et de faisabiliteacute
et est mesureacute par
bull le nombre de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de leur faisabiliteacute
bull le pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes livreacutees
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 73
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
OBJECTIFS DE CONTROcircLE
AI1 Trouver des solutions informatiques
AI11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles Identifier classer par prioriteacutes et agreacuteer les exigences meacutetiers techniques et fonctionnelles qui couvrent lrsquoeacutetendue complegravete de toutes les initiatives requises pour obtenir les reacutesultats escompteacutes du programme drsquoinvestissement informatique
AI12 Rapport danalyse de risques Identifier documenter et analyser les risques associeacutes aux processus meacutetiers en tant qursquoeacuteleacutements du processus drsquoentreprise pour lrsquoeacutelaboration des exigences
AI13 Eacutetude de faisabiliteacute et formulation drsquoalternatives Mener une eacutetude de faisabiliteacute qui examine la possibiliteacute de mettre en place les exigences Le management des meacutetiers assisteacute par lrsquoinformatique doit eacutevaluer la faisabiliteacute et les alternatives et faire des recommandations aux commanditaires meacutetiers
AI4 Deacutecision et approbation concernant les exigences et la faisabiliteacute Srsquoassurer que le processus impose que les commanditaires meacutetiers approuvent et avalisent les rapports sur les exigences des meacutetiers fonctionnelles et techniques et sur lrsquoeacutetude de faisabiliteacute agrave des eacutetapes cleacutes preacutedeacutetermineacutees La deacutecision finale quant au choix de la solution et de la proceacutedure drsquoacquisition doit appartenir aux commanditaires meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 74
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
it
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
GUIDE DE MANAGEMENT
AI1 Trouver des solutions informatiques
De Entreacutees PO1 Plans informatiques strateacutegiques et tactiques PO3 Mises agrave niveau reacuteguliegraveres de la technologie
standards technologiques
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes de gestion de projets et plans deacutetailleacutes des projets
AI6 Description du processus de changement
DS1 Contrats de services
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Eacutetude de faisabiliteacute des exigences des meacutetiers PO2 PO5 PO7 AI2 AI3 AI4 AI5
Tableau RACI
Activiteacutes Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques C C R C R R AR I
Mettre en place les processus pour les exigences drsquointeacutegriteacutedrsquoactualiteacute C C C AR C
Identifier documenter et analyser les risques des processus meacutetiers AR R R R C R R C
Conduire une eacutetude drsquoeacutevaluation faisabiliteacuteimpact pour la mise en place des exigences des meacutetiers proposeacutees AR R R C C C R C
Eacutevaluer les beacuteneacutefices informatiques des solutions proposeacutees I R AR R I I I R
Eacutevaluer les beacuteneacutefices pour les meacutetiers des solutions proposeacutees AR R C C C I R
Eacutelaborer un processus drsquoapprobation des exigences C A C C C R C
Approuver et avaliser les solutions proposeacutees C AR R R C C C I R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques
deacutefinit
Informatique
Objectifs
bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie des meacutetiers
mesure indu
ii
ndu t
Meacutetriq
ues
bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de la faisabiliteacute bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
deacutefinit
Processus
bull Identifier les solutions qui satisfont les exigences utilisateurs bull Identifier les solutions techniquement faisables et rentables bull Trancher entre acheter ou faire de faccedilon agrave optimiser la valeur et agrave minimiser les risques
bull Pourcentage de parties prenantes satisfaites de lrsquoexactitude de lrsquoeacutetude de faisabiliteacute bull Diffeacuterence drsquoeacutevaluation des beacuteneacutefices entre lrsquoeacutetude de faisabiliteacute et lrsquoimpleacutementation bull Pourcentage du portefeuille drsquoapplications incoheacuterent avec lrsquoarchitecture bull Pourcentage des eacutetudes de faisabiliteacute fournies dans les deacutelais et les coucircts
bull Pourcentage de projets du plan informatique annuel soumis agrave une eacutetude de faisabiliteacute bull Pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus
Activiteacutes
bull Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques bull Entreprendre des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull Prendre en compte tocirct les exigences de seacutecuriteacute et de controcircle bull Approuver (ou rejeter) les reacutesultats des eacutetudes des exigences et de la faisabiliteacute
mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 75
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
MODEgraveLE DE MATURITEacute
AI1 Trouver des solutions informatiques
La gestion du processus Trouver des solutions informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes est
0 Inexistante quand
Lentreprise ne se preacuteoccupe pas didentifier les besoins fonctionnels et opeacuterationnels pour le deacuteveloppement la mise en œuvre ou la modification de solutions telles que systegravemes services infrastructures logiciels ou donneacutees Lentreprise ne se tient pas au courant des solutions techniques disponibles qui pourraient concerner son activiteacute
1 Initialiseacutee au cas par cas quand
On prend conscience de la neacutecessiteacute de deacutefinir les besoins et de trouver des solutions techniques Des groupes se reacuteunissent pour discuter des besoins de maniegravere informelle et les exigences sont parfois documenteacutees Certaines personnes trouvent des solutions gracircce agrave une connaissance partielle des produits qui existent sur le marcheacute ou par lintermeacutediaire doffres commerciales Il existe un minimum de recherche et drsquoanalyse raisonneacutee de la technologie disponible
2 Reproductible mais intuitive quand
Il existe diffeacuterentes approches intuitives agrave travers lrsquoentreprise pour trouver des solutions informatiques On trouve des solutions informelles en fonction des connaissances et de lexpeacuterience accumuleacutees en interne agrave la DSI Le succegraves de chaque projet deacutepend de lrsquoexpertise de quelques individus cleacutes La qualiteacute de la documentation et de la prise de deacutecision varie consideacuterablement On utilise des approches non structureacutees pour deacutefinir les exigences et trouver des solutions techniques
3 Deacutefinie quand
Il existe des approches claires et structureacutees pour deacuteterminer des solutions informatiques Cette approche impose drsquoeacutevaluer les solutions alternatives en fonction des exigences meacutetiers ou utilisateurs des opportuniteacutes technologiques de la faisabiliteacute eacuteconomique de leacutevaluation des risques et drsquoautres facteurs Ce processus trouver des solutions informatiques est mis en œuvre pour certains projets qui deacutependent des deacutecisions que prend individuellement une personne impliqueacutee du temps qursquoy consacre le management de limportance et des prioriteacutes des exigences meacutetiers qui en sont agrave lrsquoorigine On utilise des approches structureacutees pour deacutefinir les exigences et trouver des solutions informatiques
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie pour identifier et eacutevaluer les solutions informatiques et on lrsquoutilise pour la plupart des projets La documentation des projets est de bonne qualiteacute et chaque eacutetape est ducircment approuveacutee Les exigences sont bien coordonneacutees et suivent des structures preacutedeacutefinies On examine diffeacuterentes hypothegraveses pour la solution choisie en tenant compte drsquoanalyses coucirctsbeacuteneacutefices La meacutethode est claire deacutefinie en geacuteneacuteral comprise et mesurable Il existe une interface clairement deacutefinie entre la direction des SI et les meacutetiers pour identifier et eacutevaluer les solutions informatiques
5 Optimiseacutee quand
La meacutethodologie pour trouver et eacutevaluer des solutions informatiques suit un processus drsquoameacutelioration continue La meacutethodologie drsquoacquisition et drsquoimpleacutementation est assez souple pour srsquoadapter agrave des projets de dimensions diverses Cette meacutethodologie sappuie sur des bases de connaissances internes et externes renfermant des reacutefeacuterences agrave des solutions techniques La meacutethodologie elle-mecircme produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces On deacutecouvre souvent de nouvelles occasions dutiliser lrsquoinformatique pour obtenir un avantage concurrentiel pour stimuler la reacute-ingeacutenierie des processus meacutetiers pour ameacuteliorer globalement lrsquoefficience Le management agit lorsqursquoil se rend compte que les solutions informatiques ont eacuteteacute approuveacutees sans que des exigences techniques et fonctionnelles alternatives aient eacuteteacute prises en compte
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 76
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
DESCRIPTION DU PROCESSUS
AI2 Acqueacuterir des applications et en assurer la maintenance
Les applications sont rendues disponibles en fonction des exigences des meacutetiers Ce processus recouvre la conception des applications les controcircles applicatifs et les exigences de seacutecuriteacute approprieacutes qursquoil faut y inclure ainsi que leur deacuteveloppement et leur configuration conformeacutement aux standards Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tacircches meacutetiers
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des applications et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable
en se concentrant sur
un processus de deacuteveloppement respectueux des deacutelais et de la rentabiliteacute
atteint son objectif en
bull traduisant les exigences des meacutetiers en speacutecifications pour la conception bull adoptant des standards de deacuteveloppement pour toutes les modifications bull seacuteparant les activiteacutes de deacuteveloppement de tests et de production
et est mesureacute par
bull le nombre de problegravemes de production par application causant des retards perceptibles bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 77
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI2 Acqueacuterir des applications et en assurer la maintenance
AI21 Conception geacuteneacuterale Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales drsquoacquisition de logiciel en prenant en compte les orientations technologiques de lrsquoentreprise et lrsquoarchitecture de lrsquoinformation Faire approuver les speacutecifications de la conception par le management pour srsquoassurer que la conception geacuteneacuterale reacutepond aux exigences Reacuteeacutevaluer lorsque des anomalies techniques ou logicielles significatives se produisent pendant le deacuteveloppement ou la maintenance
AI22 Conception deacutetailleacutee Preacutesenter en deacutetail les speacutecifications et les impeacuteratifs techniques des applications logicielles Deacutefinir les critegraveres drsquoacceptation de ces impeacuteratifs Faire approuver ces impeacuteratifs pour ecirctre sucircr qursquoils correspondent agrave la conception geacuteneacuterale Effectuer une reacuteeacutevaluation lorsque des anomalies significatives techniques ou logicielles se produisent pendant le deacuteveloppement ou la maintenance
AI23 Controcircles applicatifs et auditabiliteacute Si neacutecessaire mettre en place des controcircles meacutetiers des controcircles programmeacutes de faccedilon agrave ce que le traitement soit reacutealiseacute avec exactitude complegravetement au bon moment et qursquoil soit autoriseacute et auditable
AI24 Seacutecuriteacute et disponibiliteacute des applications Reacutepondre aux exigences de seacutecuriteacute et de disponibiliteacute des applications en regard des risques identifieacutes et en ligne avec la classification des donneacutees lrsquoarchitecture de lrsquoinformation et de la seacutecuriteacute de lrsquoinformation de lrsquoappeacutetence au risque de lrsquoentreprise
AI25 Configuration et impleacutementation des logiciels applicatifs acquis Configurer et impleacutementer les progiciels de faccedilon agrave reacutepondre aux objectifs des meacutetiers
AI26 Mises agrave jour majeures des systegravemes existants Suivre un processus de deacuteveloppement similaire agrave celui du deacuteveloppement de nouveaux systegravemes dans lrsquoeacuteventualiteacute de modifications majeures des systegravemes existants qui ont pour conseacutequences des modifications significatives de conception etou des fonctionnaliteacutes actuelles
AI27 Deacuteveloppement drsquoapplications Srsquoassurer que les nouvelles fonctionnaliteacutes automatiseacutees se conforment aux speacutecifications de conception aux standards de deacuteveloppement et de documentation aux exigences de qualiteacute et aux normes de recette Srsquoassurer que tous les aspects leacutegaux et contractuels sont identifieacutes et pris en compte dans les applications deacuteveloppeacutees par des tiers
AI28 Assurance qualiteacute des logiciels Deacutevelopper un plan drsquoassurance qualiteacute le doter de ressources et le mettre en œuvre de faccedilon agrave obtenir la qualiteacute speacutecifieacutee dans la deacutefinition des exigences et dans les politiques et les proceacutedures qualiteacute de lrsquoentreprise
AI29 Gestion des exigences des applications Au cours de la conception du deacuteveloppement et de la mise en place effectuer un suivi individuel de chaque exigence (y compris de celles qui ont eacuteteacute rejeteacutees) et approuver les modifications apporteacutees agrave certaines exigences selon un processus eacutetabli de gestion des changements
AI210 Maintenance des applications Deacutevelopper un plan strateacutegique pour la maintenance des applications
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 78
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
GUIDE DE MANAGEMENT
AI2 Acqueacuterir des applications et en assurer la maintenance
De Entreacutees
PO2 Dictionnaire de donneacutees scheacutema de classification des donneacutees plan optimiseacute des systegravemes meacutetiers
PO3 Mises agrave niveau reacuteguliegraveres de leacutetat de lart de la technologie
PO5 Comptesshyrendus coucirctsbeacuteneacutefices
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Guides de gestion des projets et plans de projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Description du processus de changement
Sorties Vers Speacutecification des controcircles de seacutecuriteacute des applications DS5 Connaissance des applications et des progiciels AI4 Deacutecisions drsquoacquisition AI5 Contrats de services initialement preacutevus DS1 Speacutecifications de disponibiliteacute continuiteacute et reprise DS3 DS4
Tableau RACI
Activiteacutes Traduire les exigences des meacutetiers en speacutecifications de conception geacuteneacuterale C C AR R C
Preacuteparer la conception deacutetailleacutee et les besoins techniques des applications I C C C AR R C
Speacutecifier les controcircles applicatifs dans la conception R C AR R R
Adapter et impleacutementer les fonctionnaliteacutes automatiseacutees acquises C C AR R C
Deacutevelopper des meacutethodologies les formaliser et des processus pour geacuterer le processus de deacuteveloppement des applications
C C C A C R C
Creacuteer un plan drsquoassurance qualiteacute pour le projet I C R AR C
Suivre et geacuterer les exigences des applications R AR
Deacutevelopper un plan pour la maintenance des applications C C AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Deacuteterminer comment traduire les besoins fonctionnels des meacutetiers et de controcircle en solutions automatiseacutees efficaces et efficientes bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
induit
induit
Meacutetriq
ues
bull Pourcentage de projets qui fournissent les modifications meacutetiers dans les deacutelais demandeacutes bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoune mauvaise conception ou drsquoun mauvais deacuteveloppement de lrsquoapplication bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
bull Pourcentage de projets reacutealiseacutes dans les deacutelais et les coucircts bull Pourcentage defforts de deacuteveloppement consacreacutes agrave la maintenance des applications existantes bull Nb de problegravemes de production entraicircnant des peacuteriodes drsquoimproductiviteacute visibles bull Nb de deacutefauts rapporteacutes par mois (par point de fonction)
bull Pourcentage de projets drsquoapplications pour lesquels on a deacuteveloppeacute et exeacutecuteacute un plan drsquoassurance qualiteacute logicielle bull Pourcentage de projets drsquoapplications qui ont subi les revues approprieacutees et dont on a approuveacute la conformiteacute aux standards de deacuteveloppement bull Deacutelai de livraison moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code bull Effort de programmation moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code
Processus
bull Acqueacuterir et assurer la maintenance des applications qui satisfont les exigences des meacutetiers deacutefinies de faccedilon rentable bull Acqueacuterir et assurer la maintenance des applications en accord avec la strateacutegie et lrsquoarchitecture informatique bull Srsquoassurer que le processus de deacuteveloppement est rentable et respectueux des deacutelais
Activiteacutes
bull Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales bull Adopter les standards de deacuteveloppement pour toutes les modifications bull Eacutetablir les prioriteacutes des exigences en fonction de leur importance pour les meacutetiers bull Seacuteparer les activiteacutes de deacuteveloppement de tests et drsquoexploitation bull Tirer profit des investissements dans la technologie existante
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 79
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI2 Acqueacuterir des applications et en assurer la maintenance
La gestion du processus Acqueacuterir des applications et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable est
0 Inexistante quand
Il nexiste pas de processus pour concevoir des applications et en faire le cahier des charges Typiquement on achegravete les applications en se basant sur les offres des fournisseurs la reacuteputation dune marque ou les habitudes des informaticiens sans beaucoup tenir compte des veacuteritables besoins
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute davoir un processus dacquisition et de maintenance des applications Les faccedilons drsquoacheter et drsquoassurer la maintenance de logiciels applicatifs varient drsquoun projet agrave lrsquoautre On a sans doute acheteacute de faccedilon indeacutependante quelques solutions individuelles pour reacutepondre agrave certaines exigences des meacutetiers ce qui peacutenalise lrsquoefficaciteacute de la maintenance et du support
2 Reproductible mais intuitive quand
Il existe des processus diffeacuterents mais similaires pour lrsquoachat et la maintenance drsquoapplications et on se fie agrave lrsquoexpertise de la fonction informatique Le taux de succegraves des applications deacutepend largement des compeacutetences internes et du niveau dexpeacuterience de lrsquoinformatique La maintenance est en geacuteneacuteral probleacutematique et sa qualiteacute se deacutegrade lorsque des personnels qui ont accumuleacute des connaissances speacutecifiques quittent lentreprise On nrsquoa que peu pris en compte la seacutecuriteacute et la disponibiliteacute dans la conception ou lrsquoacquisition des logiciels applicatifs
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de logiciels applicatifs Ce processus est aligneacute sur les strateacutegies SI et meacutetiers On srsquoefforce de mettre en œuvre des processus documenteacutes et coheacuterents pour diffeacuterentes applications et diffeacuterents projets Les meacutethodologies sont en geacuteneacuteral rigides et difficiles agrave appliquer agrave tous les cas si bien quil peut arriver qursquoon en neacuteglige certaines eacutetapes Les activiteacutes de maintenance sont planifieacutees et coordonneacutees
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie formelle et bien comprise qui comporte un processus de conception et de speacutecifications des critegraveres drsquoachat un processus de tests et des exigences de documentation On srsquoest mis drsquoaccord sur des meacutecanismes dapprobation formels et documenteacutes pour sassurer que toutes les eacutetapes sont respecteacutees et que les cas particuliers sont geacutereacutes Les pratiques et les proceacutedures ont eacutevolueacute pour bien srsquoadapter agrave lrsquoentreprise elles sont utiliseacutees par tout le personnel et reacutepondent agrave la plupart des exigences des applications
5 Optimiseacutee quand
Les pratiques dacquisition et de maintenance des applications sont conformes aux processus deacutefinis Lapproche est modulaire favorisant des applications preacutedeacutefinies standardiseacutees et adapteacutees aux besoins de lentreprise Cette approche concerne lrsquoensemble de lrsquoentreprise La meacutethodologie dacquisition et de maintenance est bien avanceacutee et permet des deacuteploiements rapides une forte reacuteactiviteacute ainsi que suffisamment de souplesse pour reacutepondre agrave des exigences meacutetiers eacutevolutives La meacutethodologie dacquisition et de mise en place des applications connaicirct des ameacuteliorations permanentes et sappuie sur des bases de connaissances internes et externes donnant accegraves agrave des documents de reacutefeacuterence et aux bonnes pratiques La meacutethodologie produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 80
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
DESCRIPTION DU PROCESSUS
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
Une entreprise dispose de processus pour lrsquoacquisition la mise en place et la mise agrave niveau de son infrastructure technique Cela exige une approche planifieacutee de lrsquoacquisition de la maintenance et de la protection de lrsquoinfrastructure en accord avec les strateacutegies technologiques adopteacutees et de disposer drsquoenvironnements de deacuteveloppement et de tests On est ainsi sucircr de disposer drsquoun support technique permanent pour les applications meacutetiers
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Acqueacuterir une infrastructure technique et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee
en se concentrant sur
la mise agrave disposition de plates-formes approprieacutees pour les applications meacutetiers en accord avec les standards informatiques et drsquoarchitecture technique deacutefinis
atteint son objectif en
bull eacutelaborant un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull planifiant la maintenance de lrsquoinfrastructure bull mettant en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
et est mesureacute par
bull le pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis
bull le nombre de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
bull le nombre de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 81
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI31 Plan drsquoacquisition drsquoune infrastructure technique Eacutelaborer un plan drsquoacquisition de mise en place et de maintenance de lrsquoinfrastructure technique qui reacuteponde aux besoins fonctionnels et techniques deacutefinis des meacutetiers et qui soit en accord avec les orientations technologiques de lrsquoentreprise
AI32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute au cours de la configuration de lrsquointeacutegration et de la maintenance du mateacuteriel et des logiciels systegraveme pour proteacuteger les ressources et assurer la disponibiliteacute et lrsquointeacutegriteacute Il faut que ceux qui deacuteveloppent et integravegrent les composants drsquoinfrastructure deacutefinissent clairement les responsabiliteacutes drsquoutilisation des composants sensibles Leur utilisation doit ecirctre suivie et eacutevalueacutee
AI33 Maintenance de lrsquoinfrastructure Deacutevelopper une strateacutegie et un plan pour la maintenance de lrsquoinfrastructure et srsquoassurer que les modifications sont controcircleacutees conformeacutement agrave la proceacutedure de gestion des changements de lrsquoentreprise Inclure une reacutevision peacuteriodique en fonction des besoins des meacutetiers de la gestion des correctifs et des strateacutegies de mise agrave niveau et en fonction de lrsquoeacutevaluation de la vulneacuterabiliteacute et des exigences de seacutecuriteacute
AI34 Environnement de test de faisabiliteacute Mettre en place des environnements de deacuteveloppement et de test pour srsquoassurer drsquoune faisabiliteacute et de tests drsquointeacutegration des composants de lrsquoinfrastructure efficaces et efficients
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 82
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
GUIDE DE MANAGEMENT
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
De Entreacutees
PO3 Plan drsquoinfrastructure technique standards et opportuniteacutes mises agrave niveau techniques reacuteguliegraveres
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Changer lrsquointituleacute des processus
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Deacutecisions drsquoacquisition AI5 Systegraveme configureacute agrave testerinstaller AI7 Exigences de lrsquoenvironnement physique DS12 Mises agrave jour des standards techniques PO3 Exigences de surveillance des systegravemes DS3 Connaissance de lrsquoinfrastructure AI4 CE preacutevus initialement DS1
Deacutefinir les proceacuteduresprocessus drsquoacquisition C A C C C R I
Examiner les besoins dinfrastructure avec les fournisseurs (agreacuteeacutes) CI A I R C C R I
Deacutefinir la strateacutegie et planifier la maintenance pour lrsquoinfrastructure A R R R C
Configurer les composants de lrsquoinfrastructure A R C I
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit deacutefinit
induit
induit
bull Pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis bull Nb de plates-formes techniques par fonction dans lrsquoentreprise bull Pourcentage de composants drsquoinfrastructure acheteacutes en dehors du processus drsquoacquisition bull Nb de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
bull Nb et type de modifications drsquourgence aux composants de lrsquoinfrastructure bull Nb de demandes drsquoacquisition exceptionnelles bull Dureacutee moyenne pour configurer les composants drsquoinfrastructure
Meacutetriq
ues
bull Nb de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
Processus
bull Fournir les plates-formes approprieacutees aux applications meacutetiers conformes agrave lrsquoarchitecture technique deacutefinie et aux standards techniques bull Fournir une infrastructure technique fiable et seacutecuriseacutee
Activiteacutes
bull Eacutelaborer un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull Planifier la maintenance de lrsquoinfrastructure bull Fournir lrsquoinfrastructure drsquoenvironnement de deacuteveloppement et de test bull Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 83
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
La gestion du processus Acqueacuterir une infrastructure technique et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agraveshyvis de lrsquoinformatique acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee est
0 Inexistante quand
On ne considegravere pas lrsquoinfrastructure technique comme une question suffisamment importante pour sen occuper
1 Initialiseacutee au cas par cas quand
On modifie linfrastructure pour chaque nouvelle application sans avoir de plan geacuteneacuteral Bien que lon ait conscience de limportance de linfrastructure technique il ny a pas dapproche globale coheacuterente Les activiteacutes de maintenance reacuteagissent aux besoins agrave court terme Lrsquoenvironnement de test est lrsquoenvironnement de production
2 Reproductible mais intuitive quand
Il y a une certaine coheacuterence dans les approches tactiques lors de lrsquoacquisition et de la maintenance drsquoune infrastructure technique Lrsquoacquisition et la maintenance drsquoune infrastructure technique ne sont pas baseacutees sur une strateacutegie deacutefinie et ne prennent pas en compte les besoins des applications meacutetiers qursquoil srsquoagit de supporter On comprend que lrsquoinfrastructure technique est importante et certaines pratiques formelles en tiennent compte On planifie une certaine maintenance mais incomplegravetement et sans coordination Dans certains cas de figure il existe un environnement de test speacutecifique
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de lrsquoinfrastructure technique Ce processus reacutepond aux besoins des applications critiques de lentreprise et il est caleacute sur la strateacutegie des meacutetiers et sur la strateacutegie des SI mais il nrsquoest pas constamment mis en œuvre La maintenance est planifieacutee et coordonneacutee Les environnements de test et de production sont seacutepareacutes
4 Geacutereacutee et mesurable quand
Le processus dacquisition et de maintenance de linfrastructure technique sest deacuteveloppeacute au point de bien fonctionner dans la plupart des situations decirctre mis en œuvre avec constance et decirctre reacuteutilisable Lrsquoinfrastructure technique supporte comme il convient les applications meacutetiers Le processus est agrave la fois bien structureacute et proactif Le coucirct en temps et en argent pour atteindre le niveau souhaitable deacutevolutiviteacute compatibiliteacute souplesse et inteacutegration est partiellement optimiseacute
5 Optimiseacutee quand
Le processus dacquisition et de maintenance de linfrastructure technique est proactif et parfaitement aligneacute sur les applications meacutetiers cleacutes et sur lrsquoarchitecture technique On applique les bonnes pratiques pour ce qui est des solutions technologiques et lrsquoentreprise est au courant des derniers deacuteveloppements en matiegravere de plates-formes et drsquooutils de gestion On reacuteduit les coucircts par la rationalisation et la standardisation des composants drsquoinfrastructure et par lautomatisation Gracircce agrave un haut niveau de veille technologique on sait trouver les meilleurs moyens danticiper pour ameacuteliorer les performances y compris en externalisant Linfrastructure mateacuterielle et logicielle est vue comme le facteur essentiel pour geacuteneacuteraliser lutilisation de linformatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 84
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SS S S
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
DESCRIPTION DU PROCESSUS
AI4 Faciliter le fonctionnement et lrsquoutilisation
Les connaissances sur les nouveaux systegravemes sont rendues disponibles Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour lrsquoinformatique et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de lrsquoinfrastructure
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S S
Le controcircle du processus informatique
Surveiller et Evaluer
Faciliter le fonctionnement et lrsquoutilisation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers
en se concentrant sur
la fourniture de manuels utilisateurs de manuels opeacuterationnels et de supports de formation efficaces pour transfeacuterer la connaissance neacutecessaire au bon fonctionnement et agrave la bonne utilisation des systegravemes
atteint son objectif en
bull deacuteveloppant la documentation de transfert des connaissances et en la rendant disponible bull communiquant en direction des utilisateurs et des directions des meacutetiers du personnel en charge du
support et de la production et en les formant bull produisant des supports de formation
et est mesureacute par
bull le nombre dapplications ougrave des proceacutedures informatiseacutees sont inteacutegreacutees progressivement dans les processus meacutetiers
bull le pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents de support
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
bull le nombre dapplications pour lesquelles les utilisateurs et les agents du support beacuteneacuteficient dune formation adeacutequate
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 85
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
OBJECTIFS DE CONTROcircLE
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI41 Planification pour rendre les solutions exploitables Deacutevelopper un plan pour identifier et documenter tous les aspects techniques drsquoexploitation et drsquoutilisation de faccedilon agrave ce que tous ceux qui doivent exploiter utiliser et maintenir les solutions automatiseacutees puissent exercer leurs responsabiliteacutes
AI42 Transfert de connaissances aux meacutetiers Transfeacuterer les connaissances aux responsables des meacutetiers pour permettre agrave cette population drsquoassumer la proprieacuteteacute des systegravemes et des donneacutees et drsquoexercer la responsabiliteacute de la livraison de services et de la qualiteacute du controcircle interne et de lrsquoadministration des applications
AI43 Transfert de connaissances aux utilisateurs finaux Transfeacuterer les connaissances et le savoir-faire aux utilisateurs finaux pour leur permettre drsquoutiliser les applications avec efficaciteacute et efficience au beacuteneacutefice des processus meacutetiers
AI44 Transfert de connaissances aux eacutequipes drsquoexploitation et de support Transfeacuterer les connaissances et le savoir-faire aux eacutequipes drsquoexploitation et de support technique pour leur permettre de travailler de fournir lrsquoassistance et drsquoassurer la maintenance du systegraveme et de lrsquoinfrastructure associeacutee avec efficaciteacute et efficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 86
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
Service formation
Equipe de deacuteploiem
ent
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
GUIDE DE MANAGEMENT
AI4 Faciliter le fonctionnement et lrsquoutilisation
De Entreacutees PO10 Principes geacuteneacuteraux gestion de projets et plans
projets deacutetailleacutes AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2 Connaissance de lrsquoapplication et de la suite logicielle
AI3 Connaissance de lrsquoinfrastructure
AI7 Erreurs connues et accepteacutees
DS7 Mises agrave jour de la documentation requise
Sorties Vers Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 DS4 DS8 DS9 DS11 DS13
Exigences de transfert de connaissances pour la mise en place dune solution
DS7
Supports de formation DS7
Deacutevelopper une strateacutegie pour rendre la solution exploitable A A R R I R C
Deacutevelopper une meacutethodologie de transfert de connaissances C A C R
Deacutevelopper des manuels de proceacutedure pour les utilisateurs finaux AR R C C
Deacutevelopper de la documentation de support technique pour le personnel de lrsquoexploitation et du support AR C C
Deacutevelopper et fournir la formation A A R R
Eacutevaluer les reacutesultats de la formation et ameacuteliorer la documentation lorsque crsquoest neacutecessaire A A R R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Equipe
dedeacuteploiem
ent
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Inteacutegrer progressivement des solutions informatiques aux processus meacutetiers bull Reacuteduire le nombre de deacutefauts et de remise en chantier de la fourniture de solutions et de services
deacutefinit deacutefinit
bull Deacutevelopper la documentation de transfert des connaissances et la rendre disponible bull Communiquer en direction des utilisateurs et des directions meacutetiers du personnel du support et du personnel drsquoexploitation et les former bull Produire des supports de formation
induit
induit
Meacutetriq
ues
bull Nb dapplications ougrave des proceacutedures informatiseacutees ont eacuteteacute progressivement inteacutegreacutees aux processus meacutetiers bull Pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents drsquoassistance
bull Nb drsquoincidents causeacutes par une documentation et une formation utilisateur et drsquoexploitation deacuteficientes bull Nb de seacuteances de formation faites par le service de support bull Indices de satisfaction concernant la formation et la documentation des proceacutedures utilisateurs et drsquoexploitation bull Coucirct reacuteduit de production et de maintenance de la documentation utilisateur des proceacutedures drsquoexploitation et des supports de formation
bull Taux de participation des utilisateurs et des exploitants aux formations pour chaque application bull Deacutelai entre les changements et les mises agrave jour de la formation des manuels de proceacutedure et de la documentation bull Disponibiliteacute exhaustiviteacute et exactitude de la documentation des utilisateurs et des exploitants bull Nb drsquoapplications qui beacuteneacuteficient de formationssupport destineacutes aux utilisateurs et aux exploitants
Processus
bull Fournir des manuels utilisateurs et drsquoexploitation et des supports de formation efficaces pour les applications et les solutions techniques bull Transfeacuterer les connaissances neacutecessaires au succegraves de lrsquoexploitation du systegraveme
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 87
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
MODEgraveLE DE MATURITEacute
AI4 Faciliter le fonctionnement et lrsquoutilisation
La gestion du processus Faciliter le fonctionnement et lrsquoutilisation qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers est
0 Inexistante quand
Il nexiste pas de processus de production de la documentation utilisateurs des manuels dexploitation ni des supports de formation Les seuls documents existants sont ceux qui sont fournis avec les produits acheteacutes
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute de documenter les processus On produit certaines documentations et on les distribue irreacuteguliegraverement agrave des groupes limiteacutes Une grande partie de la documentation et de nombreuses proceacutedures sont peacuterimeacutees Les supports de formation ont tendance agrave ecirctre agrave usage unique et leur qualiteacute est inconstante Il nrsquoy a pratiquement aucune inteacutegration des proceacutedures dans les diffeacuterents services systegravemes et meacutetiers Les services meacutetiers ne sont pas impliqueacutes dans la conception des programmes de formation
2 Reproductible mais intuitive quand
On utilise des approches similaires pour produire des proceacutedures et de la documentation mais sans srsquoappuyer sur un reacutefeacuterentiel ou sur une meacutethodologie Les approches du deacuteveloppement des proceacutedures utilisateur ou drsquoexploitation ne sont pas uniformiseacutees Les supports de formation sont faits par des individus ou par des eacutequipes de projet et la qualiteacute deacutepend des personnes impliqueacutees Les proceacutedures et la qualiteacute du support aux utilisateurs varient de meacutediocres agrave tregraves bonnes lensemble eacutetant inconstant et le niveau dinteacutegration dans lrsquoentreprise tregraves faible On fournit ou on encourage les programmes de formation pour les utilisateurs et les meacutetiers mais il nrsquoexiste pas de plan geacuteneacuteral de fourniture ou de deacuteploiement de formations
3 Deacutefinie quand
Il existe un cadre clairement deacutefini accepteacute et compris pour ce qui concerne la documentation utilisateurs les manuels dexploitation et les supports de formation Les proceacutedures sont stockeacutees et mises agrave jour dans une bibliothegraveque officielle et sont accessibles par tous ceux qui en ont besoin La documentation et les proceacutedures sont corrigeacutees en fonction des besoins Il existe des versions de sauvegarde des proceacutedures que lon peut mettre agrave jour et auxquelles on peut acceacuteder en cas de sinistre Il existe un processus qui speacutecifie que les mises agrave jour des proceacutedures et des supports de formation font partie des livrables dun projet de changement Malgreacute lexistence dapproches deacutefinies le contenu reacuteel varie parce quon ne controcircle pas la conformiteacute avec les standards Les utilisateurs sont impliqueacutes dans le processus de maniegravere informelle On automatise de plus en plus la geacuteneacuteration et la distribution des proceacutedures La formation des utilisateurs et des meacutetiers est planifieacutee et programmeacutee
4 Geacutereacutee et mesurable quand
Il existe un cadre deacutefini pour la maintenance des proceacutedures et les supports de formation qui a le soutien du management de lrsquoinformatique Lrsquoapproche adopteacutee pour la maintenance des proceacutedures et pour les manuels de formation concerne tous les systegravemes et toutes les services si bien qursquoon peut consideacuterer les processus dans une perspective meacutetier Les manuels de proceacutedures et les supports de formation sont inteacutegreacutes de faccedilon agrave inclure les eacuteleacutements communs et les interfaces Il existe des controcircles pour sassurer quon applique les standards et quon deacuteveloppe des proceacutedures quon assure leur maintenance pour tous les processus On collecte les informations en provenance des utilisateurs et des meacutetiers et on les eacutevalue comme eacuteleacutements drsquoun processus drsquoameacutelioration continue La documentation et les supports de formation ont en geacuteneacuteral un bon niveau de fiabiliteacute et de disponibiliteacute On a mis en place un nouveau processus dutilisation de la documentation et de gestion des proceacutedures informatiseacutees Le deacuteveloppement de proceacutedures informatiseacutees est de plus en plus inteacutegreacute au deacuteveloppement dapplications ce qui ameacuteliore la coheacuterence et facilite laccegraves des utilisateurs La formation des meacutetiers et des utilisateurs srsquoadapte aux besoins des meacutetiers Le management de lrsquoinformatique eacutelabore des outils pour mesurer le deacuteveloppement et la fourniture de documentation de supports et de programmes de formation
5 Optimiseacutee quand
Le processus de documentation destineacutee aux utilisateurs et exploitants sameacuteliore constamment gracircce agrave ladoption de nouveaux outils et de nouvelles meacutethodes La documentation des proceacutedures et les supports de formation sont traiteacutes comme une base de connaissances en constante eacutevolution qui est tenue agrave jour au moyen des outils de gestion des connaissances de workflow et de diffusion les plus modernes ce qui en facilite laccessibiliteacute et la maintenance La documentation et les supports de formation sont mis agrave jour pour tenir compte des changements dans lrsquoentreprise dans lrsquoexploitation et dans les logiciels Le deacuteveloppement de documentation et de supports de formation ainsi que la fourniture de programmes de formation sont pleinement inteacutegreacutes aux meacutetiers et aux deacutefinitions des processus meacutetiers satisfaisant ainsi aux exigences geacuteneacuterales de lrsquoentreprise et non plus seulement aux proceacutedures informatiseacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 88
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
S P SAcqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
DESCRIPTION DU PROCESSUS
AI5 Acqueacuterir des ressources informatiques
On a besoin drsquoacqueacuterir des ressources informatiques Elles comprennent les personnes le mateacuteriel le logiciel et les services Cela exige de deacutefinir et drsquoappliquer des proceacutedures de recrutement et drsquoachat la seacutelection des fournisseurs lrsquoeacutetablissement drsquoarrangements contractuels et lrsquoacte lui-mecircme de se procurer ces ressources Crsquoest ainsi qursquoon peut assurer agrave lrsquoentreprise toutes les ressources informatiques requises au bon moment et au meilleur coucirct
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
S P S Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des ressources informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
en se concentrant sur
le recrutement et la conservation des compeacutetences informatiques qui correspondent agrave la strateacutegie de fourniture de services lrsquoacquisition drsquoune infrastructure informatique inteacutegreacutee et standardiseacutee et la reacuteduction des risques lieacutes aux achats informatiques
atteint son objectif en
bull se faisant conseiller sur les aspects juridiques et contractuels bull deacutefinissant des proceacutedures et des standards drsquoachat bull se procurant les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
et est mesureacute par
bull le nombre de contestations lieacutees aux contrats drsquoachat bull la reacuteduction des coucircts drsquoachat bull le pourcentage des parties prenantes cleacutes satisfaites des fournisseurs
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 89
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
OBJECTIFS DE CONTROcircLE
AI5 Acqueacuterir des ressources informatiques
AI51 Controcircle des achats Deacutevelopper et suivre un ensemble de proceacutedures et de standards conformes au processus geacuteneacuteral et agrave la strateacutegie drsquoacquisition de lrsquoentreprise pour acheter lrsquoinfrastructure informatique les installations les mateacuteriels logiciels et services dont les meacutetiers ont besoin
AI52 Gestion des contrats fournisseurs Mettre en place pour tous les fournisseurs une proceacutedure pour eacutetablir modifier et mettre un terme aux contrats Cette proceacutedure doit recouvrir au minimum les responsabiliteacutes leacutegales financiegraveres et civiles ainsi que celles qui sont lieacutees agrave la documentation agrave la performance agrave la seacutecuriteacute agrave la proprieacuteteacute intellectuelle et agrave la reacutesiliation (y compris les clauses peacutenales) Tous les contrats doivent ecirctre examineacutes par des conseillers juridiques ainsi que toutes les modifications
AI53 Choix des fournisseurs Choisir les fournisseurs selon une pratique loyale et formelle pour garantir la meilleure adaptation durable aux exigences formuleacutees Ces exigences doivent ecirctre optimiseacutees en fonction de propositions de fournisseurs potentiels
AI54 Acquisition de ressources informatiques Veiller agrave la protection et au respect des inteacuterecircts de lrsquoentreprise dans tous les accords contractuels drsquoacquisition en incluant les droits et obligations de toutes les parties dans les clauses contractuelles drsquoacquisition de logiciels de ressources de deacuteveloppement drsquoinfrastructures et de services
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 90
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
GUIDE DE MANAGEMENT
AI5 Acqueacuterir des ressources informatiques
De Entreacutees PO1 Strateacutegie drsquoachats informatiques PO8 Standards drsquoacquisition
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2shy3 Deacutecisions drsquoacquisition
DS2 Catalogue fournisseurs
Sorties Vers Exigences gestion des relations avec les tiers DS2 Articles acheteacutes AI7 Accords contractuels DS2
Deacutevelopper des politiques et des proceacutedures drsquoacquisition informatique conformes aux politiques drsquoacquisition de lrsquoentreprise
I C A I I I R C
Eacutetablirtenir agrave jour une liste de fournisseurs accreacutediteacutes AR
Eacutevaluer et seacutelectionner les fournisseurs selon un processus de demande de proposition (devis) C C A R R R R C
Reacutediger des contrats qui protegravegent les inteacuterecircts de lrsquoentreprise R C A R R R C
Respecter les proceacutedures drsquoacquisition eacutetablies A R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Acqueacuterir des applications informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Ameacuteliorer des infrastructures informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Se procurer et conserver les compeacutetences informatiques neacutecessaires agrave la mise en oeuvre de la strateacutegie informatique
deacutefinit
bull Reacuteduire les risques lieacutes aux achats informatiques bull En obtenir pour son argent dans les achats informatiques
deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de contestations lieacutees aux contrats de recrutement ou drsquoacquisition bull Reacuteduction en montant des coucircts drsquoachat bull Pourcentage de principales parties prenantes satisfaites des prestations des fournisseurs
bull Pourcentage drsquoexigences initiales satisfaites par la solution choisie bull Pourcentage drsquoachats conformes aux politiques et proceacutedures drsquoacquisition en cours bull Coucircts reacuteduits des biens ou des services acquis
bull Deacutelai entre la demande de proposition et la signature du contrat ou lrsquoachat bull Nb de demandes de proposition satisfaites par la liste des fournisseurs preacutefeacutereacutes bull Nb de demandes de propositions qui avaient besoin drsquoecirctre ameacutelioreacutees drsquoapregraves les reacuteponses des fournisseurs bull Nb de demandes de propositions qui ont abouti dans les deacutelais bull Nb de changements de fournisseurs pour le mecircme type de biens ou de services fournis bull Nb de reacuteponses aux demandes de proposition
Activiteacutes
bull Se faire conseiller sur les aspects juridiques et contractuels bull Deacutefinir des proceacutedures et des standards de recrutement et drsquoacquisition bull Se procurer les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 91
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
MODEgraveLE DE MATURITEacute
AI5 Acqueacuterir des ressources informatiques
La gestion du processus Acqueacuterir des ressources informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise est
0 Inexistante quand
On nrsquoa pas mis en place un processus deacutefini drsquoacquisition de ressources Lrsquoentreprise ne reconnaicirct pas la neacutecessiteacute de politiques et de proceacutedures claires pour srsquoassurer que toutes les ressources informatiques soient acquises au bon moment et dans de bonnes conditions eacuteconomiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct la neacutecessiteacute drsquoavoir des proceacutedures et des politiques qui lient les acquisitions informatiques au processus geacuteneacuteral drsquoacquisition Les contrats drsquoacquisition de ressources informatiques sont reacutedigeacutes et geacutereacutes par des directeurs de projets et drsquoautres personnes qui exercent leur jugement professionnel au lieu drsquoecirctre le reacutesultat de proceacutedures et de politiques formelles La relation entre les processus de gestion des achats et des contrats de lrsquoentreprise drsquoune part et lrsquoinformatique drsquoautre part nrsquoexiste qursquoau cas par cas Les contrats drsquoachats sont geacutereacutes au moment de la conclusion des projets au lieu de lrsquoecirctre de faccedilon continue
2 Reproductible mais intuitive quand
On est conscient au niveau de lrsquoentreprise du besoin drsquoavoir des politiques et des proceacutedures de base pour les acquisitions informatiques Les politiques et les proceacutedures sont partiellement inteacutegreacutees au processus global drsquoacquisition de lrsquoentreprise Les processus drsquoachats sont essentiellement utiliseacutes pour les projets importants agrave grande visibiliteacute Crsquoest lrsquoexpeacuterience individuelle du gestionnaire de contrats qui permet de deacutefinir les responsabiliteacutes opeacuterationnelles et finales des achats informatiques et de la gestion des contrats On reconnaicirct lrsquoimportance de la gestion des fournisseurs et de la gestion des relations mais elles ne sont mises en œuvre que sur des initiatives individuelles Les processus de passation de contrats sont essentiellement utiliseacutes pour les projets importants ou agrave grande visibiliteacute
3 Deacutefinie quand
Le management met en place des politiques et des proceacutedures pour les achats informatiques Les politiques et les proceacutedures sont inspireacutees par le processus global drsquoacquisition de lrsquoentreprise Les achats informatiques sont largement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Il existe des standards pour lrsquoacquisition de ressources informatiques Les fournisseurs de ressources informatiques sont inteacutegreacutes aux meacutecanismes de gestion de projets de lrsquoentreprise en ce qui concerne la gestion des contrats Le management de lrsquoinformatique communique agrave lrsquoensemble du service le besoin drsquoune bonne gestion des achats et des contrats
4 Geacutereacutee et mesurable quand
Les achats informatiques sont totalement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Les standards drsquoachat des ressources informatiques sont utiliseacutes pour toutes les acquisitions On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On dispose de rapports sur les achats informatiques qui prennent en compte les objectifs des meacutetiers Le management est en geacuteneacuteral au courant des exceptions aux politiques et aux proceacutedures drsquoacquisition informatique La gestion strateacutegique des relations se deacuteveloppe Le management de lrsquoinformatique fait appliquer le processus de gestion de contrats et drsquoacquisitions pour tous les achats en analysant les mesures de performance
5 Optimiseacutee quand
Le management eacutetablit des processus complets pour les achats informatiques et il fournit les ressources neacutecessaires Le management impose la conformiteacute avec les politiques et les proceacutedures pour les acquisitions informatiques On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On a eacutetabli au fil du temps de bonnes relations avec la plupart des fournisseurs et partenaires et on mesure et on surveille la qualiteacute de ces relations Les relations font lrsquoobjet drsquoune gestion strateacutegique Les standards informatiques les politiques et les proceacutedures pour lrsquoacquisition de ressources informatiques sont geacutereacutes de faccedilon strateacutegique et reacuteagissent aux mesures effectueacutees au cours du processus Le management de lrsquoinformatique communique agrave lrsquoensemble du service lrsquoimportance strateacutegique drsquoune bonne gestion des achats et des contrats
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 92
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SPP
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
DESCRIPTION DU PROCESSUS
AI6 Geacuterer les changements
Tous les changements y compris la maintenance et les correctifs drsquourgence concernant lrsquoinfrastructure et les applications de lrsquoenvironnement de production sont geacutereacutes et controcircleacutes de faccedilon formelle Les changements (y compris ceux relatifs aux proceacutedures processus paramegravetres systegravemes et services) sont enregistreacutes dans un fichier eacutevalueacutes et autoriseacutes avant mise en place et confronteacutes aux reacutesultats attendus degraves leur mise en œuvre Cela reacuteduit les risques de conseacutequences neacutegatives pour la stabiliteacute ou lrsquointeacutegriteacute de lrsquoenvironnement de production
Le controcircle du processus informatique
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SPP
Geacuterer les changements
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises
en se concentrant sur
le controcircle de lrsquoeacutevaluation des conseacutequences de lrsquoautorisation et de la mise en place de toutes les modifications de lrsquoinfrastructure informatique des applications et des solutions techniques la reacuteduction des erreurs dues agrave des speacutecifications insuffisantes et lrsquointerruption de modifications non autoriseacutees
atteint son objectif en
bull deacutefinissant et en communiquant les proceacutedures de changement y compris pour les modifications drsquourgence
bull eacutevaluant les changements deacutefinissant leurs prioriteacutes et en les autorisant bull faisant un suivi des changements et en en rendant compte
et est mesureacute par
bull le nombre de perturbations ou de donneacutees erroneacutees provoqueacutees par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
bull un travail suppleacutementaire sur les applications ou sur lrsquoinfrastructure du fait de speacutecifications inadeacutequates des modifications
bull le pourcentage de changements qui suivent le processus formel de controcircle des changements
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 93
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
OBJECTIFS DE CONTROcircLE
AI6 Geacuterer les changements
AI61 Standards et proceacutedures de changement Mettre en place des proceacutedures formelles de gestion des changements pour traiter de faccedilon standardiseacutee toutes les demandes de modifications (y compris maintenance et correctifs) des applications proceacutedures processus paramegravetres systegravemes et services ainsi qursquoaux plates-formes sur lesquelles ils srsquoappuient
AI62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation Eacutevaluer toutes les demandes de changements de faccedilon structureacutee en terme drsquoimpacts sur le systegraveme en exploitation et sur ses fonctionnaliteacutes Srsquoassurer que les changements sont classeacutes par cateacutegorie par prioriteacute et sont autoriseacutes
AI63 Modifications durgence Mettre en place un processus pour deacutefinir reacutealiser tester documenter eacutevaluer et autoriser les modifications drsquourgence qui ne suivent pas le processus de changement eacutetabli
AI64 Suivi et compte-rendu des changements Mettre en place un systegraveme de suivi et de reporting pour documenter les changements refuseacutes et communiquer sur la situation des changements approuveacutes en cours et acheveacutes Srsquoassurer que les changements approuveacutes sont mis en œuvre comme planifieacutes
AI65 Clocircture et documentation des changements A chaque mise en œuvre de changement mettre agrave jour les systegravemes associeacutes la documentation utilisateur et les proceacutedures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 94
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
GUIDE DE MANAGEMENT
AI6 Geacuterer les changements
De Entreacutees PO1 Portefeuille de projets informatiques PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques informatiques
PO10 Principes geacuteneacuteraux de gestion de projets et plans de projets deacutetailleacutes
DS3 Changements demandeacutes
DS5 Changements de seacutecuriteacute demandeacutes
DS8 Demande de servicedemande de changement
DS9shy10 Demande de changement (ougrave et comment faire la modification)
DS10 Historique des problegravemes
Sorties Vers Modifier la description du processus AI1hellipAI3 Modifier le rapport sur le statut SE1 Modifier lrsquoautorisation AI7 DS8 DS10
Deacutevelopper et mettre en place un processus pour enregistrer et eacutevaluer les demandes de changements et les classer par prioriteacutes
A I R C R C C C
Eacutevaluer lrsquoimpact des changements et deacutefinir leur prioriteacute en fonction des besoins des meacutetiers I R AR C R C R C
Srsquoassurer que toute modification drsquourgence ou critique suit le processus approuveacute I I AR I R C
Autoriser les changements I C AR R
Geacuterer et diffuser les informations utiles concernant les modifications A I R C R I R C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Reacuteduire les deacutefauts et les reprises touchant agrave la fourniture de solutions et de services bull Srsquoassurer qursquoun incident ou un changement dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
induit
induit
bull Nombre de reprises dues agrave des speacutecifications inadeacutequates de changements bull Diminution du temps et des efforts neacutecessaires pour effectuer les changements bull Pourcentage du total des changements qui sont des correctifs drsquourgence bull Pourcentage drsquoeacutechec des changements drsquoinfrastructure du fait de speacutecifications de changement inadeacutequates bull Nb de changements non formellement suivis non autoriseacutes ou sans compte-rendu bull Nb de demandes de changements encore non traiteacutees
bull Pourcentage de changements enregistreacutes et suivis par des outils automatiseacutes bull Pourcentage de changements respectant le processus formel de controcircle des changements bull Ratio demandes de changements accepteacuteesrefuseacutees bull Nb de versions diffeacuterentes de chaque application ou infrastructure meacutetiers maintenues bull Nb et type de modifications drsquourgence apporteacutees aux composants de lrsquoinfrastructure bull Nb et type de correctifs apporteacutes aux composants de lrsquoinfrastructure
Processus
bull Appliquer les changements autoriseacutes agrave lrsquoinfrastructure et aux applications informatiques bull Eacutevaluer lrsquoimpact des changements de lrsquoinfrastructure et des applications informatiques ainsi que des solutions techniques bull Suivre le statut des changements et en rendre compte aux parties prenantes cleacutes bull Reacuteduire le nombre drsquoerreurs dues agrave des speacutecifications incomplegravetes dans les demandes
Activiteacutes
bull Deacutefinir et communiquer les proceacutedures de changement y compris les modifications et les correctifs drsquourgence bull Eacutevaluer les changements deacutefinir leurs prioriteacutes et les autoriser bull Programmer les changements bull Faire un suivi des changements et en rendre compte
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de perturbations ou de donneacutees erroneacutees provoqueacutes par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 95
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
MODEgraveLE DE MATURITEacute
AI6 Geacuterer les changements
La gestion du processus Geacuterer les changements qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises est
0 Inexistante quand
Il nexiste pas de processus deacutefini de gestion des changements et les changements peuvent ecirctre faits pratiquement en dehors de tout controcircle On na pas conscience que les changements peuvent perturber le fonctionnement de linformatique et celui de lentreprise et on nest pas conscient non plus des beacuteneacutefices quapporterait une bonne gestion des changements
1 Initialiseacutee au cas par cas quand
On reconnaicirct qursquoil faudrait geacuterer et controcircler les changements Les pratiques varient et il est probable que des changements non autoriseacutes ont lieu La documentation des changements est pauvre ou absente et celle de la configuration est incomplegravete et peu fiable Des erreurs se produisent vraisemblablement ainsi que des interruptions dans lenvironnement de production du fait dune mauvaise gestion des changements
2 Reproductible mais intuitive quand
Il existe un processus informel de gestion des changements et la plupart des changements le suivent Il est cependant mal structureacute rudimentaire et sujet agrave erreurs La documentation de la configuration nest pas preacutecise et avant un changement on se contente dune planification et dune eacutevaluation de limpact limiteacutees
3 Deacutefinie quand
Il existe un processus deacutefini et formel de gestion des changements qui comporte leur reacutepartition par cateacutegories et par prioriteacutes les proceacutedures drsquourgence les autorisations de changements et la gestion de leur diffusion et on srsquoy conforme peu agrave peu On improvise des solutions et les processus sont souvent court-circuiteacutes Des erreurs peuvent toujours se produire et de temps en temps des changements sont pratiqueacutes sans autorisation On commence agrave formaliser lanalyse de limpact des changements informatiques sur les activiteacutes meacutetiers pour soutenir le deacuteploiement programmeacute de nouvelles applications et technologies
4 Geacutereacutee et mesurable quand
Le processus de gestion des changements est bien deacuteveloppeacute et suivi avec constance dans tous les cas Le management est convaincu quil ny a qursquoun minimum dexceptions Le processus est efficace et efficient mais sappuie sur de nombreuses proceacutedures et controcircles manuels pour garantir le niveau de qualiteacute Tous les changements sont assujettis agrave une planification complegravete et agrave une eacutevaluation dimpact de faccedilon agrave minimiser la probabiliteacute de problegravemes apregraves la mise en production On a mis en place un processus dapprobation des changements La documentation de la gestion des changements est bien faite et agrave jour les changements eacutetant formellement suivis de pregraves La documentation de la configuration est en geacuteneacuteral preacutecise La planification et la mise en place de la gestion des changements informatiques sont de plus en plus inteacutegreacutees aux eacutevolutions des processus meacutetiers de maniegravere agrave sassurer que les questions concernant la formation les changements organisationnels et la continuiteacute de lactiviteacute sont bien prises en compte Il y a une coordination accrue entre la gestion des changements informatiques et la redeacutefinition des processus meacutetiers Il existe un processus continu de surveillance de la qualiteacute et de la performance du processus de gestion des changements
5 Optimiseacutee quand
Le processus de gestion des changements est reacuteguliegraverement reacuteviseacute et mis agrave jour pour rester au niveau des bonnes pratiques Le processus de revue est le reflet des reacutesultats de la surveillance Linformation sur la configuration est informatiseacutee et permet de controcircler les diffeacuterentes versions Le suivi des changements est eacutelaboreacute et comporte des outils de deacutetection des logiciels non autoriseacutes etou sans licence La gestion des changements informatiques est inteacutegreacutee agrave la gestion des changements meacutetiers pour srsquoassurer que lrsquoinformatique apporte un plus en productiviteacute et en nouvelles opportuniteacutes meacutetiers pour lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 96
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7 DESCRIPTION DU PROCESSUS
AI7 Installer et valider les solutions et les modifications
Il faut mettre en exploitation les nouveaux systegravemes lorsque la phase de deacuteveloppement est acheveacutee Cela exige drsquoeffectuer les bons tests sur les donneacutees dans un environnement deacutedieacute de deacutefinir les instructions de deacuteploiement et de migration un planning de livraison et la mise en production proprement dite et des revues apregraves mise en place Cela garantit que les systegravemes opeacuterationnels sont en phase avec les attentes et les reacutesultats rechercheacutes
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Installer et valider les solutions et les modifications
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation
en se concentrant sur
la veacuterification que les applications et lrsquoinfrastructure sont approprieacutees agrave lrsquoobjectif proposeacute et libres drsquoerreurs et sur la planification de la mise en production des versions
atteint son objectif en
bull mettant en place une meacutethodologie de tests bull travaillant sur un planning des versions bull faisant eacutevaluer et approuver les reacutesultats de tests par le management bull effectuant des revues apregraves la mise en œuvre
et est mesureacute par
bull le nombre drsquoapplications indisponibles et de correctifs apporteacutes du fait de tests inapproprieacutes
bull le pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull le pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 97
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
OBJECTIFS DE CONTROcircLE
AI7 Installer et valider les solutions et les modifications
AI71 Formation Former le personnel des services utilisateurs concerneacutes et leacutequipe de production informatique conformeacutement au plan de formation deacutefini et aux supports associeacutes cette eacutetape doit faire partie inteacutegrante de tous les projets de deacuteveloppement de mise en place ou de modification des systegravemes dinformation
AI72 Plan de tests Eacutelaborer un plan de tests baseacute sur des standards de lrsquoentreprise deacutefinissant les rocircles les responsabiliteacutes et les critegraveres drsquoentreacutee et de sortie Srsquoassurer que le plan est approuveacute par les parties concerneacutees
AI73 Plan drsquoimpleacutementation Eacutelaborer un plan drsquoimpleacutementation de repli ou de retour en arriegravere Obtenir lrsquoapprobation des parties concerneacutees
AI74 Environnement de tests Deacutefinir et mettre en place un environnement seacutepareacute de tests seacutecuriseacute et repreacutesentatif de lrsquoenvironnement de production preacutevu sur le plan de la seacutecuriteacute des controcircles internes des pratiques drsquoexploitation de la qualiteacute des donneacutees des exigences lieacutees agrave la protection des donneacutees personnelles et de la charge de travail
AI75 Conversion des systegravemes et des donneacutees Planifier la conversion des donneacutees et la migration drsquoinfrastructure comme faisant partie des meacutethodes de deacuteveloppement de lrsquoentreprise et incluant les pistes drsquoaudit les reprises et les retours en arriegravere
AI76 Test des modifications Tester les modifications unitaires conformeacutement au plan de test deacutefini avant la migration dans lrsquoenvironnement drsquoexploitation Srsquoassurer que le plan prend en compte la seacutecuriteacute et la performance
AI77 Tests de recette deacutefinitive Srsquoassurer que les responsables des processus meacutetiers et les parties prenantes de lrsquoinformatique eacutevaluent les reacutesultats du processus de test tel que deacutefini dans le plan de test Corriger les erreurs significatives mises en lumiegravere par le processus de test apregraves avoir acheveacute lrsquoensemble des tests recenseacutes dans le plan de test ainsi que tous les tests de non reacutegression neacutecessaires Apregraves lrsquoeacutevaluation approuver la mise en production
AI78 Mise en production Apregraves les tests controcircler le passage en production du systegraveme modifieacute en veillant agrave ce qursquoil se reacutealise conformeacutement au plan drsquoimpleacutementation Obtenir lrsquoaccord des parties prenantes cleacutes comme les utilisateurs le proprieacutetaire du systegraveme et le management Si crsquoest opportun exploitez pendant un moment lrsquoancien systegraveme parallegravelement au nouveau de faccedilon agrave comparer leur fonctionnement et leurs reacutesultats
AI79 Revue post-impleacutementation Dans le cadre des standards de gestion des changements de lrsquoorganisation eacutelaborer des proceacutedures pour exiger une revue postshyimpleacutementation comme mentionneacutee dans le plan drsquoimpleacutementation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 98
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7
GUIDE DE MANAGEMENT
AI7 Installer et valider les solutions et les modifications
De Entreacutees PO3 Standards technologiques PO4 Documentation sur les proprieacutetaires de systegravemes
PO8 Standards de deacuteveloppement
PO10 Guides de gestion de projets et plans de projets deacutetailleacutes
AI3 Systegraveme configureacute agrave testerinstaller
AI4 Manuels utilisateur drsquoexploitation de support technique et drsquoadministration
AI5 Articles acheteacutes
AI6 Autorisation de changement
Sorties Vers Eacuteleacutements de configuration mis agrave disposition DS8 DS9 Erreurs connues et accepteacutees AI4 Mises en production DS13 Plan de publication et de diffusion de logiciel DS13 Revue postshydeacutemarrage PO2 PO5 PO10
Tableau RACI
Activiteacutes Construire et veacuterifier les plans drsquoimpleacutementation C A I C C R C C
Deacutefinir et veacuterifier une strateacutegie de tests (critegraveres drsquoentreacuteesortie) et une meacutethodologie de programme de tests C A C C C R C C
Constituer un dossier de reacutefeacuterence des exigences meacutetiers et techniques le tenir agrave jour et y joindre des reacutesultats de tests types pour les systegravemes valideacutes
A R
Faire des tests drsquointeacutegration et de conversion systegraveme sur lrsquoenvironnement de tests I I R C C AR I C
Deacuteployer lrsquoenvironnement de tests et conduire les tests de recette deacutefinitive I I R A C AR I C
Recommander le transfert en production selon des critegraveres de validation approuveacutes I R A R C R I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Reacuteduire le nombre de deacutefauts et de tacircches de reacutefection touchant la fourniture de solutions et de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Sassurer dune inteacutegration en douceur des applications aux processus meacutetiers bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de lrsquointeacutegriteacute des donneacutees des nouveaux systegravemes bull Pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull Nb drsquoerreurs trouveacutees agrave loccasion daudits internes ou externes concernant le processus dinstallation et de validation bull Reacutefections apregraves impleacutementation agrave cause de tests de validation inadeacutequats bull Appels au service drsquoassistance dus agrave une formation inadeacutequate bull Indisponibiliteacute des applications et correctifs apporteacutes du fait de tests inapproprieacutes
bull Degreacute dimplication des parties prenantes dans le processus dinstallation et de validation bull Pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute bull Nb de leccedilons tireacutees de la revue post-impleacutementation bull Nb drsquoerreurs deacutecouvertes lors de la revue dassurance qualiteacute des fonctions dinstallation et de validation bull Nb de modifications non avaliseacutees par le management avant impleacutementation
Processus
bull Veacuterifier et confirmer que les applications et les solutions technologiques sont adapteacutees au but rechercheacute bull Publier et deacuteployer de faccedilon approprieacutee les applications et les solutions informatiques bull Preacuteparer les utilisateurs meacutetiers et lrsquoexploitation agrave utiliser les applications et les solutions informatiques bull Srsquoassurer que les nouvelles applications meacutetiers et les modifications aux applications existantes sont libres drsquoerreurs
Activiteacutes
bull Constituer une meacutethodologie de tests qui garantisse des tests drsquoacceptation suffisants avant la mise en production bull Faire un suivi des modifications de tous les eacuteleacutements de configuration bull Travailler sur un planning de mise agrave disposition de versions bull Effectuer des revues post-impleacutementation bull Faire eacutevaluer et approuver les reacutesultats de tests par le management des meacutetiersdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 99
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
MODEgraveLE DE MATURITEacute
AI7 Installer et valider les solutions et les modifications
La gestion du processus Installer et valider les solutions et les modifications qui reacutepond agrave lexigence des meacutetiers mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation est
0 Inexistante quand Il ny a aucun processus formel dinstallation et de validation et ni la direction geacuteneacuterale ni les informaticiens ne reconnaissent le besoin de veacuterifier que les solutions correspondent aux objectifs preacutevus
1 Initialiseacutee au cas par cas quand On est conscient du besoin de veacuterifier et de confirmer que les solutions permettent datteindre les objectifs fixeacutes Certains projets sont soumis agrave des tests mais linitiative des tests est laisseacutee individuellement agrave chaque eacutequipe de projet et les approches sont diffeacuterentes La validation formelle et le visa opeacuterationnel sont rares ou inexistants
2 Reproductible mais intuitive quand Les approches de tests et de validation ont une certaine coheacuterence mais elles ne sont baseacutees sur aucune meacutethode Les eacutequipes de deacuteveloppement deacutecident en geacuteneacuteral individuellement de la faccedilon de faire les tests et il ny a habituellement pas de systegraveme de tests dinteacutegration Le processus drsquoapprobation existe mais il est informel
3 Deacutefinie quand On a mis en place une meacutethodologie formelle pour linstallation la migration la conversion et lacceptation Les processus dinstallation et de validation sont inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes en partie La formation les tests le passage en production et la validation peuvent diffeacuterer du processus deacutefini en fonction de deacutecisions individuelles La qualiteacute des systegravemes qui entrent en production est variable les nouveaux systegravemes pouvant souvent geacuteneacuterer un nombre significatif de problegravemes suite agrave leur mise en place
4 Geacutereacutee et mesurable quand Les proceacutedures sont formaliseacutees et deacuteveloppeacutees pour ecirctre bien organiseacutees et pratiques les environnements de tests et les proceacutedures de validation sont bien deacutefinis Dans la pratique toutes les modifications majeures apporteacutees aux systegravemes suivent cette approche formaliseacutee On a standardiseacute leacutevaluation des reacutesultats permettant de savoir si les exigences des utilisateurs sont satisfaites et on est capable de fournir des mesures qui peuvent effectivement ecirctre eacutetudieacutees et analyseacutees par le management La qualiteacute des systegravemes entrant en production satisfait le management et le nombre dincidents post-impleacutementation reste raisonnable Lautomatisation des processus se fait au cas par cas en fonction des projets Le management peut ecirctre satisfait du niveau drsquoefficaciteacute malgreacute lrsquoabsence drsquoeacutevaluation post-impleacutementation Le systegraveme de tests reflegravete bien les conditions reacuteelles On fait subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes pour les projets les plus importants
5 Optimiseacutee quand Les processus dinstallation et de validation ont atteint le niveau des bonnes pratiques du fait dameacuteliorations et perfectionnements continuels Ces processus sont pleinement inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes lorsque cest une bonne solution ce qui donne la meilleure efficaciteacute agrave la formation aux tests et au passage en production des nouveaux systegravemes Des environnements de tests bien deacuteveloppeacutes des releveacutes danomalies et des processus de correction de problegravemes assurent une transition efficace et performante vers lenvironnement de production La validation nrsquoimplique en geacuteneacuteral pas de reacutefections et les problegravemes post-impleacutementation sont habituellement limiteacutes agrave des corrections mineures Les revues post-impleacutementation sont elles aussi standardiseacutees et les enseignements qursquoon en tire sont en geacuteneacuteral dirigeacutes vers le processus pour assurer une ameacutelioration permanente de la qualiteacute On fait systeacutematiquement subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 100
DEacuteLIVRER ET SUPPORTER
DS1 Deacutefinir et geacuterer les niveaux de services DS2 Geacuterer les services tiers DS3 Geacuterer la performance et la capaciteacute DS4 Assurer un service continu DS5 Assurer la seacutecuriteacute des systegravemes DS6 Identifier et imputer les coucircts DS7 Instruire et former les utilisateurs DS8 Geacuterer le service drsquoassistance client et les incidents DS9 Geacuterer la configuration DS10 Geacuterer les problegravemes DS11 Geacuterer les donneacutees DS12 Geacuterer lrsquoenvironnement physique DS13 Geacuterer lrsquoexploitation
DEacute
LIV
RE
R E
T
SUPP
OR
TE
R
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
DESCRIPTION DU PROCESSUS
DS1 Deacutefinir et geacuterer les niveaux de services
Une communication efficace entre les responsables informatiques et les clients meacutetiers agrave propos des services demandeacutes est faciliteacutee par des accords sur les services informatiques et sur les niveaux de services et par leur deacutefinition et leur documentation Ce processus inclut aussi la surveillance et le compte-rendu en temps utile aux parties prenantes du respect des niveaux de services convenus Il permet lrsquoalignement entre les services informatiques et les exigences des meacutetiers qui srsquoy rapportent
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Le controcircle du processus informatique
Deacutefinir et geacuterer des niveaux de services
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers
en se concentrant sur
lrsquoidentification des exigences de service lrsquoaccord sur les niveaux de services et la surveillance du respect des niveaux de services convenus
atteint son objectif en
bull formalisant les accords internes et externes en tenant compte des exigences et des capaciteacutes de fourniture
bull rendant compte des niveaux de services atteints (rapports et reacuteunions) bull identifiant et en communiquant les nouvelles exigences de services et leur eacutevolution agrave la
planification strateacutegique
et est mesureacute par
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
bull le pourcentage de parties prenantes meacutetiers satisfaites de voir les fournitures de services atteindre les niveaux convenus
bull le nombre de services livreacutes qui ne sont pas reacutepertorieacutes bull le nombre annuel de reacuteunions avec les clients meacutetiers destineacutees agrave la reacutevision formelle des
contrats de services
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 101
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
OBJECTIFS DE CONTROcircLE
DS1 Deacutefinir et geacuterer les niveaux de services
DS11 Reacutefeacuterentiel pour la gestion des niveaux de services Deacutefinir un cadre de reacutefeacuterence qui propose un processus formaliseacute de gestion des niveaux de services entre les clients et les fournisseurs Ce cadre veille agrave lrsquoalignement continu avec les exigences des meacutetiers et avec les prioriteacutes pour faciliter une compreacutehension commune entre clients et fournisseur(s) Il comporte des processus de reacutecolte des exigences en matiegravere de services des deacutefinitions des services des contrats de services des contrats de niveau opeacuterationnel et des sources de financement Ces eacuteleacutements sont reacutepertorieacutes dans un catalogue de services Le reacutefeacuterentiel deacutefinit lrsquoorganisation de la gestion de niveau de service srsquointeacuteresse aux rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes et des clients
DS12 Deacutefinition des services Fonder les deacutefinitions des services informatiques sur les caracteacuteristiques des services et des exigences des meacutetiers Srsquoassurer qursquoils sont structureacutes et reacutepertorieacutes dans un catalogueportefeuille de services centraliseacute
DS13 Contrats ou conventions de services (CS) Deacutefinir et accepter les contratsconventions de services pour tous les services informatiques critiques en se fondant sur les besoins du client et les capaciteacutes de lrsquoinformatique Cela recouvre les engagements du client les besoins drsquoassistance les meacutetriques qualitatives et quantitatives pour mesurer le service contresigneacute par les parties prenantes les sources de financement et le cas eacutecheacuteant les accords commerciaux et les rocircles et responsabiliteacutes y compris la supervision des conventions de services Les principaux points agrave prendre en compte sont la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance le niveau drsquoassistance la planification de la continuiteacute les contraintes de seacutecuriteacute et de reacuteclamation
DS14 Contrats drsquoexploitation (CE) Deacutefinir des contrats drsquoexploitation expliquant comment les services seront techniquement fournis pour appuyer le mieux possible les conventions de services Les contrats drsquoexploitation doivent preacuteciser ce que sont les processus techniques en termes compreacutehensibles par le fournisseur et peuvent concerner plusieurs conventions de services
DS15 Surveillance et comptes-rendus des niveaux de services atteints Surveiller en continu les critegraveres de performance des niveaux de services La preacutesentation des comptes-rendus doit permettre aux parties prenantes de bien comprendre les niveaux de services atteints Les statistiques de surveillance doivent ecirctre analyseacutees et on y reacuteagit pour mettre en eacutevidence les tendances positives et neacutegatives de chaque service mais aussi globalement de lrsquoensemble des services
DS16 Revue des conventions de services et des contrats Faire une revue reacuteguliegravere des conventions de services et des contrats qui les accompagnent avec les fournisseurs de services internes et externes pour srsquoassurer qursquoelles sont efficaces agrave jour et qursquoon a pris en compte les modifications des exigences
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 102
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
GUIDE DE MANAGEMENT
DS1 Deacutefinir et geacuterer les niveaux de services
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de projets informatiques
PO2 Classifications attribueacutees aux donneacutees
PO5 Portefeuille actualiseacute des services informatiques
AI2 CS initialement preacutevus
AI3 CE initialement preacutevus
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
SE1 Entreacutee de la performance dans le planning informatique
Sorties Vers Rapport de revue des contrats DS2 Rapports sur la performance des processus SE1 Exigences de service nouvellesmodifieacutees PO1 CS AI1 DS2 DS3 DS4 DS6 DS8 DS13 CE DS4 DS5 DS6 DS7 DS8 DS11 DS13 Portefeuille actualiseacute des services informatiques PO1
Tableau RACI
Activiteacutes Creacuteer un reacutefeacuterentiel pour deacutefinir les services informatiques C A C C I C C I C R
Elaborer un catalogue des services informatiques I A C C I C C I I R
Deacutefinir les conventions de services pour les services informatiques critiques I I C C R I R R C C AR
Deacutefinir les contrats dexploitation pour atteindre les niveaux de services convenus I C R I R R C C AR
Surveiller la performance des services du deacutebut agrave la fin et rendre compte I I R I I I AR
Faire une revue des conventions de services et des contrats qui les supportent I I C R R R C AR
Faire une revuemise agrave jour du catalogue des services informatiques I A C C I C C I I R
Creacuteer un plan drsquoameacutelioration des services I A I R I R C C I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Chefde
service
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes meacutetiers satisfaites de voir les services fournis atteindre les niveaux convenus bull Pourcentage drsquoutilisateurs satisfaits de voir les services fournis atteindre les niveaux convenus
bull Nb de services fournis qui ne sont pas reacutepertorieacutes bull Pourcentage de services qui atteignent les niveaux convenus bull Pourcentage de niveaux services mesureacutes
bull Nb annuel de reacuteunions avec les meacutetiers pour la reacutevision formelle des conventions de services bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus automatiseacutes bull Nb de jours de travail passeacutes agrave ajuster un niveau de service apregraves accord avec le client
Processus
bull Eacutetablir un accord commun sur le niveau de service exigeacute bull Formaliser et surveiller les conventions de services et les critegraveres de performances bull Aligner les services fournis sur les niveaux convenus bull Creacuteer un catalogue de services agrave jour et aligneacute sur les objectifs des meacutetiers
Activiteacutes
bull Deacutefinir les services bull Formaliser les contrats internes et externes en accord avec les exigences et les capaciteacutes de fourniture bull Rendre compte des niveaux de services atteints (rapports et reacuteunions) bull Veacuterifier que la preacutesentation des comptes-rendus est adapteacutee au public viseacute bull Faire remonter les nouvelles exigences de services et les mises agrave jour agrave la planification strateacutegique
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 103
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
MODEgraveLE DE MATURITEacute
DS1 Deacutefinir et geacuterer les niveaux de services
La gestion du processus Deacutefinir et geacuterer les niveaux de services qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers est
0 Inexistante quand
Le management na pas ressenti le besoin de mettre en place un processus pour deacutefinir les niveaux de services Les responsabiliteacutes opeacuterationnelles et finales de leur surveillance ne sont pas attribueacutees
1 Initialiseacutee au cas par cas quand
On a pris conscience du besoin de geacuterer les niveaux de services mais le processus est informel et deacutepend des circonstances Les responsabiliteacutes opeacuterationnelle et finale de deacutefinition et de gestion des services ne sont pas attribueacutees Lorsque les mesures des performances existent elles sont qualitatives seulement et leurs buts ne sont pas clairement deacutefinis Les comptes-rendus sont informels peu freacutequents et peu meacutethodiques
2 Reproductible mais intuitive quand
Il existe des conventions de services mais elles ne sont ni formaliseacutees ni reacuteviseacutees Les comptes-rendus de niveaux de services sont incomplets et parfois non pertinents ou susceptibles drsquoinduire le client en erreur Les comptes-rendus sur les niveaux de services deacutependent des compeacutetences et des initiatives individuelles de responsables On a engageacute un coordinateur de niveaux de services et on lui a attribueacute des responsabiliteacutes deacutefinies mais une autoriteacute insuffisante Srsquoil existe un processus de conformiteacute aux conventions de services il deacutepend de bonnes volonteacutes individuelles
3 Deacutefinie quand
Les responsabiliteacutes sont bien deacutefinies mais elles ne sont pas exerceacutees avec meacutethode Le processus de deacuteveloppement des conventions de services est en place et il y a des controcircles programmeacutes pour reacuteeacutevaluer les niveaux de services et la satisfaction des clients Les services et les niveaux de services sont deacutefinis documenteacutes ils font lrsquoobjet de conventions et utilisent un processus standard Les insuffisances des niveaux de services sont identifieacutees mais les proceacutedures pour y remeacutedier sont informelles Le lien entre les niveaux de services attendus et le financement est clairement eacutetabli On srsquoest mis drsquoaccord sur les niveaux de services mais ils ne correspondent pas toujours aux exigences des meacutetiers
4 Geacutereacutee et mesurable quand
Les niveaux de services sont de plus en plus deacutefinis au cours de la phase de deacutefinition des exigences systegraveme et inteacutegreacutes dans la conception des environnements des applications et drsquoexploitation On mesure et on eacutevalue la satisfaction des clients de faccedilon reacuteguliegravere Les mesures de performance correspondent davantage aux besoins du client qursquoaux objectifs informatiques Les mesures drsquoeacutevaluation des niveaux de services se standardisent et correspondent aux normes de la profession Les critegraveres pour deacutefinir les niveaux de services sont baseacutes sur ce qui est critique pour les meacutetiers et recouvrent la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance lassistance aux utilisateurs la planification de la continuiteacute et les consideacuterations de seacutecuriteacute On pratique lanalyse causale lorsque les niveaux de services ne correspondent pas aux attentes Le systegraveme de comptes-rendus du suivi de niveaux de services sautomatise de plus en plus On a deacutefini et bien compris les risques financiers et opeacuterationnels lieacutes agrave des services qui natteignent pas les niveaux convenus On a formaliseacute un systegraveme de meacutetriques et on lrsquoactualise
5 Optimiseacutee quand
Les niveaux de services sont reacuteeacutevalueacutes en continu pour assurer lrsquoalignement des objectifs informatiques et meacutetiers ils tirent profit de lrsquoinformatique y compris du ratio coucirctsbeacuteneacutefices Tous les processus de niveaux de services font lrsquoobjet dameacuteliorations continues On surveille et on gegravere les niveaux de satisfaction clients Les niveaux de services convenus reflegravetent les objectifs strateacutegiques des uniteacutes meacutetiers et on les eacutevalue selon les normes de la profession Les responsables informatiques ont les ressources et la marge drsquoinitiatives voulues pour atteindre les objectifs de niveaux de services et le management beacuteneacuteficie de primes lorsque ces objectifs sont atteints La direction geacuteneacuterale surveille les meacutetriques de performance selon un processus drsquoameacutelioration continu
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 104
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Geacuterer les services tiers DS2
DESCRIPTION DU PROCESSUS
DS2 Geacuterer les services tiers
Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des meacutetiers impose un processus de gestion des services tiers Ce processus exige de deacutefinir clairement les rocircles responsabiliteacutes et les attentes dans les contrats avec des tiers et aussi drsquoeffectuer des revues et une surveillance de lrsquoefficaciteacute et de la conformiteacute de tels contrats Une gestion efficace des services fournis par des tiers minimise les risques meacutetiers lieacutes agrave des fournisseurs non performants
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Acqueacuterir et Impleacutementer
Planifier et Organiser
Le controcircle du processus informatique
Geacuterer les services tiers
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Surveiller et Evaluer
fournir des services tiers satisfaisants qui permettent une transparence sur les beacuteneacutefices coucircts et risques
en se concentrant sur
lrsquoinstauration de relations et de responsabiliteacutes bilateacuterales avec des tiers fournisseurs de services et sur la surveillance de la fourniture des services pour veacuterifier et garantir le respect des clauses contractuelles
atteint son objectif en
bull identifiant et en reacutepartissant les fournisseurs de services par cateacutegorie bull identifiant et en reacuteduisant le plus possible les risques fournisseurs bull surveillant et en mesurant leurs performances
et est mesureacute par
bull le nombre de plaintes utilisateurs dues aux services tiers bull le pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de
services clairement deacutefinis bull le pourcentage de fournisseurs principaux objets drsquoune surveillance
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 105
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
OBJECTIFS DE CONTROcircLE
DS2 Geacuterer les services tiers
DS21 Identification des relations avec tous les fournisseurs Identifier tous les services fournisseurs et les reacutepartir en cateacutegorie selon leur type importance et niveau critique Tenir agrave jour une documentation formelle des relations organisationnelles et techniques en preacutecisant les rocircles et responsabiliteacutes les objectifs les livrables attendus et les accreacuteditations des repreacutesentants de ces fournisseurs
DS22 Gestion des relations fournisseurs Formaliser le processus de gestion des relations fournisseurs pour chacun drsquoentre eux Les proprieacutetaires de relations doivent intervenir sur les questions qui concernent la relation clientsfournisseurs et garantir la qualiteacute de relations baseacutees sur la confiance et la transparence (par ex au moyen de conventions de services)
DS23 Gestion du risque fournisseurs Identifier et reacuteduire les risques lieacutes agrave lrsquoaptitude des fournisseurs agrave fournir de maniegravere continue des services efficaces sucircrs et efficients Srsquoassurer que les contrats se conforment aux standards universels de la profession en conformiteacute avec les exigences leacutegales et reacuteglementaires La gestion des risques doit par ailleurs prendre en compte les clauses de confidentialiteacute les contrats de mise sous seacutequestre la viabiliteacute du fournisseur (continuiteacute) la conformiteacute aux exigences de seacutecuriteacute les solutions alternatives en fourniture les peacutenaliteacutesreacutecompenses etc
DS24 Surveillance des performances fournisseurs Eacutetablir un processus de surveillance de la fourniture de services pour srsquoassurer que le fournisseur respecte les exigences des meacutetiers en cours et qursquoil continue agrave se conformer aux clauses de son contrat et agrave celles du contrat de service et que ses performances sont concurrentielles par rapport aux autres fournisseurs et aux conditions du marcheacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 106
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les services tiers DS2
GUIDE DE MANAGEMENT
DS2 Geacuterer les services tiers
De Entreacutees
PO1 Strateacutegie de fourniture informatique
PO8 Standards drsquoacquisition
AI5 Clauses contractuelles exigences de la gestion des relations avec les tiers
DS1 Compteshyrendu de revue de contrats conventions de services
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
Sorties Vers Rapports sur la performance des processus SE1 Catalogue fournisseurs AI5 Risques fournisseurs PO9
Identifier et cataloguer les relations avec les services tiers I C R C R AR C C
Deacutefinir et documenter les processus de gestion des fournisseurs C A I R I R R C C
Eacutetablir des politiques et des proceacutedures drsquoeacutevaluation et de seacutelection des fournisseurs C A C C C R C C
Identifier eacutevaluer et reacuteduire le plus possible les risques fournisseurs I A R R R C C
Surveiller la fourniture de services des fournisseurs R A R R R C C
Eacutevaluer les objectifs agrave long terme de la relation avec des services tiers pour toutes les parties prenantes C C C AR C C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les fournisseurs tiers bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer de la transparence et de la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques
induit
induit
bull Pourcentage de fournisseurs principaux qui satisfont des exigences et des niveaux de services clairement deacutefinis bull Nb de litiges aveacutereacutes avec les fournisseurs bull Pourcentage de factures fournisseurs contesteacutees
bull Pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de services clairement deacutefinis bull Pourcentage de fournisseurs principaux objets drsquoun suivi bull Niveau de satisfaction des meacutetiers de lrsquoefficaciteacute de la communication du fournisseur bull Niveau de satisfaction du fournisseur de lrsquoefficaciteacute de la communication meacutetiers bull Nb drsquoincidents significatifs concernant la non conformiteacute fournisseurs par peacuteriode de temps deacutefinie
Processus
bull Eacutetablir des relations et des responsabiliteacutes bilateacuterales avec des fournisseurs de services tiers qualifieacutes bull Surveiller la fourniture des services et veacuterifier le respect des clauses contractuelles bull Srsquoassurer que le fournisseur se conforme aux normes internes et externes applicables bull Entretenir la motivation du fournisseur agrave poursuivre la relation
Activiteacutes
bull Identifier et reacutepartir les fournisseurs de services par cateacutegories bull Identifier et reacuteduire le plus possible les risques fournisseurs bull Surveiller et mesurer leurs performances
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de plaintes utilisateurs dues aux services tiers bull Pourcentage de deacutepenses drsquoachats qui reacutesultent drsquoune mise en concurrence des fournisseurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 107
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
MODEgraveLE DE MATURITEacute
DS2 Geacuterer les services tiers
La gestion du processus Geacuterer les services tiers qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique fournir des services tiers satisfaisants qui permettent une transparence des beacuteneacutefices des coucircts et des risques est
0 Inexistante quand
On na pas deacutefini qui est responsable de quoi et devant qui (responsabiliteacutes opeacuterationnelles et finales) Il ny a ni proceacutedures ni politiques formelles concernant la passation de contrats avec des tiers Le management ne veacuterifie ni nagreacutee les services tiers Les tiers ne reacutealisent pas de mesures de leurs activiteacutes ni ne fournissent de rapports En labsence dobligations contractuelles de rendre compte la direction geacuteneacuterale nest pas en mesure de connaicirctre la qualiteacute des services fournis
1 Initialiseacutee au cas par cas quand
Le management est conscient du besoin davoir des politiques et des proceacutedures documenteacutees pour la fourniture de services par des tiers y compris davoir des contrats signeacutes Il ny a pas de conditions contractuelles standard pour les fournisseurs de services La mesure du service fourni est informelle et se fait au cas par cas Les pratiques deacutependent de lexpeacuterience individuelle et de celle du fournisseur (par ex fourniture agrave la demande)
2 Reproductible mais intuitive quand
Le processus de surveillance des fournisseurs de services tiers des risques associeacutes et de la fourniture de services reste informel On signe des contrats pro forma dans les termes et conditions du fournisseur (ex description des services agrave fournir) On dispose de rapports sur les services fournis mais ils ne correspondent pas aux objectifs des meacutetiers
3 Deacutefinie quand
On a mis en place des proceacutedures bien documenteacutees pour piloter la fourniture de services par des tiers avec des processus clairs pour deacutefinir des exigences et neacutegocier avec les fournisseurs Lorsqursquoon a signeacute un contrat de services la relation avec le tiers devient purement contractuelle La nature des services agrave fournir est deacutetailleacutee dans les contrats et elle inclut les exigences juridiques opeacuterationnelles et de controcircle On a attribueacute agrave quelqursquoun la responsabiliteacute de la surveillance de la fourniture de services par des tiers Les clauses contractuelles sont emprunteacutees agrave des modegraveles standardiseacutes On eacutevalue les risques meacutetiers lieacutes aux services tiers et on les consigne dans des rapports
4 Geacutereacutee et mesurable quand
On a eacutetabli des critegraveres formels et standardiseacutes pour deacutefinir les clauses contractuelles comme leacutetendue du travail les serviceslivrables agrave fournir les hypothegraveses les eacutecheacuteanciers les coucircts les conditions de facturation et les responsabiliteacutes On a nommeacute un responsable de la gestion des contrats et des fournisseurs On veacuterifie en continu les qualifications les risques et les capaciteacutes des fournisseurs On deacutefinit les exigences de services en liaison avec les objectifs des meacutetiers Il existe un processus de veacuterification de la performance des services fournis par rapport aux termes du contrat qui fournit des donneacutees pour eacutevaluer les services tiers actuels et futurs On utilise des modegraveles de prix de transfert dans le processus dachat Toutes les parties impliqueacutees sont conscientes des attentes en ce qui concerne les services les coucircts et les principaux jalons On a mis en place drsquoun commun accord des objectifs et des meacutetriques pour la supervision des fournisseurs de services
5 Optimiseacutee quand
On fait une revue des contrats signeacutes avec des tiers selon une freacutequence preacutedeacutefinie On a nommeacute un responsable de la gestion des fournisseurs et de la qualiteacute des services fournis On surveille que les contrats respectent les dispositions de conformiteacute opeacuterationnelle juridique et de controcircle et on impose les corrections neacutecessaires Le tiers est soumis agrave des revues indeacutependantes peacuteriodiques et on obtient des retours drsquoinformation sur la performance utiliseacutes pour ameacuteliorer la fourniture de services Les mesures choisies varient en fonction des changements des conditions dexercice de lactiviteacute Les meacutetriques permettent de deacutetecter rapidement les problegravemes qui peuvent se poser avec des services tiers Leacutetablissement de rapports deacutefinis et complets sur les niveaux de services est lieacute agrave la reacutetribution du tiers Le management ajuste le processus drsquoacquisition et de surveillance de services tiers drsquoapregraves les reacutesultats des indicateurs de mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 108
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P S
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
DESCRIPTION DU PROCESSUS
DS3 Geacuterer la performance et la capaciteacute
La bonne gestion des performances et des capaciteacutes des ressources informatiques exige qursquoun processus les passe reacuteguliegraverement en revue Ce processus comporte la preacutevision des besoins futurs en fonction des exigences de charge de travail de stockage et des impreacutevus Ce processus assure que les ressources informatiques qui appuient les exigences des meacutetiers sont constamment disponibles
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la performance et la capaciteacute
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers
en se concentrant sur
le respect du temps de reacuteponse preacutevu dans les conventions de services la reacuteduction des peacuteriodes drsquoindisponibiliteacute et lrsquoameacutelioration continue des performances et des capaciteacutes informatiques gracircce agrave la surveillance et aux mesures
atteint son objectif en
bull planifiant la capaciteacute et la disponibiliteacute des systegravemes et en y subvenant bull surveillant les performances systegravemes et en en rendant compte bull modeacutelisant et en preacutevoyant les performances systegravemes
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquoune planification insuffisante des capaciteacutes
bull le pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull le pourcentage des temps de reacuteponse preacutevus dans les conventions qui sont deacutepasseacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 109
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
OBJECTIFS DE CONTROcircLE
DS3 Geacuterer la performance et la capaciteacute
DS31 Planification de la performance et de la capaciteacute Eacutetablir un processus de planification pour la revue des performances et des capaciteacutes des ressources informatiques pour garantir que des capaciteacutes et des performances sont disponibles agrave des coucircts justifieacutes pour traiter les charges de travail convenues et deacutetermineacutees par les conventions de niveaux de services Les plans de capaciteacute et de performance doivent mobiliser les techniques de modeacutelisation approprieacutees pour proposer un modegravele de performance de capaciteacute et de deacutebit actuels et preacutevus des ressources informatiques
DS32 Performance et capaciteacute actuelles Eacutevaluer les performances et les capaciteacutes des ressources informatiques pour deacuteterminer si elles sont suffisantes pour satisfaire aux conventions de services signeacutees
DS33 Performance et capaciteacute futures Faire agrave intervalles reacuteguliers des preacutevisions de performance et de capaciteacute des ressources informatiques pour reacuteduire le risque drsquointerruption de service agrave cause de la deacutegradation de leurs performances et de lrsquoinsuffisance de leurs capaciteacutes Relever les excegraves de capaciteacute pour un eacuteventuel redeacuteploiement Relever les tendances de la charge de travail et deacuteterminer les preacutevisions agrave inclure dans les plans de performance et de capaciteacute
DS34 Disponibiliteacute des ressources informatiques Fournir les capaciteacutes et les performances requises en prenant en compte des caracteacuteristiques comme les charges de travail normales les impreacutevus les exigences de stockage et les cycles de vie des ressources informatiques Il faut preacutevoir des dispositions telles qursquoun classement des tacircches par prioriteacute des machines agrave toleacuterance de pannes et des allocations de ressources Le management doit srsquoassurer que les plans drsquourgence peuvent correctement faire face agrave des problegravemes de disponibiliteacute de capaciteacute et de performance des ressources informatiques individuelles
DS35 Surveillance et comptes-rendus Surveiller en continu les performances et les capaciteacutes des ressources informatiques Les donneacutees recueillies doivent servir agrave deux objectifs bull Maintenir et ajuster les performances actuelles de lrsquoinformatique et traiter des questions comme la reacutesilience les impreacutevus les charges de
travail actuelles et futures les plans drsquoarchivage et lrsquoacquisition de ressources bull Rendre compte de la disponibiliteacute des services livreacutes aux meacutetiers comme le preacutevoient les conventions de services Assortir tous les rapports drsquoincidents de recommandations pour les reacutesoudre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 110
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
GUIDE DE MANAGEMENT
DS3 Geacuterer la performance et la capaciteacute
De Entreacutees
AI2 Speacutecifications de disponibiliteacute continuiteacute et reacutecupeacuteration
AI3 Exigences de surveillance des systegravemes
DS1 CS
Sorties Vers Information sur la performance et la capaciteacute PO2 PO3 Plan de performance et capaciteacute (exigences) PO5 AI1 AI3 SE1 Changements requis AI6 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Mettre en place un processus pour planifier les revues de performance et de capaciteacute des ressources informatiques
A R C C C C
Reacuteviser les performances et les capaciteacutes actuelles des ressources informatiques C I AR C C C
Faire des preacutevisions de performance et de capaciteacute des ressources informatiques C C AR C C C C
Faire des analyses drsquoeacutecarts pour identifier les insuffisances des ressources informatiques C I AR R C C I
Faire un plan drsquourgence pour les indisponibiliteacutes potentielles des ressources informatiques C I AR C C I C
Surveiller en continu et rendre compte de la disponibiliteacute de la performance et de la capaciteacute des ressources informatiques
I I AR I I I I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Nb drsquoheures perdues par mois par les utilisateurs du fait drsquoun planning insuffisant des capaciteacutes bull Nb de processus critiques pour lentreprise qui ne sont pas associeacutes agrave un plan deacutefini de disponibiliteacute de service
bull Pics de charge de travail et taux globaux drsquoutilisation bull Pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull Pourcentage de temps de reacuteponse preacutevus dans les conventions de services qui sont deacutepasseacutes bull Taux drsquoeacutechec des traitements
bull Freacutequence des preacutevisions de performance et de capaciteacute bull Pourcentage drsquoactifs inclus dans les revues de capaciteacute bull Pourcentage drsquoactifs surveilleacutes par des outils centraliseacutes
Processus
bull Surveiller et mesurer les pics de charge de travail et les temps de reacuteponse des traitements bull Atteindre les temps de reacuteponse requis dans les conventions de services bull Reacuteduire le nombre drsquoeacutechecs de traitements bull Reacuteduire le temps drsquoindisponibiliteacute bull Optimiser lrsquoutilisation des ressources informatiques
Activiteacutes
bull Planifier la capaciteacute et la disponibiliteacute des systegravemes et y subvenir bull Surveiller les performances systegravemes et en rendre compte bull Modeacuteliser et preacutevoir les performances systegravemes
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 111
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
MODEgraveLE DE MATURITEacute
DS3 Geacuterer la performance et la capaciteacute
La gestion du processus Geacuterer la performance et la capaciteacute qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers est
0 Inexistante quand
Le management ne reacutealise pas que les processus cleacutes de lentreprise peuvent exiger de lrsquoinformatique de hauts niveaux de performance ou que les besoins globaux de lentreprise en services informatiques peuvent exceacuteder la capaciteacute de linfrastructure existante Il ny a pas de processus de planification de la capaciteacute
1 Initialiseacutee au cas par cas quand
Les utilisateurs conccediloivent des solutions de contournement pour reacutepondre aux contraintes de puissance et de capaciteacute Les besoins de planification de la capaciteacute et de la performance sont mal appreacutecieacutes par les proprieacutetaires des processus meacutetiers Les initiatives pour geacuterer la performance et la capaciteacute sont typiquement provoqueacutees par une situation particuliegravere Le processus de planification de la capaciteacute et de la performance est informel On a une connaissance limiteacutee des capaciteacutes et des performances des ressources informatiques actuelles et des besoins futurs
2 Reproductible mais intuitive quand
Le management des meacutetiers et de lrsquoinformatique est conscient des conseacutequences de labsence de gestion de la performance et de la capaciteacute On dispose en geacuteneacuteral des niveaux de performance neacutecessaires gracircce agrave leacutevaluation faite sur des systegravemes individuels et aux connaissances des eacutequipes dassistance et de projets Certains outils individuels peuvent ecirctre utiliseacutes pour diagnostiquer les problegravemes de performance et de capaciteacute mais la coheacuterence des reacutesultats deacutepend de lexpertise dindividus cleacutes Il ny a pas deacutevaluation globale du niveau de performance possible des SI ou danticipation de situations de deacutepassement ou de crise Des problegravemes de disponibiliteacute se produiront vraisemblablement de faccedilon inattendue et aleacuteatoire ce qui fera perdre beaucoup de temps en diagnostic et en correction Toute mesure de performance se base drsquoabord sur les besoins de lrsquoinformatique et non sur ceux du client
3 Deacutefinie quand
Les exigences de performance et de capaciteacute sont deacutefinies pour la dureacutee du cycle de vie du systegraveme On a deacutefini des exigences de niveaux de services et les meacutetriques qui peuvent ecirctre utiliseacutees pour mesurer la performance opeacuterationnelle On a modeacuteliseacute les exigences futures de performance et de capaciteacute selon un processus deacutefini On produit des rapports sur les statistiques de performance Il y a toujours une probabiliteacute drsquoanomalies lieacutees agrave la performance et agrave la capaciteacute dont la correction prendra du temps Malgreacute les niveaux de services publieacutes les utilisateurs et les clients peuvent ecirctre parfois sceptiques sur la capaciteacute de service
4 Geacutereacutee et mesurable quand
On dispose de processus et drsquooutils pour mesurer lrsquoutilisation la performance et la capaciteacute des systegravemes et on compare les reacutesultats aux objectifs deacutefinis On dispose aussi dinformations agrave jour qui donnent des statistiques normaliseacutees sur la performance et qui alertent sur des incidents provoqueacutes par des performances ou des capaciteacutes insuffisantes On utilise des proceacutedures deacutefinies et standardiseacutees pour traiter les insuffisances de performance ou les problegravemes de capaciteacute On utilise des outils automatiseacutes pour surveiller des ressources speacutecifiques comme lrsquoespace disque les reacuteseaux les serveurs et les passerelles reacuteseau Les statistiques de performance et de capaciteacute font lrsquoobjet de comptes-rendus en termes de processus meacutetiers de faccedilon agrave ce que les utilisateurs et les clients comprennent les niveaux de services informatiques Les utilisateurs se disent en geacuteneacuteral satisfaits de la capaciteacute de service offerte et sont susceptibles drsquoexiger de nouveaux ou de meilleurs niveaux de disponibiliteacute On srsquoest mis drsquoaccord sur des meacutetriques pour eacutevaluer la performance et la capaciteacute des SI mais il est possible qursquoon ne les utilise que sporadiquement et sans meacutethode
5 Optimiseacutee quand
Les plans de performance et de capaciteacute sont tout agrave fait synchroniseacutes avec les preacutevisions drsquoexigences des meacutetiers Linfrastructure technologique et les exigences des meacutetiers sont sujettes agrave des revues reacuteguliegraveres pour sassurer quon atteint la capaciteacute optimale au meilleur prix On a standardiseacute et on utilise sur les diffeacuterentes plates-formes les outils de surveillance des ressources informatiques critiques et on les a inteacutegreacutes au systegraveme de gestion des incidents de lentreprise Des outils de surveillance deacutetectent et peuvent automatiquement corriger des problegravemes de performance et de capaciteacute Lrsquoanalyse des tendances fait apparaicirctre les baisses imminentes de performance causeacutees par une augmentation des volumes dactiviteacute ce qui permet de sorganiser et deacuteviter les impreacutevus Les meacutetriques drsquoeacutevaluation de la performance et de la capaciteacute des SI sont bien ajusteacutees en termes de mesures de reacutesultat et drsquoindicateurs de performance pour tous les processus meacutetiers critiques et elles fournissent des mesures en continu Le management ajuste la planification de la performance et de la capaciteacute en fonction de lrsquoanalyse de ces mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 112
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P S P
Deacutelivrer et Supporter Assurer un service continu DS4
DESCRIPTION DU PROCESSUS
DS4 Assurer un service continu
Le besoin drsquoassurer la continuiteacute des services informatiques exige de deacutevelopper de maintenir et de tester des plans de continuiteacute des SI drsquoutiliser des capaciteacutes de stockage de sauvegardes hors site et drsquoassurer une formation peacuteriodique au plan de continuiteacute Un processus de service continu efficace reacuteduit les risques et les conseacutequences drsquoune interruption majeure des services informatiques aux fonctions et processus meacutetiers cleacutes
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S P
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Le controcircle du processus informatique
Assurer un service continu
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers
en se concentrant sur
donner une capaciteacute de reacutesistance aux solutions automatiseacutees et deacutevelopper tenir agrave jour et tester les plans de continuiteacute des SI
atteint son objectif en
bull deacuteveloppant et en actualisantameacuteliorant les plans de secours des SI bull srsquoexerccedilant sur les plans de secours des SI et en les testant bull stockant hors site des copies des plans de secours et des donneacutees
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquointerruptions impreacutevues bull le nombre de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte
par le plan de continuiteacute des SI
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 113
Deacutelivrer et Supporter DS4 Assurer un service continu
OBJECTIFS DE CONTROcircLE
DS4 Assurer un service continu
DS41 Reacutefeacuterentiel de continuiteacute informatique Deacutevelopper un cadre de reacutefeacuterence de la continuiteacute informatique pour assister la gestion de la continuiteacute des activiteacutes meacutetiers dans lrsquoensemble de lrsquoentreprise selon un processus coheacuterent Lrsquoobjectif de ce cadre de reacutefeacuterence doit aider agrave deacuteterminer la reacutesilience requise de lrsquoinfrastructure et inciter au deacuteveloppement drsquoun plan de secours informatique Il doit prendre en compte la structure de gestion de la continuiteacute de lrsquoentreprise couvrir les rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes leur management et leurs clients et les processus drsquoeacutelaboration des regravegles et des structures pour documenter tester et mettre en œuvre les plans de reprise et de secours informatique Ce plan doit aussi traiter des questions comme lrsquoidentification des ressources critiques des interdeacutependances cleacutes la surveillance et les comptes-rendus sur la disponibiliteacute des ressources critiques les traitements alternatifs et les principes de sauvegarde et de restauration
DS42 Plans de continuiteacute informatique En se basant sur le reacutefeacuterentiel deacutevelopper des plans de continuiteacute des SI destineacutes agrave reacuteduire les conseacutequences drsquoune perturbation majeure des fonctions et processus meacutetiers cleacutes Les plans doivent tenir compte drsquoune eacutevaluation du risque en termes drsquoimpacts potentiels pour les meacutetiers et doivent traiter des exigences de reacutesilience des traitements alternatifs et des capaciteacutes de restauration pour tous les services informatiques critiques Ils doivent aussi prendre en compte les guides de mise en oeuvre les rocircles et responsabiliteacutes les proceacutedures les processus de communication et les modaliteacutes de tests
DS43 Ressources informatiques critiques Concentrer lrsquoattention sur les eacuteleacutements consideacutereacutes comme les plus vitaux dans le plan de continuiteacute des SI pour en renforcer la capaciteacute de reacutesilience et eacutetablir les prioriteacutes lorsqursquoon est dans une situation de reprise Eacuteviter de perdre du temps agrave reacutecupeacuterer les eacuteleacutements les moins importants et tenir compte des prioriteacutes des besoins meacutetiers pour la reacuteaction et la reprise srsquoassurer aussi que les coucircts restent agrave un niveau acceptable et se conformer aux exigences reacuteglementaires et contractuelles Prendre en compte les exigences de dureacutee en matiegravere de reacutesilience reacuteactiviteacute et reprise pour diffeacuterents laps de temps par ex 1 agrave 2 heures 4 agrave 24 heures plus de 24 heures et les peacuteriodes critiques drsquoexploitation des meacutetiers
DS44 Maintenance du plan de continuiteacute des SI Encourager la direction informatique agrave deacutefinir et agrave mettre en œuvre des proceacutedures de controcircle des modifications pour sassurer que le plan de continuiteacute des SI est maintenu agrave jour et reflegravete en continu les veacuteritables exigences meacutetiers Communiquer clairement et en temps opportun les modifications de proceacutedures et de responsabiliteacutes
DS45 Tests du plan de continuiteacute des SI Tester reacuteguliegraverement le plan de continuiteacute des SI pour srsquoassurer qursquoon peut restaurer efficacement les systegravemes informatiques qursquoon traite les anomalies et que le plan reste pertinent Cela exige de faire une preacuteparation minutieuse de documenter les tests de rendre compte des reacutesultats et de mettre en place un plan drsquoaction en fonction de ces reacutesultats Envisager drsquoeacutetendre les tests de restauration drsquoapplications individuelles agrave des sceacutenarios de tests inteacutegreacutes agrave des tests exhaustifs et agrave lrsquointeacutegration de tests fournisseurs
DS46 Formation au plan de continuiteacute des SI Assurer pour toutes les parties concerneacutees des sessions de formation peacuteriodiques sur les proceacutedures et sur leurs rocircles et responsabiliteacutes en cas dincident ou de sinistre Veacuterifier et ameacuteliorer la formation en fonction des reacutesultats des tests de situations drsquourgence
DS47 Diffusion du plan de continuiteacute des SI Veacuterifier ou faire en sorte qursquoil existe une strateacutegie de diffusion deacutefinie et geacutereacutee pour srsquoassurer que tous les plans sont distribueacutes de faccedilon sucircre et qursquoils sont disponibles pour les parties ducircment autoriseacutees et inteacuteresseacutees agrave lrsquoendroit et au moment ougrave elles en ont besoin Bien veacuterifier que les plans soient accessibles selon tous les sceacutenarios de sinistres
DS48 Reprise et redeacutemarrage des services informatiques Preacutevoir les actions agrave entreprendre pendant la peacuteriode de reprise et de redeacutemarrage des services informatiques Cela peut concerner lrsquoactivation de sites de secours le lancement de traitements alternatifs la communication en direction des parties prenantes et des clients les proceacutedures de redeacutemarrage etc Srsquoassurer que les meacutetiers comprennent les deacutelais de restauration et les investissements informatiques neacutecessaires pour faire face aux besoins de reprise et de redeacutemarrage des meacutetiers
DS49 Stockage de sauvegardes hors site Stocker hors site tous les supports de sauvegarde critiques la documentation et les autres ressources informatiques neacutecessaires agrave la reprise des SI et aux plans de continuiteacute meacutetiers Le contenu de ce stockage de sauvegarde doit ecirctre deacutetermineacute par une collaboration entre les proprieacutetaires des processus meacutetiers et le personnel informatique Les responsables de lrsquoinstallation de stockage hors site doivent srsquoaligner sur la politique de classification des donneacutees et sur les pratiques de stockage des supports de lrsquoentreprise La direction informatique doit sassurer que les eacutequipements hors site sont eacutevalueacutes peacuteriodiquement au moins annuellement en ce qui concerne leur contenu leur protection vis-agrave-vis de lenvironnement et leur seacutecuriteacute Srsquoassurer que la compatibiliteacute des mateacuteriels et de logiciels permet de restaurer les donneacutees archiveacutees et tester et rafraicircchir peacuteriodiquement les archives
DS410 Revue apregraves redeacutemarrage Veacuterifier si la direction informatique a mis en place des proceacutedures pour eacutevaluer ladeacutequation du plan de reprise de lrsquoinformatique dans de bonnes conditions apregraves un sinistre et mettre agrave jour le plan en conseacutequence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 114
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer un service continu DS4
GUIDE DE MANAGEMENT
DS4 Assurer un service continu
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI2 Speacutecifications de disponibiliteacute continuiteacute et reprise
AI4 Manuels utilisateur drsquoassistance technique et drsquoadministration
DS1 CS et CE
Sorties Vers Reacutesultats des tests de secours PO9 Eleacutements de configuration informatique critiques DS9 Plan de stockage et de protection hors site DS11 DS13 Seuils incidentssinistres DS8 Exigences de service en cas de sinistres y compris rocircles et responsabiliteacutes
DS1 DS2
Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Deacutevelopper un reacutefeacuterentiel de continuiteacute des SI C C A C R R R C C R
Reacutealiser des analyses drsquoimpact et des eacutevaluations des risques au niveau des meacutetiers C C C C AR C C C C C
Deacutevelopper et maintenir les plans de continuiteacute des SI I C C C I AR C C C C
Identifier et reacutepartir par cateacutegories les ressources informatiques en fonction des objectifs de reprise C AR C I C I
Deacutefinir et mettre en œuvre des proceacutedures de controcircle des changements pour srsquoassurer que le plan de continuiteacute des SI est agrave jour
I AR R R R I
Tester reacuteguliegraverement le plan de continuiteacute des SI I I AR C C I I
Eacutelaborer un plan drsquoactions agrave entreprendre agrave la suite des reacutesultats des tests C I AR C R R R I
Planifier et mettre en œuvre la formation agrave la continuiteacute des SI I R AR C R I I
Planifier la reprise et le redeacutemarrage des services informatiques I I C C AR C R R R C
Planifier et mettre en place le stockage et la protection des sauvegardes I AR C C I I
Eacutelaborer des proceacutedures pour conduire des revues apregraves reprise C I AR C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
induit
induit
bull Pourcentage de conventions de services disponibles satisfaites bull Nb de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte par le plan de continuiteacute des SI bull Pourcentage de tests qui atteignent les objectifs de secours bull Freacutequence des interruptions de services des systegravemes critiques
bull Deacutelai entre les tests de tout eacuteleacutement du plan de continuiteacute des SI bull Nombre annuel drsquoheures de formation sur la continuiteacute des SI suivies par employeacute informatique concerneacute bull Pourcentage de composants dinfrastructures critiques dont la disponibiliteacute est surveilleacutee automatiquement bull Freacutequence des revues du plan de continuiteacute des SI
Meacutetriq
ues
bull Nb drsquoheures mensuelles perdues par utilisateur du fait drsquointerruptions impreacutevues
Processus
bull Eacutetablir un plan de continuiteacute des SI qui srsquoappuie sur les plans de continuiteacute des meacutetiers bull Deacutevelopper des plans de continuiteacute des SI testeacutes et tenus agrave jour qui puissent ecirctre mis en œuvre bull Reacuteduire le plus possible la probabiliteacute drsquointerruption des services informatiques
Activiteacutes
bull Deacutevelopper et maintenir (ameacuteliorer) les plans de secours informatiques bull Srsquoexercer sur les plans de secours informatiques et les tester bull Stocker hors site des copies des plans de secours et des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 115
Deacutelivrer et Supporter DS4 Assurer un service continu
MODEgraveLE DE MATURITEacute
DS4 Assurer un service continu
La gestion du processus Assurer un service continu qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers est
0 Inexistante quand
On na pas conscience des risques ni des menaces qui pegravesent sur lrsquoinformatique de ses points vulneacuterables ni de lrsquoimpact drsquoune perte de services informatiques sur les meacutetiers On ne considegravere pas que la continuiteacute des services doive mobiliser lattention du management
1 Initialiseacute au cas par cas quand
Les responsabiliteacutes pour assurer un service continu sont informelles et lrsquoautoriteacute pour exercer ces responsabiliteacutes est limiteacutee Le management commence agrave prendre conscience du besoin dune continuiteacute des services et des risques lieacutes au manque de continuiteacute Lrsquoattention que precircte le management agrave la continuiteacute se porte davantage sur les ressources de lrsquoinfrastructure que sur les services informatiques Les utilisateurs mettent en place des solutions de contournement lorsque le service srsquointerrompt Les reacuteponses de lrsquoinformatique aux interruptions majeures de continuiteacute deacutependent des circonstances et ne sont pas preacutepareacutees On programme des interruptions de services en fonction des besoins de linformatique mais elles ne tiennent pas compte des exigences des meacutetiers
2 Reproductible mais intuitive quand
On a nommeacute des responsables de la continuiteacute des services Les approches du problegraveme sont fragmentaires Les rapports sur la disponibiliteacute des systegravemes sont sporadiques eacuteventuellement incomplets et ne prennent pas en compte limpact sur les meacutetiers Il nexiste pas de plans de continuiteacute des SI documenteacutes bien quil y ait un engagement agrave assurer un service continu et quon en connaisse les principes essentiels Un inventaire des systegravemes et des composants critiques existe mais il nrsquoest pas toujours fiable On voit eacutemerger des pratiques de service continu mais leur succegraves repose sur certaines personnes
3 Deacutefinie quand
Il nrsquoy a pas drsquoambiguiumlteacute sur la responsabiliteacute finale de la gestion de la continuiteacute On a clairement deacutefini et attribueacute les responsabiliteacutes opeacuterationnelles de la planification et des tests de continuiteacute des services Les plans de continuiteacute des SI sont documenteacutes et axeacutes sur les points vitaux des systegravemes et sur lrsquoimpact pour les meacutetiers Les tests de continuiteacute de services donnent lieu agrave des rapports reacuteguliers Certaines personnes prennent lrsquoinitiative de suivre les normes et de recevoir une formation pour affronter des incidents majeurs ou des sinistres Le management communique constamment sur la neacutecessiteacute drsquoun plan de continuiteacute des services On utilise des composants de haute disponibiliteacute et des systegravemes redondants On tient agrave jour un inventaire des systegravemes et composants les plus vitaux
4 Geacutereacutee et mesurable quand
On impose les responsabiliteacutes et les standards du service continu Les responsables de la maintenance du plan de continuiteacute sont deacutesigneacutes Les activiteacutes de maintenance se basent sur les reacutesultats des tests de service continu sur les bonnes pratiques internes et sur les eacutevolutions de lrsquoenvironnement informatique et meacutetiers On recueille dans une base structureacutee des informations sur la continuiteacute des services on les analyse on eacutelabore des rapports et on agit en conseacutequence Il existe une formation formaliseacutee et obligatoire sur les processus de service continu On deacuteploie systeacutematiquement les bonnes pratiques de disponibiliteacute des systegravemes Les pratiques de redondance et de planification de la continuiteacute des services sinfluencent reacuteciproquement Les incidents de rupture de continuiteacute sont reacutepartis par cateacutegorie et les proceacutedures drsquoescalade graduelles pour y remeacutedier sont bien connues de toutes les personnes concerneacutees On a deacuteveloppeacute et fait adopter des objectifs et des meacutetriques pour la continuiteacute des services mais ils ne sont pas toujours systeacutematiquement mesureacutes
5 Optimiseacutee quand
Les processus inteacutegreacutes de continuiteacute de services tiennent compte des tests comparatifs et des meilleures pratiques externes Le plan de continuiteacute des SI est inteacutegreacute aux plans de continuiteacute des meacutetiers et il est systeacutematiquement tenu agrave jour On sassure aupregraves des vendeurs et des fournisseurs principaux quils respecteront les exigences de continuiteacute des services On pratique des tests globaux du plan de continuiteacute des SI et leurs reacutesultats servent agrave mettre le plan agrave jour On utilise la collecte et lanalyse de donneacutees pour lrsquoameacutelioration continue du processus Les pratiques de disponibiliteacute et de service continu sont complegravetement aligneacutees Le management veacuterifie qursquoun sinistre ou un incident majeur ne se produiront pas du fait drsquoun seul maillon faible On comprend et on applique complegravetement les proceacutedures descalade On eacutevalue systeacutematiquement les objectifs et les meacutetriques qui concernent les reacutesultats du service continu Le management ajuste les plans de continuiteacute des services en fonction du reacutesultat des mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 116
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
DESCRIPTION DU PROCESSUS
DS5 Assurer la seacutecuriteacute des systegravemes
Le besoin de maintenir lrsquointeacutegriteacute de lrsquoinformation et de proteacuteger les actifs informatiques exige un processus de gestion de la seacutecuriteacute Ce processus comporte la mise en place et la maintenance de rocircles et responsabiliteacutes politiques plans et proceacutedures informatiques La gestion de la seacutecuriteacute implique aussi une surveillance de la seacutecuriteacute des tests peacuteriodiques et des actions correctives lors drsquoincidents ou de deacutecouverte de failles dans la seacutecuriteacute Une gestion efficace de la seacutecuriteacute protegravege tous les actifs informatiques pour reacuteduire le plus possible les conseacutequences de vulneacuterabiliteacutes et drsquoincidents de seacutecuriteacute
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S
Le controcircle du processus informatique
Assurer la seacutecuriteacute des systegravemes
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute
en se concentrant sur
la deacutefinition de politiques de proceacutedures et de plans de seacutecuriteacute informatique et la surveillance et la deacutetection des vulneacuterabiliteacutes et des incidents de seacutecuriteacute leur reacutesolution et leur compte-rendu
atteint son objectif en
bull comprenant les exigences les vulneacuterabiliteacutes et les menaces de seacutecuriteacute bull geacuterant les identiteacutes et les autorisations des utilisateurs de faccedilon standardiseacutee bull testant reacuteguliegraverement la seacutecuriteacute
et est mesureacute par
bull le nombre drsquoincidents qui portent atteinte agrave la reacuteputation de lrsquoentreprise bull le nombre de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull le nombre de manquements au principe de seacuteparation des tacircches
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 117
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
OBJECTIFS DE CONTROcircLE
DS5 Assurer la seacutecuriteacute des systegravemes
DS51 Gestion de la seacutecuriteacute informatique Geacuterer la seacutecuriteacute informatique au plus haut niveau approprieacute de lrsquoentreprise de faccedilon agrave ce que la gestion des actions de seacutecuriteacute soit aligneacutee sur les exigences des meacutetiers
DS52 Plan de seacutecuriteacute informatique Traduire les exigences des meacutetiers des risques et de la conformiteacute dans un plan global de seacutecuriteacute informatique tenant compte de lrsquoinfrastructure informatique et de la culture de la seacutecuriteacute Srsquoassurer que le plan se deacutecline en politiques et proceacutedures de seacutecuriteacute assorties des investissements approprieacutes en services personnels logiciels et mateacuteriels Communiquer les politiques et les proceacutedures de seacutecuriteacute aux parties prenantes et aux utilisateurs
DS53 Gestion des identiteacutes Srsquoassurer que tous les utilisateurs (internes externes et temporaires) et leur action sur les systegravemes informatiques (applications meacutetiers environnement informatique exploitation deacuteveloppement et maintenance des systegravemes) sont identifiables sans ambiguiumlteacute Geacuterer les identiteacutes agrave lrsquoaide de systegravemes drsquoauthentification Srsquoassurer que les droits drsquoaccegraves des utilisateurs aux systegravemes et aux donneacutees sont en accord avec des besoins meacutetiers deacutefinis et documenteacutes et que des profils de fonctions sont attacheacutes aux identiteacutes Srsquoassurer que les droits drsquoaccegraves des utilisateurs sont demandeacutes par leur management approuveacutes par le proprieacutetaire du systegraveme et mis en place par la personne responsable de la seacutecuriteacute Tenir agrave jour les identiteacutes et les droits drsquoaccegraves des utilisateurs dans un entrepocirct de donneacutees centraliseacute Deacuteployer et maintenir opeacuterationnelles au meilleur coucirct des techniques et des proceacutedures pour creacuteer lrsquoidentiteacute des utilisateurs mettre en œuvre leur authentification et pour faire respecter les droits drsquoaccegraves
DS54 Gestion des comptes utilisateurs Disposer de proceacutedures de gestion des comptes utilisateurs permettant de traiter les demandes attributions ouvertures suspensions modifications et clocirctures des comptes utilisateurs et des droits associeacutes Y inclure une proceacutedure dapprobation speacutecifiant le nom du proprieacutetaire des donneacutees ou du systegraveme qui attribue les droits daccegraves Ces proceacutedures doivent srsquoappliquer agrave tous les utilisateurs y compris les administrateurs (utilisateurs privileacutegieacutes) les utilisateurs internes et externes dans les circonstances normales ou dans les cas drsquourgence Les droits et obligations relatifs agrave lrsquoaccegraves aux systegravemes et aux donneacutees de lrsquoentreprise doivent faire lrsquoobjet drsquoaccord contractuel avec tous les types drsquoutilisateurs Effectuer une revue reacuteguliegravere de la gestion de tous les comptes et des privilegraveges associeacutes
DS55 Tests de seacutecuriteacute vigilance et surveillance Tester et surveiller de faccedilon proactive la mise en place de la seacutecuriteacute informatique Pour srsquoassurer que la seacutecuriteacute informatique se maintient au niveau convenu il faut revoir et renouveler en temps voulu sa validation Une fonction de surveillance des identifications doit permettre une preacutevention deacutetection rapide suivie drsquoun rapport en temps voulu des activiteacutes inhabituellesanormales qursquoil peut ecirctre neacutecessaire de traiter
DS56 Deacutefinition des incidents de seacutecuriteacute Deacutefinir clairement et communiquer les caracteacuteristiques des incidents de seacutecuriteacute potentiels de faccedilon agrave ce que ceux-ci soient classifieacutes et traiteacutes comme il convient par le processus de gestion des incidents et des problegravemes
DS57 Protection de la technologie de seacutecuriteacute Rendre reacutesistants agrave des tentatives drsquointrusion les composants de seacutecuriteacute et ne pas divulguer la documentation sur la seacutecuriteacute inutilement
DS58 Gestion des clefs de chiffrement Srsquoassurer que sont en place des politiques et des proceacutedures pour geacuterer la geacuteneacuteration la modification la reacutevocation la destruction la distribution la certification le stockage lentreacutee lutilisation et larchivage de cleacutes de chiffrement afin de garantir leur protection contre toute modification ou divulgation non autoriseacutee
DS59 Preacutevention deacutetection et neutralisation des logiciels malveillants Mettre en place des mesures de preacutevention deacutetection et neutralisation (en particulier des correctifs de seacutecuriteacute et des anti-virus agrave jour) dans lrsquoensemble de lrsquoentreprise pour proteacuteger les systegravemes drsquoinformation et la technologie des logiciels malveillants (par ex virus vers logiciels espion pourriels (spams))
DS510 Seacutecuriteacute des reacuteseaux Mettre en œuvre des techniques de seacutecuriteacute et des proceacutedures de gestion associeacutees (ex pare-feux dispositifs de seacutecuriteacute compartimentage reacuteseau deacutetection drsquointrusion) pour autoriser et controcircler les flux drsquoinformations entre reacuteseaux
DS511 Eacutechange de donneacutees sensibles Ne faire circuler les eacutechanges de donneacutees sensibles que sur des circuits sucircrs ou sur des supports doteacutes de controcircles qui garantissent lrsquoauthenticiteacute du contenu et fournissent la preuve de la reacuteception et celle de non-reacutepudiation de la part de lrsquoexpeacutediteur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 118
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
GUIDE DE MANAGEMENT
DS5 Assurer la seacutecuriteacute des systegravemes
De Entreacutees
PO2 Architecture de lrsquoinformation classifications attribueacutees aux donneacutees
PO3 Standards informatiques
PO9 Eacutevaluation des risques
AI2 Speacutecification des controcircles de seacutecuriteacute des applications
DS1 CE
Sorties Vers Deacutefinition des incidents de seacutecuriteacute DS8 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS7
Rapports sur la performance des processus SE1 Modifications de seacutecuriteacute requises AI6 Menaces et vulneacuterabiliteacutes de seacutecuriteacute PO9 Plan et politiques de seacutecuriteacute informatique DS11
Tableau RACI
Activiteacutes Deacutefinir et tenir agrave jour un plan de seacutecuriteacute informatique I C C A C C C C I I R
Deacutefinir mettre en place et appliquer un processus de gestion des identiteacutescomptes utilisateurs I A C R R I C
Surveiller les incidents de seacutecuriteacute aveacutereacutes et potentiels A I R C C R
Reacuteviser et valider peacuteriodiquement les droits drsquoaccegraves et privilegraveges utilisateurs I A C R
Installer et tenir agrave jour des proceacutedures de maintenance et de sauvegarde des cleacutes de chiffrement A R I C
Mettre en place et tenir agrave jour des controcircles techniques et proceacuteduraux pour proteacuteger les flux de donneacutees entre reacuteseaux
A C C R R C
Pratiquer des eacutevaluations reacuteguliegraveres de la vulneacuterabiliteacute I A I C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les donneacutees critiques et confidentielles ne sont pas accessibles agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement bull Proteacuteger tous les actifs informatiques et en ecirctre responsable bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Nb drsquoincidents qui ont un impact meacutetier bull Nb de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull Deacutelai pour attribuer modifier et annuler les privilegraveges drsquoaccegraves
bull Nb et types drsquoaccegraves frauduleux suspecteacutes et aveacutereacutes bull Nb de manquements au principe de seacuteparation des tacircches bull Pourcentage drsquoutilisateurs qui ne se conforment pas aux normes des mots de passe bull Nb et types de codes malveillants bloqueacutes
bull Freacutequence des revues des types drsquoeacuteveacutenements de seacutecuriteacute agrave surveiller bull Nb et type de comptes dormants bull Nb drsquoadresses IP non autoriseacutees de ports et de types de trafic refuseacutes bull Pourcentage de cleacutes de chiffrement compromises et deacutesactiveacutees bull Nb de droits drsquoaccegraves autoriseacutes deacutesactiveacutes reacuteinitialiseacutes ou modifieacutes
Processus
bull Ne permettre lrsquoaccegraves aux donneacutees critiques et sensibles qursquoaux seuls utilisateurs autoriseacutes bull Identifier et surveiller les failles et les incidents de seacutecuriteacute et en rendre compte bull Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications et agrave lrsquoinfrastructure bull Reacuteduire au maximum les conseacutequences des failles identifieacutees et des incidents de seacutecuriteacute
Activiteacutes
bull Comprendre les exigences vulneacuterabiliteacutes et menaces de seacutecuriteacute bull Geacuterer les identiteacutes et les habilitations des utilisateurs de faccedilon standardiseacutee bull Deacutefinir les incidents de seacutecuriteacute bull Tester reacuteguliegraverement la seacutecuriteacute
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 119
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
MODEgraveLE DE MATURITEacute
DS5 Assurer la seacutecuriteacute des systegravemes
La gestion du processus Assurer la seacutecuriteacute des systegravemes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute est
0 Inexistante quand
Lrsquoentreprise ne reconnaicirct pas le besoin de seacutecuriteacute informatique Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute ne sont pas attribueacutees On na pas mis en place de mesures pour geacuterer la seacutecuriteacute informatique Il ny a pas de rapports sur cette question ni de processus pour reacuteagir aux atteintes agrave la seacutecuriteacute informatique Il y a une absence totale de processus reconnaissable dadministration de la seacutecuriteacute des systegravemes
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de seacutecuriteacute informatique La sensibilisation au besoin de seacutecuriteacute est principalement une affaire individuelle On reacuteagit aux circonstances La seacutecuriteacute informatique ne fait pas lrsquoobjet de mesures Chacun deacutesigne quelquun dautre lorsque des atteintes agrave la seacutecuriteacute sont deacutetecteacutees parce que les responsabiliteacutes ne sont pas clairement deacutefinies On ne peut pas preacutevoir quelles reacuteponses seront donneacutees aux incidents de seacutecuriteacute
2 Reproductible mais intuitive quand
Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute des SI sont confieacutees agrave un coordinateur bien que son autoriteacute soit limiteacutee La sensibilisation au besoin de seacutecuriteacute est fragmentaire et limiteacutee Bien que les systegravemes produisent des informations relatives agrave la seacutecuriteacute on ne les analyse pas Les services fournis par des tiers ne reacutepondent pas toujours aux besoins de seacutecuriteacute speacutecifiques de lrsquoentreprise On deacuteveloppe des politiques de seacutecuriteacute mais les compeacutetences et les outils sont inadeacutequats Les rapports sur la seacutecuriteacute sont incomplets trompeurs ou sans pertinence Il existe une formation agrave la seacutecuriteacute mais elle reste avant tout une initiative individuelle La seacutecuriteacute informatique est consideacutereacutee surtout comme de la responsabiliteacute et du domaine de lrsquoinformatique et les meacutetiers ne voient pas qursquoelle fait partie du sien
3 Deacutefinie quand
Le management fait la promotion de la seacutecuriteacute et le personnel commence agrave y ecirctre sensibiliseacute Les proceacutedures de seacutecuriteacute informatique sont deacutefinies et aligneacutees sur la politique de seacutecuriteacute des SI Les responsabiliteacutes dans ce domaine sont attribueacutees et comprises mais pas systeacutematiquement exerceacutees Il existe un plan de seacutecuriteacute des SI et des solutions eacutelaboreacutees agrave partir de lrsquoanalyse des risques Les rapports sur la seacutecuriteacute ne sont pas clairement axeacutes sur les meacutetiers On fait des tests de seacutecuriteacute (ex tests drsquointrusion) au cas par cas La formation agrave la seacutecuriteacute est accessible au personnel informatique et des meacutetiers mais elle nrsquoest geacutereacutee et planifieacutee que de faccedilon informelle
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes de la seacutecuriteacute des SI sont clairement attribueacutees geacutereacutees et exerceacutees On analyse reacuteguliegraverement les risques informatiques et leurs conseacutequences On complegravete les politiques et les proceacutedures de seacutecuriteacute par des principes de base speacutecifiques agrave la seacutecuriteacute On rend obligatoire les meacutethodes pour promouvoir la sensibilisation agrave la seacutecuriteacute On a standardiseacute lidentification des utilisateurs leur authentification et leurs droits daccegraves On poursuit la certification des personnels responsables de lrsquoaudit et de la gestion de la seacutecuriteacute Les tests de seacutecuriteacute utilisent un processus standardiseacute et formaliseacute qui conduit agrave des ameacuteliorations des niveaux de seacutecuriteacute Les processus de seacutecuriteacute des SI sont coordonneacutes avec la fonction de seacutecuriteacute geacuteneacuterale de lentreprise Les rapports sur la seacutecuriteacute informatique sont lieacutes aux objectifs meacutetiers La formation agrave la seacutecuriteacute est suivie agrave la fois par le personnel informatique et par le personnel des meacutetiers La formation agrave la seacutecuriteacute est planifieacutee et geacutereacutee de faccedilon agrave reacutepondre aux besoins des meacutetiers et aux profils de risques deacutefinis pour la seacutecuriteacute On a deacutefini des objectifs et des meacutetriques de gestion de la seacutecuriteacute mais on ne les eacutevalue pas encore
5 Optimiseacutee quand
La seacutecuriteacute des SI est sous la responsabiliteacute conjointe des responsables meacutetiers et informatique et elle fait partie des objectifs de seacutecuriteacute de lentreprise Les exigences de seacutecuriteacute informatique sont clairement deacutefinies optimiseacutees et incluses dans un plan de seacutecuriteacute approuveacute Les utilisateurs et les clients sont de plus en plus responsables de la deacutefinition des exigences de seacutecuriteacute et les fonctions de seacutecuriteacute sont inteacutegreacutees aux applications degraves la conception On traite rapidement les incidents de seacutecuriteacute agrave lrsquoaide de proceacutedures speacutecifiques formaliseacutees qui srsquoappuient sur des outils informatiques Des eacutevaluations peacuteriodiques de la seacutecuriteacute permettent drsquoeacutevaluer le bon fonctionnement du plan de seacutecuriteacute On collecte et on analyse systeacutematiquement les informations sur les menaces et sur les failles de seacutecuriteacute On communique et on met rapidement en place des controcircles adapteacutes pour reacuteduire les risques Lameacutelioration permanente des processus sappuie sur des tests de seacutecuriteacute une analyse causale des incidents de seacutecuriteacute et une identification proactive des risques Les processus et technologies de seacutecuriteacute sont inteacutegreacutes dans lensemble de lentreprise On eacutevalue on recueille les meacutetriques de la gestion de la seacutecuriteacute et on en communique le reacutesultat Le management en utilise les reacutesultats pour adapter le plan de seacutecuriteacute selon un processus drsquoameacutelioration continue
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 120
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
DESCRIPTION DU PROCESSUS
DS6 Identifier et imputer les coucircts
La neacutecessiteacute drsquoun systegraveme loyal et eacutequitable pour affecter les coucircts informatiques aux meacutetiers exige qursquoils soient chiffreacutes avec preacutecision et qursquoun accord soit conclu avec les utilisateurs meacutetiers sur une juste reacutepartition Ce processus comprend lrsquoeacutelaboration et la mise en œuvre drsquoun systegraveme pour calculer et affecter les coucircts informatiques et en rendre compte aux utilisateurs de services Un systegraveme de reacutepartition juste permet aux meacutetiers de prendre des deacutecisions mieux documenteacutees agrave propos de lrsquoutilisation des services informatiques
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Surveiller et Evaluer
Identifier et imputer les coucircts
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques
en se concentrant sur
un recensement complet et preacutecis des coucircts informatiques un systegraveme de reacutepartition juste qui a lrsquoaccord des utilisateurs meacutetiers et un systegraveme de comptes-rendus en temps opportun de lrsquoutilisation des SI et de lrsquoaffectation des coucircts
atteint son objectif en
bull faisant correspondre les charges avec la qualiteacute et la quantiteacute des services fournis bull eacutelaborant et en faisant adopter un modegravele de coucircts exhaustif bull reacutepercutant les charges conformeacutement agrave la politique agreacuteeacutee
et est mesureacute par
bull le pourcentage de factures de services informatiques accepteacuteespayeacutees par la direction des meacutetiers
bull le pourcentage des eacutecarts entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull le pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux
modegraveles de coucircts agreacuteeacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 121
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
OBJECTIFS DE CONTROcircLE
DS6 Identifier et imputer les coucircts
DS61 Deacutefinition des services Identifier tous les coucircts informatiques et les faire correspondre aux services informatiques pour aider agrave bacirctir un modegravele de coucircts transparent Il faut lier les services informatiques aux processus meacutetiers pour que les meacutetiers puissent identifier les niveaux de facturation de services associeacutes
DS62 Comptabiliteacute de lrsquoinformatique Calculer et affecter les coucircts reacuteels en respectant le modegravele de coucircts de lrsquoentreprise Les eacutecarts entre les preacutevisions et les coucircts reacuteels doivent faire lrsquoobjet drsquoanalyses et de comptes-rendus conformes aux systegravemes de mesure financiers de lrsquoentreprise
DS63 Modegravele de coucircts et facturation En se basant sur la deacutefinition des services deacutefinir et mettre en place un modegravele de coucircts qui permette le calcul du taux de refacturation interne par service Le modegravele de coucircts informatiques doit permettre aux utilisateurs drsquoidentifier de mesurer et de preacutevoir la facturation des services pour encourager une bonne utilisation des ressources
DS64 Maintenance du modegravele de coucircts Faire reacuteguliegraverement des revues et des tests comparatifs du modegravele de coucircts et de refacturation pour en maintenir la pertinence et lrsquoadeacutequation aux eacutevolutions des activiteacutes meacutetiers et informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 122
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
GUIDE DE MANAGEMENT
DS6 Identifier et imputer les coucircts
De Entreacutees
PO4 Proprieacutetaires de systegravemes documenteacutes
PO5 Rapports coucirctsbeacuteneacutefices budgets informatiques
PO10 Plans deacutetailleacutes des projets
DS1 CS et CE
Sorties Vers Donneacutees financiegraveres informatiques PO5 Rapports sur la performance des processus SE1
Faire correspondre les infrastructures informatiques aux services fournis etou aux processus meacutetiers qursquoelles supportent
C C A C C C C R C
Identifier tous les coucircts informatiques (personnel technologie etc) et les faire correspondre aux services informatiques sur la base de leur coucirct unitaire
C A C C C R C
Mettre en place et maintenir opeacuterationnel un processus de comptabiliteacute et de controcircle des coucircts informatiques C C A C C C C R C
Mettre en place et maintenir opeacuterationnelles des politiques et des proceacutedures de facturation C C A C C C C R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Ameacuteliorer la rentabiliteacute lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Pourcentage de factures de services informatiques accepteacuteespayeacutees par les directions meacutetiers bull Coucirct unitaire par service du deacutepassement de temps bull Pourcentage de satisfaction meacutetiers (sondage) du modegravele de coucircts des services informatiques
bull Pourcentage deacutecart entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull Pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux modegraveles de coucircts agreacuteeacutes bull Pourcentage des coucircts contesteacutes par les meacutetiers
bull Pourcentage drsquoutilisateurs meacutetiers impliqueacutes dans la deacutefinition des modegraveles de coucircts bull Freacutequence des revues des modegraveles drsquoaffectation des coucircts bull Pourcentage des coucircts qui sont imputeacutes automatiquementmanuellement
Processus
bull Eacutelaborer une deacutefinition loyale et eacutequitable des coucircts et des services informatiques bull Calculer avec preacutecision les coucircts des services informatiques bull Imputer loyalement et eacutequitablement les coucircts informatiques aux consommateurs de services informatiques
Activiteacutes
bull Revues par les directions meacutetiers des coucircts affecteacutes bull Faire correspondre les factures avec la qualiteacute des services fournis bull Eacutelaborer et faire adopter un modegravele de coucircts exhaustif bull Mettre en place une facturation conforme agrave la politique agreacuteeacutee bull Faire reacuteguliegraverement des tests comparatifs de coucirctsdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 123
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
MODEgraveLE DE MATURITEacute
DS6 Identifier et imputer les coucircts
La gestion du processus Identifier et imputer les coucircts qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques est
0 Inexistante quand
Il y a une absence totale de processus reconnaissable susceptible de faire ressortir et dimputer les coucircts en ce qui concerne les services informatiques fournis Lentreprise ne reacutealise mecircme pas quil y a lagrave une question agrave traiter et personne ne communique sur ce sujet
1 Initialiseacutee au cas par cas quand
On comprend que les services informatiques ont un coucirct global mais ces coucircts ne sont pas reacutepartis par utilisateur client service groupe dutilisateurs fonction projet ou livrable Il nexiste pratiquement pas de suivi des coucircts seuls des comptes rendus sur les coucircts globaux non deacutetailleacutes sont fournis au management dans les rapports Les coucircts informatiques sont imputeacutes comme des frais geacuteneacuteraux opeacuterationnels Les meacutetiers ne reccediloivent aucune information sur les coucircts ou les beacuteneacutefices de la fourniture de services
2 Reproductible mais intuitive quand
On a geacuteneacuteralement pris conscience du besoin de faire ressortir les coucircts et de les imputer Limputation est baseacutee sur des hypothegraveses informelles et rudimentaires telles que les coucircts des mateacuteriels et il ny a pratiquement aucun lien avec la valeur geacuteneacutereacutee Les processus drsquoimputation des coucircts sont reproductibles Il nexiste ni formation ni communication formelles sur les proceacutedures standard didentification et dimputation des coucircts On nrsquoa pas affecteacute la responsabiliteacute de collecter ou drsquoaffecter les coucircts
3 Deacutefinie quand
Il existe un modegravele de coucircts des services informatiques deacutefini et documenteacute On deacutefinit un processus qui rend compte des coucircts informatiques des services fournis aux utilisateurs On a une bonne conscience des coucircts imputables aux services informatiques Les meacutetiers disposent drsquoinformations rudimentaires sur les coucircts
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes opeacuterationnelles et finales de gestion des coucircts des services informatiques sont bien deacutefinies et pleinement comprises agrave tous les niveaux et sappuient sur des formations formelles On sait identifier les coucircts directs et indirects qui font lrsquoobjet de rapports eacutelaboreacutes de faccedilon automatique et en temps voulu destineacutes au management aux proprieacutetaires de processus et aux utilisateurs Drsquoune faccedilon geacuteneacuterale on fait un suivi et une eacutevaluation des coucircts et on reacuteagit si on constate des deacuterives Les comptes-rendus sur les services informatiques sont lieacutes aux objectifs meacutetiers et aux conventions de services et ils sont surveilleacutes par les proprieacutetaires des processus meacutetiers Une fonction financiegravere veacuterifie reacuteguliegraverement si le processus drsquoaffectation des coucircts est raisonnable Il existe un systegraveme de comptabilisation automatiseacute des coucircts mais il est plus axeacute sur la fonction informatique que sur les processus meacutetiers On a adopteacute des objectifs et des meacutetriques drsquoeacutevaluation des coucircts mais ils ne sont pas systeacutematiquement mesureacutes
5 Optimiseacutee quand
On identifie consigne reacutesume et fait le suivi des coucircts des services fournis au management aux proprieacutetaires de processus et aux utilisateurs Les coucircts sont vus comme des articles facturables et peuvent alimenter un systegraveme de refacturation qui facture les utilisateurs de faccedilon approprieacutee en fonction de lutilisation Les conventions de services sappuient sur des coucircts deacutetailleacutes On utilise la surveillance et lrsquoeacutevaluation des coucircts des services pour optimiser les coucircts des ressources informatiques On utilise les chiffres obtenus pour veacuterifier les beacuteneacutefices dans le processus de gestion du budget de lentreprise Les rapports sur les coucircts informatiques permettent decirctre alerteacute assez tocirct en cas drsquoeacutevolutions des exigences des meacutetiers gracircce agrave des systegravemes de reporting intelligents On utilise un modegravele de coucirct variable qui est fonction des volumes traiteacutes pour chaque service fourni On eacutelegraveve la gestion des coucircts au niveau des pratiques de la profession gracircce aux reacutesultats du processus drsquoameacutelioration permanente et agrave la comparaison avec dautres entreprises Lrsquooptimisation des coucircts est un processus permanent La revue des objectifs et des meacutetriques par le management fait partie du processus drsquoameacutelioration continue par lrsquoajustement des systegravemes de mesure des coucircts
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 124
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
DESCRIPTION DU PROCESSUS
DS7 Instruire et former les utilisateurs
La formation efficace de tous les utilisateurs des systegravemes informatiques y compris les informaticiens exige de connaicirctre les besoins en formation de chaque groupe drsquoutilisateurs Outre lrsquoidentification des besoins ce processus doit aussi deacutefinir et mettre en œuvre une strateacutegie de formation efficace et en mesurer les reacutesultats Un programme de formation efficace augmente lrsquoefficaciteacute de lrsquoutilisation de lrsquoinformatique en reacuteduisant le nombre drsquoerreurs commises par les utilisateurs en augmentant la productiviteacute et en ameacuteliorant la conformiteacute aux controcircles cleacutes tels que les mesures de seacutecuriteacute utilisateurs
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Le controcircle du processus informatique
Surveiller et Evaluer
Instruire et former les utilisateurs
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs
en se concentrant sur
une bonne connaissance des besoins en formation des utilisateurs des SI la mise en œuvre drsquoune strateacutegie efficace de formation et la mesure des reacutesultats
atteint son objectif en
bull eacutetablissant des programmes de formation bull organisant la formation bull dispensant la formation bull surveillant et en rendant compte de lrsquoefficaciteacute de la formation
et est mesureacute par
bull le nombre drsquoappels au service drsquoassistance par insuffisance de formation des utilisateurs bull le pourcentage de parties prenantes satisfaites de la formation reccedilue bull le deacutelai entre lidentification dun besoin de formation et la mise en place de cette
formation
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 125
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
OBJECTIFS DE CONTROcircLE
DS7 Instruire et former les utilisateurs
DS71 Identification des besoins en savoir et en formation Eacutetablir et mettre reacuteguliegraverement agrave jour un programme pour chaque groupe cible de salarieacutes en prenant en compte bull Les besoins des meacutetiers et la strateacutegie actuels et futurs bull La valeur de lrsquoinformation en tant qursquoactif bull Les valeurs de lrsquoentreprise (valeurs eacutethiques culture de la seacutecuriteacute et du controcircle etc) bull La mise en place drsquoune nouvelle infrastructure informatique et de nouveaux logiciels (par ex progiciels et applications) bull Les qualifications existantes et futures les profils de compeacutetences et les besoins de certification etou drsquoaccreacuteditation ou de reacuteaccreacuteditation bull Les meacutethodes drsquoenseignement (par ex classe en ligne) la dimension des groupes cibles lrsquoaccessibiliteacute et les horaires
DS72 Fourniture de formation et drsquoenseignement En se basant sur les besoins identifieacutes en formation et en enseignement identifier les groupes cibles et leurs membres les meacutecanismes efficaces les enseignants formateurs et conseillers peacutedagogiques Engager des formateurs et organiser des sessions de formation en temps voulu Enregistrer les inscriptions (y compris les conditions preacutealables) lrsquoassiduiteacute et lrsquoeacutevaluation des performances de la session
DS73 Eacutevaluation de la formation reccedilue Eacutevaluer en fin de session le contenu de lrsquoenseignement et de la formation pour en deacuteterminer la pertinence la qualiteacute lrsquoefficaciteacute ce qui a eacuteteacute retenu le coucirct et la valeur Les reacutesultats de cette eacutevaluation doivent nourrir la deacutefinition des programmes des sessions de formation agrave venir
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 126
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
GUIDE DE MANAGEMENT
DS7 Instruire et former les utilisateurs
De Entreacutees
PO7 Compeacutetences et connaissances des utilisateurs formation individuelle besoins speacutecifiques de formation
AI4 Mateacuteriels de formation besoins de transfert de connaissances pour la mise en place de solutions
DS1 CE
DS5 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS8 Rapports sur la satisfaction des utilisateurs
Sorties Vers Rapports sur la performance des processus SE1 Mises agrave jour de la documentation requise AI4
Identifier et caracteacuteriser les besoins de formation des utilisateurs C A R C C C C C C R
Construire un programme de formation C A R C I C C C I R
Diriger les activiteacutes de sensibilisation drsquoenseignement et de formation I A C C I C C C I R
Eacutevaluer la formation I A R C I C C C I R
Identifier et eacutevaluer les meilleures meacutethodes et les meilleurs outils pour dispenser la formation I AR R C C C C C C R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Taux dameacutelioration de la productiviteacute des employeacutes reacutesultant drsquoune meilleure compreacutehension des systegravemes bull Pourcentage daugmentation de la satisfaction des utilisateurs agrave lrsquoeacutegard du deacuteploiement des services des systegravemes ou des nouvelles technologies
bull Nb dappels au service dassistance pour des besoins de formation ou pour obtenir des reacuteponses agrave des questions bull Pourcentage de parties prenantes satisfaites de la formation reccedilue bull Pourcentage de salarieacutes ayant beacuteneacuteficieacute drsquoune formation
bull Freacutequence des mises agrave jour des programmes de formation bull Deacutelai entre lidentification dun besoin de formation et la mise en place de cette formation
Processus
bull Eacutetablir un programme de formation pour tous les niveaux drsquoutilisateurs en recherchant les meacutethodes ayant le meilleur rapport qualiteacutecoucirct bull Transfeacuterer la connaissance vers les utilisateurs drsquoapplications et de solutions informatiques bull Augmenter la sensibilisation aux responsabiliteacutes et aux risques lieacutes agrave lrsquoutilisation des applications et des solutions informatiques
Activiteacutes
bull Eacutetablir des modules de formation bull Organiser la formation bull Dispenser la formation bull Surveiller et rendre compte de lrsquoefficaciteacute de la formation
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 127
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
MODEgraveLE DE MATURITEacute
DS7 Instruire et former les utilisateurs
La gestion du processus Instruire et former les utilisateurs qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs est
0 Inexistante quand
Il y a une absence totale de programme denseignement et de formation Lentreprise na mecircme pas conscience que la formation est une probleacutematique agrave traiter et elle ne communique pas sur ce sujet
1 Initialiseacutee au cas par cas quand
On constate que lentreprise a reconnu le besoin dun programme denseignement et de formation mais il ny a pas de processus standardiseacute En labsence dun programme organiseacute les employeacutes trouvent et suivent des formations de leur cocircteacute Certaines de ces formations traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et aux pratiques de seacutecuriteacute Lapproche globale du management manque complegravetement de coheacutesion et la communication sur ces thegravemes reste sporadique et sans meacutethode
2 Reproductible mais intuitive quand
On a conscience du besoin dun programme denseignement et de formation et des processus associeacutes dans lensemble de lentreprise On commence agrave trouver des formations dans les plans de performance individuels des employeacutes Les processus se sont multiplieacutes au point que des formations informelles et des enseignements ont recours agrave de formateurs diffeacuterents qui traitent des mecircmes questions avec des approches diffeacuterentes Certains cours traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et des pratiques de seacutecuriteacute On se repose beaucoup sur les connaissances de certains individus Cependant on communique sur les difficulteacutes dordre geacuteneacuteral et sur le besoin de les traiter
3 Deacutefinie quand
Le programme denseignement et de formation est eacutelaboreacute et fait lobjet de communications et les employeacutes et le management identifient les besoins de formation et les documentent On standardise et documente les processus denseignement et de formation On mobilise des budgets des ressources des eacutequipements et des formateurs pour ces programmes On donne des cours formels aux employeacutes sur leacutethique du comportement sur la sensibilisation agrave la seacutecuriteacute des systegravemes et sur les pratiques de seacutecuriteacute La plupart des processus denseignement et de formation font lobjet drsquoune surveillance mais le management ne deacutetecte vraisemblablement pas tous les eacutecarts par rapport agrave ces processus On nanalyse quoccasionnellement les problegravemes de formation et denseignement
4 Geacutereacutee et mesurable quand
Il existe un programme complet de formation et drsquoenseignement qui donne des reacutesultats mesurables Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Lenseignement et la formation font partie des plans de carriegravere des employeacutes Le management favorise la tenue de sessions denseignement et de formation et y assiste Tous les employeacutes reccediloivent une formation sur les conduites eacutethiques et sur la sensibilisation agrave la seacutecuriteacute des systegravemes Tous les employeacutes reccediloivent une formation adeacutequate sur les pratiques de seacutecuriteacute agrave loccasion de laquelle ils apprennent agrave proteacuteger les systegravemes des deacutefaillances affectant la disponibiliteacute la confidentialiteacute et linteacutegriteacute Le management veille agrave la conformiteacute en veacuterifiant et en mettant constamment agrave jour les processus et les contenus des programmes de formation et denseignement Les processus sameacuteliorent et on applique les meilleures pratiques internes
5 Optimiseacutee quand
La formation et lenseignement deacutebouchent sur une ameacutelioration des performances individuelles Ils sont devenus des composants essentiels des plans de carriegravere des employeacutes On mobilise les budgets ressources eacutequipements et formateurs qui permettent de mener agrave bien les programmes de formation et denseignement On perfectionne les processus qui sameacuteliorent en permanence tirant profit des meilleures pratiques externes et en se comparant aux autres entreprises sur leacutechelle de maturiteacute On fait lanalyse causale de tous les problegravemes et eacutecarts qui surviennent de faccedilon agrave trouver rapidement des solutions efficaces Lattitude vis-agrave-vis des questions deacutethique et des principes de seacutecuriteacute des systegravemes est positive On utilise largement linformatique de faccedilon inteacutegreacutee et optimiseacutee pour fournir des outils aux programmes de formation et denseignement et pour en automatiser certaines fonctions On mobilise des formateurs externes et on srsquoinspire des reacutesultats des tests comparatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 128
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8 DESCRIPTION DU PROCESSUS
DS8 Geacuterer le service drsquoassistance client et les incidents
Apporter des reacuteponses efficaces et au bon moment aux requecirctes et aux problegravemes des utilisateurs exige un processus bien conduit de gestion du service drsquoassistance et de gestion des incidents Ce processus comporte la mise en place drsquoun service drsquoassistance qui srsquooccupe de lenregistrement et de lescalade des incidents de lrsquoanalyse des tendances et des causes et des solutions Lrsquointeacuterecirct de lrsquoentreprise passe par lrsquoameacutelioration de la productiviteacute gracircce agrave la reacutesolution rapide des demandes des utilisateurs Par ailleurs les meacutetiers peuvent rechercher les causes premiegraveres (comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Geacuterer le service drsquoassistance client et les incidents
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux
en se concentrant sur
une fonction assistance client professionnelle avec des reacuteponses rapides des proceacutedures drsquoescalade claires et des analyses de reacutesolution drsquoincidents et de tendances
atteint son objectif en
bull installant et en faisant fonctionner un service drsquoassistance bull surveillant et en rendant compte des tendances bull deacutefinissant des critegraveres et des proceacutedures drsquoescalade clairs
et est mesureacute par
bull le niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau bull le pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable bull le taux drsquoabandon des demandes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 129
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
OBJECTIFS DE CONTROcircLE
DS8 Geacuterer le service drsquoassistance client et les incidents
DS81 Service drsquoassistance client Mettre en place un service client qui doit faire lrsquointerface entre lrsquoutilisateur et lrsquoinformatique pour enregistrer communiquer et analyser tous les appels les rapports drsquoincidents les demandes de services et drsquoinformation Il faut des proceacutedures de surveillance et drsquoescalade baseacutees sur les niveaux de services deacutefinis dans les conventions de services approprieacutees cela doit permettre de classer tout problegraveme ou incident rapporteacute demande de service ou drsquoinformation et de lui attribuer des prioriteacutes Mesurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard de la qualiteacute du service drsquoassistance client et des services informatiques
DS82 Enregistrement des demandes des clients Mettre en place une fonction et un systegraveme qui permette drsquoenregistrer et de suivre les appels les incidents les demandes de services et les besoins en information Cette fonction doit travailler en eacutetroite association avec des processus tels que la gestion des incidents des problegravemes des changements des capaciteacutes et de la disponibiliteacute Les incidents doivent ecirctre classeacutes selon une prioriteacute meacutetier et une prioriteacute de service et dirigeacutes vers lrsquoeacutequipe de gestion de problegravemes approprieacutee quand neacutecessaire Les clients doivent ecirctre tenus informeacutes de lrsquoeacutetat drsquoavancement de leurs demandes
DS83 Escalade des incidents Mettre en place des proceacutedures drsquoassistance client de faccedilon agrave ce que les incidents qui ne peuvent pas ecirctre immeacutediatement reacutesolus soient transmis au niveau de support supeacuterieur approprieacute dans les limites preacutevues par les conventions de services et que des solutions de contournement soient identifieacutees si neacutecessaire Srsquoassurer que la proprieacuteteacute des incidents et la surveillance du cycle de vie restent entre les mains du service drsquoassistance client pour les incidents qui concernent les utilisateurs quelle que soit lrsquoeacutequipe informatique qui travaille agrave la reacutesolution des problegravemes
DS84 Clocircture des incidents Mettre en place des proceacutedures de surveillance de la reacutesolution des demandes des clients dans les temps Lorsque lrsquoincident a eacuteteacute reacutesolu srsquoassurer que le service drsquoassistance client enregistre les eacutetapes de sa reacutesolution et confirmer que la solution apporteacutee a reccedilu lrsquoagreacutement du client Enregistrer eacutegalement les incidents non reacutesolus (erreurs connues et palliatifs) et en effectuer le rapport de faccedilon agrave disposer drsquoinformations pour une gestion correcte des problegravemes
DS85 Rapports et analyse des tendances Produire des rapports de lrsquoactiviteacute du service drsquoassistance client pour permettre au management de mesurer la performance du service et les temps de reacuteponse et drsquoidentifier les tendances ou les problegravemes reacutecurrents de faccedilon agrave ce que le service srsquoameacuteliore en permanence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 130
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8
GUIDE DE MANAGEMENT
DS8 Geacuterer le service drsquoassistance client et les incidents
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI6 Autorisation de modification
AI7 Eacuteleacutements de configuration mis agrave disposition
DS1 CS et CE
DS4 Seuils incidentssinistres
DS5 Deacutefinition des incidents de seacutecuriteacute
DS9 Configuration informatiquedeacutetail des actifs
DS10 Problegravemes connus erreurs connues et solutions de contournement
DS13 Tickets drsquoincidents
Sorties Vers Demande de servicedemande de modification AI6 Rapports dincidents DS10 Rapports sur la performance des processus SE1 Rapports sur la satisfaction des utilisateurs DS7 SE1
Creacuteer une classification (graviteacute et conseacutequences) et des proceacutedures drsquoescalade (fonctionnelles et hieacuterarchiques) C C C C C C C AR
Deacutetecter et enregistrer les incidentsdemandes de servicesdemandes drsquoinformation AR
Classer et investiguer les demandes et faire les diagnostics I C C C I AR
Trouver les solutions les appliquer et clocircturer lrsquoincident I R R R C AR
Informer les utilisateurs (ex eacutetat drsquoavancement) I I AR
Produire des rapports pour le management I I I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
ResponsableassistanceincidentsTableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau (service drsquoassistance client ou base de connaissances) bull Pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable
bull Pourcentage de problegravemes reacutesolus degraves le premier niveau par rapport au nombre total de demandes bull Pourcentage de tickets drsquoincident reacuteouverts bull Taux drsquoabandon des demandes bull Dureacutee moyenne des incidents classeacutes par graviteacute bull Deacutelai moyen de reacuteponse aux demandes par teacuteleacutephone et par courrier eacutelectronique
bull Pourcentage drsquoincidents et de demandes de services dont les comptes-rendus et les enregistrements utilisent des outils automatiseacutes bull Nb de jours de formation par personne du service drsquoassistance client et par an bull Nb drsquoappels traiteacutes par personne du service drsquoassistance client et par heure bull Pourcentage drsquoincidents qui neacutecessitent un deacuteplacement sur place (support sur place visite personnelle) bull Nombre de demandes non reacutesolues
Processus
bull Analyser documenter et faire remonter les incidents dans les deacutelais preacutevus bull Reacutepondre avec pertinence et preacutecision aux demandes dans les deacutelais preacutevus bull Faire reacuteguliegraverement des analyses de tendances sur les incidents et les demandes
Activiteacutes
bull Installer et faire fonctionner un service drsquoassistance client bull Surveiller et rendre compte des tendances bull Aligner les prioriteacutes de la reacutesolution drsquoincidents sur les impeacuteratifs meacutetiers bull Deacutefinir des critegraveres et des proceacutedures drsquoescalade clairs
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 131
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
MODEgraveLE DE MATURITEacute
DS8 Geacuterer le service drsquoassistance client et les incidents
La gestion du processus Geacuterer le service drsquoassistance client et les incidents qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux est
0 Inexistante quand
Les utilisateurs nont pas dinterlocuteurs deacutesigneacutes pour reacutepondre agrave leurs questions et problegravemes Il nrsquoexiste aucun processus de gestion des incidents Lentreprise ne reacutealise pas que cest une probleacutematique agrave traiter
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct qursquoun processus srsquoappuyant sur des outils et du personnel est neacutecessaire pour reacutepondre aux demandes des utilisateurs et geacuterer la reacutesolution des incidents Il ny a cependant pas de processus standardiseacute et on ne fournit dassistance quau cas par cas Le management norganise pas de suivi des demandes des utilisateurs des incidents ou des tendances On na pas preacutevu de processus descalade pour reacutesoudre les problegravemes
2 Reproductible mais intuitive quand
Lrsquoentreprise est consciente du besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents Il existe une forme dassistance informelle gracircce agrave un reacuteseau dindividus qui ont un bon niveau de connaissances Ces personnes disposent de certains outils daide agrave la reacutesolution des incidents qui leur sont communs Il ny a pas de formation formelle ni de communication sur les proceacutedures standard et la responsabiliteacute est laisseacutee aux individus
3 Deacutefinie quand
On reconnaicirct et on accepte le besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents On standardise et documente les proceacutedures et des formations informelles ont lieu On laisse cependant aux individus linitiative de se former et de se conformer aux normes Les Foires Aux Questions (FAQ) et les guides utilisateurs se sont deacuteveloppeacutes mais cest agrave chacun de les trouver et de sy conformer eacuteventuellement On consigne agrave la main les questions et les incidents souleveacutes et on les suit individuellement mais cette activiteacute ne donne pas lieu agrave des rapports formels On ne chiffre pas les questions et incidents souleveacutes qui ont reccedilu une reacuteponse en temps opportun et il est vraisemblable que certains problegravemes ne trouvent pas de solutions Les utilisateurs ont reccedilu des informations claires sur ce quils doivent faire en cas de problegraveme ou drsquoincident comment faire un rapport et agrave qui
4 Geacutereacutee et mesurable quand
On comprend pleinement les avantages dun processus de gestion des incidents agrave tous les niveaux de lentreprise et on met en place le service drsquoassistance client en le structurant en uniteacutes adeacutequates Les outils et les techniques sont automatiseacutes et on dispose drsquoune base de connaissances centraliseacutee Leacutequipe du service dassistance client a des contacts eacutetroits avec celle qui soccupe de la reacutesolution des problegravemes Les responsabiliteacutes sont claires et on surveille lefficaciteacute du service On a mis en place des proceacutedures de communication descalade et de reacutesolution des incidents et on le fait savoir On forme les personnels dassistance et on ameacuteliore les processus au moyen de logiciels speacutecifiques Le management a mis au point des meacutetriques pour appreacutecier la performance du service drsquoassistance client
5 Optimiseacutee quand
Le processus de gestion des incidents et la fonction drsquoassistance client sont en place et bien organiseacutes lrsquoeacutetat drsquoesprit est orienteacute vers lrsquoassistance au client avec une attention agrave ses besoins les connaissances neacutecessaires et le deacutesir de lrsquoaider Les meacutetriques sont systeacutematiquement eacutevalueacutees et font lrsquoobjet de rapports Des FAQ riches exhaustives font partie inteacutegrante de la base de connaissances Les utilisateurs disposent doutils qui leur permettent de reacutealiser des auto-diagnostics et de reacutesoudre eux-mecircmes certains incidents Les conseils sont professionnels et les incidents sont reacutesolus rapidement au travers dun processus descalade structureacute Le management utilise un outil inteacutegreacute pour les statistiques de performances du processus de gestion des incidents et de la fonction drsquoassistance client Les processus se sont hisseacutes au niveau des meilleures pratiques du secteur gracircce aux reacutesultats de lrsquoanalyse des indicateurs de performance aux ameacuteliorations permanentes et aux tests comparatifs avec drsquoautres entreprises
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 132
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S S S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer la configuration DS9
DESCRIPTION DU PROCESSUS
DS9 Geacuterer la configuration
Assurer lrsquointeacutegriteacute des configurations mateacuterielles et logicielles exige de constituer et de tenir agrave jour un reacutefeacuterentiel de configuration preacutecis et complet Ce processus doit comporter la collecte des informations de la configuration initiale lrsquoeacutetablissement de configurations de base la veacuterification et lrsquoaudit des informations de configuration et la mise agrave jour du reacutefeacuterentiel de configuration lorsque crsquoest neacutecessaire Une gestion efficace de la configuration facilite une plus grande disponibiliteacute du systegraveme la reacuteduction des problegravemes de production et une reacutesolution plus rapide de ceux-ci
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S S S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la configuration
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques
en se concentrant sur
la mise en place et la mise agrave jour drsquoun reacutefeacuterentiel preacutecis et complet des attributs de configuration des actifs informatiques et des configurations de base et leur comparaison avec la configuration reacuteelle
atteint son objectif en
bull constituant un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull identifiant les eacuteleacutements de configuration et en les maintenant agrave jour bull veacuterifiant lrsquointeacutegriteacute des donneacutees de configuration
et est mesureacute par
bull le nombre de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
bull le nombre de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteelles bull le pourcentage de licences acheteacutees qui ne sont pas prises en compte par le reacutefeacuterentiel
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 133
Deacutelivrer et Supporter DS9 Geacuterer la configuration
OBJECTIFS DE CONTROcircLE
DS9 Geacuterer la configuration
DS91 Reacutefeacuterentiel de configuration et configuration de base Constituer un reacutefeacuterentiel centraliseacute et mettre en place un outil pour recenser toutes les informations qui concernent les eacuteleacutements de configuration Surveiller et enregistrer tous les actifs et les changements qui y sont apporteacutes Pour chaque systegraveme et chaque service tenir agrave jour une base des composants de sa configuration pour pouvoir srsquoy reacutefeacuterer apregraves une modification
DS92 Identification et maintenance des eacuteleacutements de configuration Mettre en place des proceacutedures speacutecifiques pour faciliter la gestion et lrsquoenregistrement de tous les changements apporteacutes au reacutefeacuterentiel de configuration Inteacutegrer ces proceacutedures aux proceacutedures de gestion des changements de gestion des incidents et de gestion des problegravemes
DS93 Revue drsquointeacutegriteacute des configurations Passer en revue de maniegravere peacuteriodique les donneacutees de la configuration afin de veacuterifier et confirmer lrsquointeacutegriteacute de la configuration en cours par rapport agrave son historique Veacuterifier reacuteguliegraverement les logiciels installeacutes par rapport aux politiques drsquoutilisation des logiciels afin drsquoidentifier les logiciels personnels ou sans licence ou tout nombre de licences excessif par rapport aux contrats de licence en cours Reacutediger un rapport et agir pour corriger les erreurs ou les anomalies
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 134
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
Deacutelivrer et Supporter Geacuterer la configuration DS9
GUIDE DE MANAGEMENT
DS9 Geacuterer la configuration
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Eleacutements de configuration mis agrave disposition DS4 Eleacutements de configuration informatique critiques
Sorties Vers Configuration informatiquedeacutetail des actifs DS8 D10 DS13 Demande de modification (ougrave et comment faire la modification)
AI6
Rapports sur la performance des processus SE1
Deacutevelopper les proceacutedures de planification de la gestion des configurations C A C I C C R
Collecter les informations des configurations initiales et eacutetablir les configurations de base C C C I AR
Veacuterifier et auditer les informations de configuration (y compris deacutetection des logiciels non autoriseacutes) I A I I AR
Mettre agrave jour le reacutefeacuterentiel de configuration R R R I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Responsableconfiguration
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre responsable
deacutefinit
bull Eacutetablir un reacutefeacuterentiel de tous les mateacuteriels et logiciels des attributs de configuration et des configurations de base bull Maintenir lrsquointeacutegriteacute du reacutefeacuterentiel de configuration bull Veacuterifier la conformiteacute des configurations reacuteelles avec les configurations de base du reacutefeacuterentiel
deacutefinit
mesure induit mesure
induit mesure
bull Nb de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteellement utiliseacutees bull Pourcentage de licences acheteacutees et de licences ignoreacutees du reacutefeacuterentiel
bull Deacutelai moyen entre la deacutecouverte drsquoanomalies et leur correction bull Nb drsquoanomalies dues agrave des informations de configuration incomplegravetes ou absentes bull Pourcentage drsquoeacuteleacutements de configuration conformes aux niveaux de services en ce qui concerne la performance la seacutecuriteacute et la disponibiliteacute
Meacutetriq
ues
bull Nb de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
Activiteacutes
bull Constituer un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull Identifier les eacuteleacutements de configuration et maintenir leurs donneacutees agrave jour bull Veacuterifier lrsquointeacutegriteacute des donneacutees de configuration
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 135
Deacutelivrer et Supporter DS9 Geacuterer la configuration
MODEgraveLE DE MATURITEacute
DS9 Geacuterer la configuration
La gestion du processus Geacuterer la configuration qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques est
0 Inexistante quand
Le management ne voit pas dinteacuterecirct agrave disposer dun processus capable de geacuterer la configuration mateacuterielle et logicielle et de faire des rapports
1 Initialiseacutee au cas par cas quand
On reconnaicirct le besoin drsquoune gestion de la configuration Les tacircches de base de cette gestion comme tenir agrave jour les inventaires des mateacuteriels et des logiciels sont accomplies sur initiatives individuelles Il nexiste pas de pratiques standard
2 Reproductible mais intuitive quand
Le management est conscient du besoin de controcircler la configuration informatique et comprend les avantages drsquoune information exacte et complegravete sur la configuration mais on se fie implicitement aux connaissances et aux compeacutetences du personnel technique On utilise jusquagrave un certain point des outils de gestion de configuration mais ils diffegraverent selon les plates-formes De plus aucune pratique standard nest deacutefinie Le contenu des donneacutees de configuration est limiteacute et ne concerne pas les processus lieacutes les uns aux autres comme la gestion des changements et des incidents
3 Deacutefinie quand
On documente standardise et communique les proceacutedures et les pratiques de travail mais chacun deacutecide de suivre ou non une formation et dappliquer ou non les normes De plus on est en train de mettre en place des outils de gestion des configurations communs aux diffeacuterentes plates-formes Il est peu vraisemblable que lon deacutetecte les cas de non-respect des proceacutedures et les veacuterifications physiques ne sont pas systeacutematiques On a recours agrave certains automatismes pour permettre de tracer plus facilement les modifications des mateacuteriels et des logiciels Les donneacutees de configurations sont utiliseacutees par des processus lieacutes les uns aux autres
4 Geacutereacutee et mesurable quand
Le besoin de geacuterer la configuration est reconnu agrave tous les niveaux de lentreprise et les bonnes pratiques continuent agrave eacutevoluer On communique sur les proceacutedures et les normes on les inclut dans les formations et on veille agrave leur respect les cas de non-respect sont surveilleacutes deacutetecteacutes et font lobjet de rapports On utilise des outils automatiseacutes comme la technologie push pour imposer les normes et ameacuteliorer la stabiliteacute des systegravemes Les systegravemes de gestion de configuration recouvrent effectivement la plus grande partie des actifs informatiques et permettent une bonne gestion des versions et du controcircle de la distribution des mateacuteriels et des logiciels On pratique systeacutematiquement les veacuterifications physiques et lanalyse des anomalies on recherche les causes initiales des anomalies
5 Optimiseacutee quand
Tous les actifs informatiques sont geacutereacutes au sein drsquoun systegraveme de gestion centraliseacute des configurations qui contient toute lrsquoinformation neacutecessaire sur les composants leurs interrelations et lrsquohistorique de leur eacutevolution Les donneacutees de configuration sont conformes aux descriptifs fournis par les fournisseurs Les processus relieacutes entre eux sont pleinement inteacutegreacutes et ils utilisent et mettent agrave jour les donneacutees de configuration de faccedilon automatique Les rapports daudits de base fournissent pour chaque eacuteleacutement mateacuteriel et logiciel les donneacutees essentielles pour les reacuteparations la maintenance la garantie la mise agrave niveau et les eacutevaluations techniques On applique les regravegles destineacutees agrave limiter lrsquoinstallation de logiciels non autoriseacutes Le management preacutevoit les reacuteparations et les mises agrave niveau agrave partir de rapports danalyses qui proposent un planning des eacutevolutions et qui preacutecisent les possibiliteacutes dactualisation des technologies Chaque actif informatique est proteacutegeacute par un suivi et une surveillance individuels contre le vol le mauvais usage et les usages abusifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 136
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
DESCRIPTION DU PROCESSUS
DS10 Geacuterer les problegravemes
Une gestion efficace des problegravemes exige de les identifier de les classer drsquoanalyser leurs causes initiales et de leur trouver des solutions Le processus de gestion des problegravemes implique aussi de formuler des recommandations drsquoameacutelioration de tenir agrave jour les enregistrements des problegravemes et de veacuterifier ougrave en sont les actions correctives Un processus efficace de gestion des problegravemes favorise la disponibiliteacute des systegravemes ameacuteliore les niveaux de services reacuteduit les coucircts reacutepond mieux aux besoins des clients et augmente donc leur satisfaction
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique Surveiller et Evaluer
Geacuterer les problegravemes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire
en se concentrant sur
lrsquoenregistrement le suivi et la reacutesolution des problegravemes drsquoexploitation la recherche des causes initiales de tous les problegravemes significatifs et la deacutefinition de solutions pour les problegravemes drsquoexploitation identifieacutes
atteint son objectif en
bull faisant lrsquoanalyse causale des problegravemes identifieacutes bull analysant les tendances bull assumant la proprieacuteteacute des problegravemes et en faisant avancer leur reacutesolution
et est mesureacute par
bull le nombre de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull le pourcentage de problegravemes reacutesolus dans les deacutelais requis bull la freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant en
fonction de la graviteacute du problegraveme
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 137
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
OBJECTIFS DE CONTROcircLE
DS10 Geacuterer les problegravemes
DS101 Identification et classification des problegravemes Mettre en place des processus pour rapporter et classer les problegravemes qui ont eacuteteacute identifieacutes comme relevant de la gestion des incidents Les eacutetapes de la classification des problegravemes sont similaires agrave celles de la classification des incidents elles consistent agrave deacuteterminer la cateacutegorie lrsquoimpact lrsquourgence et la prioriteacute Reacutepartir les problegravemes selon les groupes ou domaines auxquels ils appartiennent (par ex mateacuteriel logiciel logiciel drsquoassistance) Ces groupes peuvent correspondre aux responsabiliteacutes dans lrsquoentreprise ou au service auquel appartient lrsquoutilisateur ou le client et doivent servir agrave deacuteterminer lrsquoeacutequipe drsquoassistance agrave laquelle ils seront affecteacutes
DS102 Suivi et reacutesolution des problegravemes Srsquoassurer que le systegraveme de gestion des problegravemes fournit les outils de pistes drsquoaudit adeacutequats qui permettent de suivre drsquoanalyser et de deacuteterminer les causes initiales de tous les problegravemes rapporteacutes en prenant en compte bull Tous les eacuteleacutements de configuration associeacutes bull Les problegravemes et les incidents non reacutesolus bull Les erreurs connues et soupccedilonneacutees bull Le repeacuterage des tendances en matiegravere de problegravemes
Trouver et initier des solutions viables qui srsquoappliquent aux causes initiales en suscitant des demandes de modification par lrsquointermeacutediaire du processus de gestion des changements Au cours du processus de reacutesolution les responsables de la gestion des problegravemes doivent obtenir des rapports reacuteguliers de lrsquoeacutequipe de gestion des modifications sur la progression de la reacutesolution des problegravemes et des erreurs La gestion des problegravemes doit surveiller en continu les conseacutequences sur les services utilisateurs des erreurs et des problegravemes connus Dans le cas ougrave ces conseacutequences deviendraient graves lrsquoeacutequipe de gestion des problegravemes doit faire remonter le problegraveme peut-ecirctre agrave un niveau de direction approprieacute pour augmenter la prioriteacute de la demande de modification ou pour mettre en œuvre une modification drsquourgence selon le cas Suivre la progression de la reacutesolution du problegraveme conformeacutement aux contrats de services
DS103 Clocircture des problegravemes Mettre en place une proceacutedure pour clocircturer les enregistrements de problegravemes soit apregraves confirmation de lrsquoeacutelimination reacuteussie de lrsquoerreur connue soit apregraves un accord avec les meacutetiers sur la faccedilon de trouver une solution alternative
DS104 Inteacutegration de la gestion de la configuration des incidents et des problegravemes Pour assurer une gestion efficace des problegravemes et faciliter le progregraves inteacutegrer les processus de gestion de la configuration de gestion des incidents et de gestion des problegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 138
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
GUIDE DE MANAGEMENT
DS10 Geacuterer les problegravemes
De Entreacutees
AI6 Autorisation de modification
DS8 Rapports dincidents
DS9 Configuration informatiquedeacutetail des actifs DS13 Historiques des erreurs
Sorties Vers Demandes de modification AI6 Historiques des problegravemes AI6 Rapports sur la performance des processus SE1 Problegravemes connus erreurs connues et solutions de contournement
DS8
Identifier et classer les problegravemes I I C A C C I R
Effectuer les analyses causales C C AR
Reacutesoudre les problegravemes C A R R R C C
Passer en revue la situation en cours des problegravemes I I C AR C C C C R
Eacutemettre des recommandations drsquoameacutelioration et eacutetablir une demande de modification en rapport I A I I I R
Tenir agrave jour les enregistrements des problegravemes I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Resp gestiondesproblegravemes
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire le nombre de deacutefaillances et de tacircches agrave refaire touchant la fourniture de solutions et de services bull Preacuteserver le succegraves des objectifs informatiques
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull Nb drsquointerruptions de lrsquoactiviteacute provoqueacutees par des problegravemes drsquoexploitation
bull Pourcentage de problegravemes enregistreacutes et suivis bull Pourcentage de problegravemes reacutecurrents (dans une peacuteriode de temps donneacutee) selon leur graviteacute bull Pourcentage de problegravemes reacutesolus dans les deacutelais requis bull Nb de problegravemes identifieacutesnouveauxclocirctureacutes selon leur graviteacute bull Moyenne et eacutecart type du deacutelai entre lrsquoidentification et la reacutesolution drsquoun problegraveme bull Moyenne et eacutecart type du deacutelai entre la reacutesolution drsquoun problegraveme et sa clocircture
bull Deacutelai moyen entre lrsquoenregistrement drsquoun problegraveme et lrsquoidentification de la cause initiale bull Pourcentage de problegravemes pour lesquels on a entrepris une analyse causale bull Freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant selon la graviteacute du problegraveme
Processus
bull Enregistrer et suivre les problegravemes drsquoexploitation jusqursquoagrave leur reacutesolution bull Chercher la cause initiale de tous les problegravemes significatifs bull Deacutefinir des solutions pour les problegravemes drsquoexploitation identifieacutes
Activiteacutes
bull Donner une autoriteacute suffisante au responsable de la gestion des problegravemes bull Faire lrsquoanalyse causale des problegravemes identifieacutes bull Analyser les tendances bull Assumer la proprieacuteteacute des problegravemes et faire avancer leur reacutesolution
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 139
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
MODEgraveLE DE MATURITEacute
DS10 Geacuterer les problegravemes
La gestion du processus Geacuterer les problegravemes qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire est
0 Inexistante quand
On nrsquoa pas conscience du besoin de geacuterer les problegravemes car on ne fait pas de diffeacuterence entre les problegravemes et les incidents Il nrsquoy a donc pas de tentatives pour identifier les causes initiales des incidents
1 Initialiseacutee au cas par cas quand
Le personnel reconnaicirct le besoin de geacuterer les problegravemes et drsquoeacuteliminer les causes Des personnes cleacutes apportent leur aide pour des problegravemes qui relegravevent de leur speacutecialiteacute mais la responsabiliteacute de la gestion des problegravemes nrsquoest pas attribueacutee Lrsquoinformation nrsquoest pas partageacutee ce qui fait naicirctre des problegravemes suppleacutementaires et une perte de temps productif pendant qursquoon cherche des reacuteponses
2 Reproductible mais intuitive quand
On est largement conscient du besoin et de lrsquoavantage de geacuterer les problegravemes lieacutes aux SI aussi bien dans les uniteacutes meacutetiers quau sein de la fonction informatique Le processus de reacutesolution eacutevolue et est deacutesormais entre les mains de quelques individus cleacutes qui ont la responsabiliteacute drsquoidentifier et de reacutesoudre les problegravemes Lrsquoinformation est partageacutee parmi les employeacutes de faccedilon informelle et en fonction des circonstances Le niveau de services fournis agrave la communauteacute des utilisateurs est variable et est entraveacute par le manque de connaissances structureacutees accessibles au responsable de la gestion des problegravemes
3 Deacutefinie quand
Le besoin drsquoun systegraveme inteacutegreacute de gestion des problegravemes efficace est accepteacute et soutenu par le management et on dispose de budgets pour le personnel et pour la formation Les processus de reacutesolution et drsquoescalade ont eacuteteacute standardiseacutes La recherche et lenregistrement des problegravemes et de leurs solutions sont reacutepartis au sein de leacutequipe de traitement des problegravemes de faccedilon fragmentaire on utilise les outils disponibles mais il nrsquoy a pas de centralisation On ne deacutetectera vraisemblablement pas les eacutecarts par rapport aux normes et aux standards eacutetablis Lrsquoinformation est partageacutee par le personnel de faccedilon proactive et formelle Le management passe les incidents en revue et fait une analyse de lrsquoidentification et de la reacutesolution des problegravemes mais de faccedilon limiteacutee et informelle
4 Geacutereacutee et mesurable quand
Tous les niveaux de lentreprise ont compris le processus de gestion des problegravemes On a clairement reacuteparti les responsabiliteacutes et la proprieacuteteacute du processus On a documenteacute les meacutethodes et les proceacutedures on les a communiqueacutees et on a mesureacute leur efficaciteacute La majoriteacute des problegravemes sont identifieacutes enregistreacutes et rapporteacutes et leur reacutesolution est mise en chantier On cultive et on entretient le niveau de connaissances et de compeacutetence on leacutelegraveve agrave des niveaux de plus en plus eacuteleveacutes du fait que la fonction reacutesolution des problegravemes est consideacutereacutee comme un atout essentiel pour atteindre les objectifs informatique et pour lrsquoameacutelioration des services informatiques La gestion des problegravemes est bien inteacutegreacutee aux processus qui lui sont lieacutes tels que gestion des incidents des changements de la disponibiliteacute et de la configuration elle aide les clients agrave geacuterer les donneacutees les eacutequipements et lexploitation On srsquoest mis drsquoaccord sur les ICP et le ICO du processus de gestion des problegravemes
5 Optimiseacutee quand
Le processus de gestion des problegravemes eacutevolue il est deacutesormais capable danticiper agrave plus long terme contribuant ainsi aux objectifs des SI On anticipe et on preacutevient les problegravemes On entretient les connaissances gracircce agrave des contacts reacuteguliers avec les fournisseurs et les experts sur des types de problegravemes passeacutes ou agrave venir Lenregistrement le compte rendu et lanalyse des problegravemes et de leur reacutesolution sont automatiseacutes et pleinement inteacutegreacutes agrave la gestion des donneacutees de configuration On mesure reacuteguliegraverement les objectifs La plupart des systegravemes ont eacuteteacute eacutequipeacutes de meacutecanismes de deacutetection et drsquoalertes automatiques qui sont suivis et eacutevalueacutes en permanence On analyse le processus de gestion des problegravemes pour son ameacutelioration continue en fonction des mesures et on en fait des comptes-rendus aux parties prenantes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 140
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
DESCRIPTION DU PROCESSUS
DS11 Geacuterer les donneacutees
Une gestion efficace des donneacutees impose drsquoidentifier les exigences qui les concernent Le processus de gestion des donneacutees neacutecessite aussi de mettre en place des proceacutedures efficaces pour geacuterer la meacutediathegraveque les sauvegardes et la restauration des donneacutees et lrsquoeacutelimination des meacutedias de faccedilon approprieacutee Une gestion efficace des donneacutees aide agrave garantir la qualiteacute et la disponibiliteacute au moment opportun des donneacutees meacutetiers
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Geacuterer les donneacutees
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin
en se concentrant sur
lrsquoexhaustiviteacute lrsquoexactitude la disponibiliteacute et la protection des donneacutees
atteint son objectif en
bull sauvegardant les donneacutees et en testant leur restauration bull geacuterant le stockage des donneacutees sur site et hors site bull disposant drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
et est mesureacute par
bull le pourcentage drsquoutilisateurs satisfaits de la disponibiliteacute des donneacutees bull le pourcentage de restaurations des donneacutees reacuteussies bull le nombre drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute restaureacutees apregraves la
mise au rebut des meacutedias
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 141
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
OBJECTIFS DE CONTROcircLE
DS11 Geacuterer les donneacutees
DS111 Exigences des meacutetiers pour la gestion des donneacutees Veacuterifier qursquoon reccediloit toutes les donneacutees attendues drsquoun traitement et qursquoelles sont traiteacutees complegravetement avec justesse en temps opportun et que tous les reacutesultats sont fournis conformeacutement aux exigences des meacutetiers Prendre en compte les besoins de redeacutemarrage et de retraitement
DS112 Dispositifs de stockage et de conservation Deacutefinir et mettre en place des proceacutedures efficaces et efficientes de stockage de conservation et drsquoarchivage des donneacutees en reacuteponse aux objectifs des meacutetiers ainsi qursquoaux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
DS113 Systegraveme de gestion de la meacutediathegraveque Deacutefinir et mettre en place des proceacutedures pour tenir agrave jour un inventaire des meacutedias stockeacutes et archiveacutes de faccedilon agrave srsquoassurer qursquoils sont utilisables et garantir leur inteacutegriteacute
DS114 Mise au rebut Deacutefinir et mettre en œuvre des proceacutedures permettant de srsquoassurer que les exigences des meacutetiers en termes de protection de donneacutees sensibles et de logiciels sont satisfaites lors de la mise au rebut ou du transfert de donneacutees et de mateacuteriel
DS115 Sauvegarde et restauration Deacutefinir et mettre en place des proceacutedures pour la sauvegarde et la restauration des systegravemes des applications des donneacutees et de la documentation conformes aux exigences des meacutetiers et au plan de continuiteacute
DS116 Exigences de seacutecuriteacute pour la gestion des donneacutees Deacutefinir et mettre en place des politiques et proceacutedures pour identifier et mettre en œuvre les exigences de seacutecuriteacute applicables agrave la reacuteception au traitement au stockage physique et agrave la sortie de donneacutees conformeacutement aux objectifs des meacutetiers aux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 142
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
GUIDE DE MANAGEMENT
DS11 Geacuterer les donneacutees
De Entreacutees
PO2 Dictionnaire des donneacutees classifications attribueacutees aux donneacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
DS1 CE
DS4 Plans de stockage et de protection des sauvegardes
DS5 Plan et politiques de seacutecuriteacute informatique
Sorties Vers Rapports sur la performance des processus SE1 Instructions drsquoexploitation pour la gestion des donneacutees DS13
Traduire en proceacutedures les exigences de stockage et de conservation des donneacutees A I C R C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour geacuterer la meacutediathegraveque A R C C I C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour une mise au rebut seacutecuriseacutee des meacutedias et des eacutequipements
A C R I C
Sauvegarder les donneacutees selon le plan preacutevu A R
Deacutefinir tenir agrave jour et mettre en place les proceacutedures de restauration des donneacutees A C R C C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Assurer la conformiteacute des SI aux lois et regraveglements
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave il a eacuteteacute impossible des reacutecupeacuterer des donneacutees vitales pour lrsquoactiviteacute des meacutetiers bull Pourcentage dutilisateurs satisfaits de la disponibiliteacute des donneacutees bull Nb dincidents de non-conformiteacute aux lois agrave cause de problegravemes de gestion des donneacutees
bull Pourcentage de restaurations de donneacutees reacuteussies bull Nb drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute reacutecupeacutereacutees apregraves la mise au rebut des meacutedias bull Nb de pannes ou drsquoincidents affectant lrsquointeacutegriteacute des donneacutees du fait de capaciteacutes de stockage insuffisantes
bull Freacutequence des tests des meacutedias de sauvegarde bull Deacutelai moyen pour la restauration des donneacutees
Processus
bull Srsquoassurer que les donneacutees stockeacutees restent complegravetes exactes valides et accessibles bull Assurer la seacutecuriteacute des donneacutees lors de la mise au rebut des medias bull Geacuterer efficacement le stockage des meacutedias
Activiteacutes
bull Sauvegarder les donneacutees et tester leur restauration bull Geacuterer le stockage des donneacutees sur site et hors site bull Disposer drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 143
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
MODEgraveLE DE MATURITEacute
DS11 Geacuterer les donneacutees
La gestion du processus Geacuterer les donneacutees qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin est
0 Inexistante quand
Les donneacutees ne sont pas consideacutereacutees comme des ressources ni comme des actifs de lrsquoentreprise Elles nont pas de proprieacutetaire et personne nest individuellement responsable de leur gestion La qualiteacute et la seacutecuriteacute des donneacutees sont faibles ou nulles
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin drsquoune gestion efficace des donneacutees Il existe une approche au cas par cas pour speacutecifier les exigences de seacutecuriteacute concernant la gestion des donneacutees mais il nrsquoexiste pas de proceacutedures formelles de communication Il nrsquoy a pas de formation sur la gestion des donneacutees La responsabiliteacute de la gestion des donneacutees nrsquoest pas claire Les proceacutedures de sauvegarderestauration et les dispositifs de mise au rebut sont en place
2 Reproductible mais intuitive quand
La conscience du besoin drsquoune gestion preacutecise des donneacutees existe dans lrsquoensemble de lrsquoentreprise On commence agrave attribuer la proprieacuteteacute des donneacutees agrave haut niveau Les exigences de seacutecuriteacute pour la gestion des donneacutees sont documenteacutees par des individus cleacutes On fait une certaine surveillance des activiteacutes cleacutes de gestion des donneacutees au sein de lrsquoinformatique (par ex sauvegarde restauration destruction) On a attribueacute de faccedilon informelle les responsabiliteacutes de la gestion des donneacutees agrave des individus cleacutes de lrsquoinformatique
3 Deacutefinie quand
On a compris et accepteacute le besoin de gestion des donneacutees dans toute lorganisation La responsabiliteacute de la gestion des donneacutees est eacutetablie La proprieacuteteacute des donneacutees est attribueacutee au groupe responsable qui controcircle lrsquointeacutegriteacute et la seacutecuriteacute Les proceacutedures de gestion des donneacutees sont formaliseacutees au sein de lrsquoinformatique et on utilise certains outils de sauvegarderestauration et de mise au rebut des eacutequipements Une certaine surveillance de la gestion des donneacutees est en place Les meacutetriques de base de performance sont deacutefinies On commence agrave voir des formations pour le personnel en charge de la gestion des donneacutees
4 Geacutereacutee et mesurable quand
On comprend le besoin de geacuterer les donneacutees et on accepte les actions neacutecessaires agrave cet objectif dans lrsquoentreprise Les responsabiliteacutes de la proprieacuteteacute et de la gestion des donneacutees sont clairement deacutefinies attribueacutees et communiqueacutees dans lrsquoentreprise On a formaliseacute les proceacutedures elles sont largement connues et on partage les connaissances On commence agrave utiliser les outils disponibles Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients et surveilleacutes au moyen drsquoun processus bien deacutefini Une formation formaliseacutee agrave lrsquointention du personnel de gestion des donneacutees est en place
5 Optimiseacutee quand
Le besoin de geacuterer les donneacutees et toutes les actions neacutecessaires agrave cet objectif sont compris et accepteacutes dans lrsquoentreprise On analyse de faccedilon proactive les besoins et les exigences futurs On a clairement eacutetabli les responsabiliteacutes de la proprieacuteteacute des donneacutees et de leur gestion elles sont largement connues dans lrsquoentreprise et reacuteviseacutees lorsque crsquoest opportun On a formaliseacute les proceacutedures elles sont largement connues et le partage les connaissances est devenu une pratique standard On utilise des outils sophistiqueacutes et automatiseacutes au maximum pour la gestion des donneacutees Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients ils sont lieacutes aux objectifs des meacutetiers et reacuteguliegraverement surveilleacutes au moyen drsquoun processus bien deacutefini On explore en permanence les opportuniteacutes drsquoameacutelioration On a institutionnaliseacute la formation du personnel de gestion des donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 144
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
DESCRIPTION DU PROCESSUS
DS12 Geacuterer lrsquoenvironnement physique
La protection des eacutequipements informatiques et du personnel exige des installations mateacuterielles bien conccedilues et bien geacutereacutees Le processus de gestion de lrsquoenvironnement mateacuteriel comporte la deacutefinition des exigences du site physique le choix des installations adeacutequates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accegraves physiques La gestion efficace de lrsquoenvironnement physique reacuteduit les risques drsquointerruption de lrsquoactiviteacute du fait de dommages subis par le mateacuteriel informatique et par le personnel
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoenvironnement physique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute
en se concentrant sur
la fourniture et la maintenance drsquoun environnement physique adapteacute pour proteacuteger lrsquoaccegraves aux ressources informatiques leur deacuteteacuterioration ou leur vol
atteint son objectif en
bull mettant en place des mesures de seacutecuriteacute bull seacutelectionnant et en geacuterant les installations
et est mesureacute par
bull le nombre drsquointerruptions de service dues agrave des incidents touchant lrsquoenvironnement physique
bull le nombre drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull la freacutequence des eacutevaluations et des revues du risque physique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 145
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
OBJECTIFS DE CONTROcircLE
DS12 Geacuterer lrsquoenvironnement physique
DS121 Seacutelection du site et agencement Deacutefinir et seacutelectionner les sites physiques des eacutequipements informatiques en conformiteacute avec la strateacutegie informatique elle-mecircme lieacutee agrave la strateacutegie des meacutetiers La seacutelection et la conception de lrsquoagencement drsquoun site doivent prendre en compte les risques lieacutes aux sinistres drsquoorigine naturelle ou humaine ainsi que les lois et regraveglements concernant par exemple la meacutedecine du travail et les reacuteglementations sur la seacutecuriteacute
DS122 Mesures de seacutecuriteacute physique Deacutefinir et mettre en place des mesures de seacutecuriteacute physique conformes aux exigences des meacutetiers pour seacutecuriser le site et les actifs physiques Les mesures de seacutecuriteacute physique doivent permettre de preacutevenir deacutetecter et reacuteduire de maniegravere efficace les risques lieacutes au vol agrave la tempeacuterature agrave lrsquoincendie agrave la fumeacutee agrave lrsquoeau aux vibrations au terrorisme au vandalisme aux pannes drsquoeacutelectriciteacute aux produits chimiques et aux explosifs
DS123 Accegraves physique Deacutefinir et mettre en place les proceacutedures drsquoautorisation de limitation et de suppression drsquoaccegraves aux sites bacirctiments et zones selon les besoins des meacutetiers sans oublier les cas drsquourgence Les accegraves aux sites bacirctiments et zones doivent ecirctre justifieacutes autoriseacutes enregistreacutes et faire lrsquoobjet drsquoune surveillance Cela doit srsquoappliquer agrave toutes les personnes qui entrent sur le site y compris le personnel permanent ou temporaire les clients les fournisseurs les visiteurs et tout autre tiers
DS124 Protection contre les risques lieacutes agrave lenvironnement Eacutelaborer et mettre en place des mesures de protection contre les facteurs environnementaux Installer des eacutequipements et des dispositifs speacutecialiseacutes pour surveiller et controcircler lenvironnement
DS125 Gestion des installations mateacuterielles Geacuterer les installations y compris les eacutequipements eacutelectriques et de communication conformeacutement aux lois et regraveglements aux exigences techniques et meacutetiers aux speacutecifications des fournisseurs et aux regravegles concernant la santeacute et la seacutecuriteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 146
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
GUIDE DE MANAGEMENT
DS12 Geacuterer lrsquoenvironnement physique
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI3 Exigences de lrsquoenvironnement physique
Sorties Vers Rapports sur la performance des processus SE1
Deacutefinir le niveau de protection physique requis C AR C C
Choisir le site et se le faire attribuer (centre de traitement bureaux etc) I C C C C AR C C C C
Mettre en place des mesures relatives agrave lrsquoenvironnement physique I AR I I C
Geacuterer lrsquoenvironnement physique (y compris maintenance surveillance comptesshyrendus) AR C
Deacutefinir et mettre en place les proceacutedures drsquoaccegraves physique drsquoautorisation et de mise agrave jour C I AR I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister convenablement agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb dinterruptions de service dues agrave des incidents touchant lrsquoenvironnement physique bull Nb de blessures provoqueacutees par lrsquoenvironnement physique bull Nb de mises en cause de la seacutecuriteacute du fait drsquoincidents qui ont pour origine lrsquoenvironnement physique
bull Nb drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull Nb drsquoaccegraves non autoriseacutes aux installations informatiques
bull Freacutequence des sessions de formation du personnel aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Pourcentage du personnel formeacute aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Nb de tests de reacuteduction des risques effectueacutes au cours de lrsquoanneacutee eacutecouleacutee bull Freacutequence des eacutevaluations et des revues du risque physique
bull Mettre en place des mesures de seacutecuriteacute physique bull Seacutelectionner et geacuterer les installations avec rigueur
Processus
bull Fournir et maintenir agrave niveau un environnement physique adapteacute aux infrastructures et aux ressources informatiques bull Interdire lrsquoaccegraves agrave lrsquoenvironnement physique de ceux qui nrsquoen ont pas besoin
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 147
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
MODEgraveLE DE MATURITEacute
DS12 Geacuterer lrsquoenvironnement physique
La gestion du processus Geacuterer lrsquoenvironnement physique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique de proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute est
0 Inexistante quand
Personne na conscience de la neacutecessiteacute de proteacuteger les installations ou les investissements en ressources informatiques On nexerce ni surveillance ni controcircle sur les facteurs de risques environnementaux comme le feu la poussiegravere leacutelectriciteacute ou les excegraves de chaleur ou dhumiditeacute
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil est neacutecessaire pour lactiviteacute professionnelle de mettre en place un environnement physique adapteacute qui protegravege les ressources et le personnel contre les dangers dorigine naturelle ou humaine La gestion des installations et des eacutequipements ne deacutepend que des compeacutetences et aptitudes de certains individus cleacutes Le personnel peut circuler dans les locaux sans restriction Le management ne surveille pas le controcircle de lenvironnement des installations ni les mouvements du personnel
2 Reproductible mais intuitive quand
Les controcircles de lenvironnement sont mis en place et suivis par le personnel dexploitation La seacutecuriteacute physique est un processus informel initieacute par un petit groupe demployeacutes tregraves sensibles agrave la seacutecuriteacute des installations mateacuterielles Les proceacutedures de maintenance des installations ne sont pas bien documenteacutees et sappuient sur les bonnes pratiques de quelques individus Les objectifs de seacutecuriteacute physique ne sont baseacutes sur aucune norme formelle et le management ne sassure pas que les objectifs sont atteints
3 Deacutefinie quand
Le besoin de maintenir un environnement informatique controcircleacute est compris et accepteacute dans lentreprise Les controcircles environnementaux la maintenance preacuteventive et la seacutecuriteacute physique sont des postes budgeacutetaires approuveacutes et suivis par les dirigeants On applique des restrictions daccegraves et seul le personnel accreacutediteacute peut acceacuteder aux installations informatiques On enregistre les visiteurs et on les escorte si cela paraicirct neacutecessaire Les installations mateacuterielles ne se font pas remarquer et ne sont pas identifiables au premier coup dœil Les autoriteacutes civiles surveillent la conformiteacute avec les regravegles dhygiegravene et de seacutecuriteacute Lentreprise a contracteacute une assurance risques mais leffort pour optimiser son coucirct est minime
4 Geacutereacutee et mesurable quand
Le besoin de maintenir un environnement informatique controcircleacute apparaicirct comme une eacutevidence dans la structure de lentreprise et dans lattribution du budget Les exigences de seacutecuriteacute de lenvironnement et des installations sont documenteacutees et les accegraves sont strictement controcircleacutes et surveilleacutes On a deacutesigneacute les responsables et les proprieacutetaires et on a fait connaicirctre leurs noms Le personnel qui travaille sur les installations est complegravetement formeacute aux situations durgence ainsi quaux pratiques dhygiegravene et de seacutecuriteacute Des meacutecanismes de controcircle standardiseacutes sont en place pour restreindre les accegraves aux installations et pour agir sur les facteurs denvironnement et de seacutecuriteacute Le management surveille lefficaciteacute des controcircles et leur conformiteacute aux normes eacutetablies Le management a mis au point des objectifs et des meacutetriques pour eacutevaluer la gestion de lrsquoenvironnement informatique La possibiliteacute de reacutetablir les ressources informatiques fait partie du processus de gestion des risques de lrsquoentreprise On integravegre lrsquoinformation pour optimiser la couverture des assurances et leur coucirct
5 Optimiseacutee quand
Il existe un plan agrave long terme qui concerne les installations neacutecessaires agrave lenvironnement informatique de lentreprise On a deacutefini pour toutes les installations des normes qui sappliquent au choix des sites agrave la construction au gardiennage au personnel de seacutecuriteacute aux systegravemes meacutecaniques et eacutelectriques agrave la protection contre les risques lieacutes agrave lrsquoenvironnement (ex feu foudre inondations) Toutes les installations sont inventorieacutees et classeacutees en conformiteacute avec le processus continu de gestion des risques de lentreprise Les accegraves sont strictement controcircleacutes et surveilleacutes en permanence en fonction des besoins professionnels et les visiteurs sont systeacutematiquement escorteacutes Lenvironnement est surveilleacute et controcircleacute au moyen de mateacuteriels speacutecialiseacutes et personne nrsquoest preacutesent dans les locaux techniques On eacutevalue et on mesure reacuteguliegraverement les objectifs Les programmes de maintenance preacuteventive suivent en pratique un respect strict des plannings et on fait reacuteguliegraverement subir des tests aux eacutequipements sensibles La strateacutegie et les normes qui concernent les installations sont aligneacutees sur les objectifs de disponibiliteacute des services informatiques et elles font partie inteacutegrante de la planification de la continuiteacute de lactiviteacute de lentreprise et de la gestion de crise Le management passe en revue et optimise les installations reacuteguliegraverement en srsquoappuyant sur les objectifs et les meacutetriques et il profite des occasions qui se preacutesentent pour ameacuteliorer la contribution des SI aux meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 148
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
DESCRIPTION DU PROCESSUS
DS13 Geacuterer lrsquoexploitation
Pour un traitement complet et exact des donneacutees il faut une gestion efficace des proceacutedures de traitement des donneacutees et une maintenance appliqueacutee du mateacuteriel informatique Ce processus implique de deacutefinir des politiques et des proceacutedures drsquoexploitation neacutecessaires agrave une gestion efficace des traitements programmeacutes de proteacuteger les sorties sensibles de surveiller lrsquoinfrastructure et drsquoeffectuer une maintenance preacuteventive du mateacuteriel La gestion efficace de lrsquoexploitation aide agrave maintenir lrsquointeacutegriteacute des donneacutees et agrave reacuteduire les deacutelais et les coucircts drsquoexploitation informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoexploitation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances
en se concentrant sur
la gestion des niveaux de services drsquoexploitation pour les traitements programmeacutes la protection des sorties sensibles et la surveillance et la maintenance de lrsquoinfrastructure
atteint son objectif en
bull exploitant lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus et aux instructions deacutefinies
bull assurant la maintenance de lrsquoinfrastructure informatique
et est mesureacute par
bull le nombre de contrats de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull le nombre drsquoheures drsquoinactiviteacute non preacutevues provoqueacutees par des incidents drsquoexploitation bull le pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance
preacuteventive
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 149
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
OBJECTIFS DE CONTROcircLE
DS13 Geacuterer lrsquoexploitation
DS131 Proceacutedures et instructions drsquoexploitation Deacutefinir mettre en place et tenir agrave jour des proceacutedures standard pour lrsquoexploitation informatique en srsquoassurant que le personnel connaicirct bien toutes les tacircches drsquoexploitation qui deacutependent de lui Les proceacutedures drsquoexploitation doivent tenir compte des changements drsquoeacutequipes (passation des consignes formaliseacutee eacutetats drsquoavancement problegravemes drsquoexploitation proceacutedures drsquoescalade et rapports sur les responsabiliteacutes en cours) pour reacutepondre aux contrats de services convenus et garantir la continuiteacute de lrsquoexploitation
DS132 Planification des travaux Organiser la planification des travaux processus et tacircches selon la seacutequence la plus efficace en optimisant le deacutebit et lrsquoutilisation des ressources pour reacutepondre aux exigences des meacutetiers
DS133 Surveillance de lrsquoinfrastructure informatique Deacutefinir et mettre en place des proceacutedures pour surveiller lrsquoinfrastructure informatique et les eacuteveacutenements qui srsquoy rapportent Srsquoassurer qursquoun historique suffisant des opeacuterations est stockeacute dans les journaux dexploitation pour permettre la reconstruction la revue et lanalyse des seacutequences chronologiques des traitements et des autres activiteacutes lieacutees agrave ces traitements ou leur apportant un soutien
DS134 Documents sensibles et dispositifs de sortie Mettre en place des dispositifs de seacutecuriteacute physique approprieacutes les pratiques de comptabiliteacute et de gestion drsquoinventaires pour les actifs informatiques sensibles comme les formulaires speacuteciaux les effets de commerce les imprimantes speacutecialiseacutees et les systegravemes drsquoidentification
DS135 Maintenance preacuteventive du mateacuteriel Deacutefinir et mettre en place des proceacutedures pour garantir la maintenance en temps opportun de lrsquoinfrastructure afin de reacuteduire la freacutequence et les conseacutequences de deacutefaillances ou de deacutegradation des performances
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 150
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
GUIDE DE MANAGEMENT
DS13 Geacuterer lrsquoexploitation
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Plans de mises en production de publication et de diffusion de logiciels
DS1 CS et CE
DS4 Plan de stockage et de protection des sauvegardes
DS9 Configuration informatiquedeacutetail des actifs
DS11
Instructions drsquoexploitation pour la gestion des donneacutees
Sorties Vers Tickets drsquoincidents DS8 Historiques des erreurs DS10 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes
Creacuteermodifier les proceacutedures drsquoexploitation (comme manuels listes de controcircle planning des changements drsquoeacutequipes documentation pour la passation des consignes proceacutedures drsquoescalade etc)
AR I
Programmer la charge de travail et les traitements par lots C AR C C
Surveiller lrsquoinfrastructure et le traitement et reacutesoudre les problegravemes AR I
Geacuterer les sorties et en assurer la seacutecuriteacute (par exemple papier supports eacutelectroniques) AR C
Appliquer les correctifs et les modifications au planning et agrave lrsquoinfrastructure C AR C C C
Mettre en place un processus pour preacuteserver les systegravemes drsquoauthentification des intrusions des pertes et du vol A R I C
Planifier et effectuer une maintenance preacuteventive AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
induit
induit
Meacutetriq
ues
bull Nb de niveaux de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull Nb drsquoheures drsquoinactiviteacute non preacutevues dues agrave des incidents drsquoexploitation
bull Nb drsquointerruptions de service et de retards provoqueacutes par le non respect des proceacutedures drsquoexploitation bull Pourcentage de traitements programmeacutes et de traitements speacuteciaux exeacutecuteacutes avec retard bull Nb drsquointerruptions de service et de retards provoqueacutes par des proceacutedures inadapteacutees
bull Nb de journeacutees de formation par personnel drsquoexploitation et par an bull Pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance preacuteventive bull Pourcentage de programmes de travail automatiseacutes bull Freacutequence des mises agrave jour des proceacutedures drsquoexploitation
Processus
bull Deacutefinir des proceacutedures drsquoexploitation conformes aux niveaux de services convenus bull Effectuer les traitements programmeacutes et les demandes de traitements speacuteciaux conformeacutement aux niveaux de services convenus bull Mettre en place des dispositifs de seacutecuriteacute physique pour les informations sensibles
Activiteacutes
bull Exploiter lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus avec les instructions deacutefinies et une supervision eacutetroite bull Assurer une maintenance preacuteventive et une surveillance de lrsquoinfrastructure informatique
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 151
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
MODEgraveLE DE MATURITEacute
DS13 Geacuterer lrsquoexploitation
La gestion du processus Geacuterer lrsquoexploitation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances est
0 Inexistante quand
Lentreprise ne consacre ni temps ni ressources agrave la mise en place des eacuteleacutements de base dune activiteacute drsquoassistance informatique ou drsquoactiviteacutes drsquoexploitation informatique
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil faut structurer les fonctions de support informatique Cependant on na eacutetabli que peu de proceacutedures standard et les activiteacutes drsquoexploitation nrsquointerviennent qursquoau cas par cas La plus grande partie de lexploitation nest pas formellement planifieacutee et les demandes de traitements informatiques sont accepteacutees sans validation preacutealable Les ordinateurs les systegravemes et les applications qui assistent les processus meacutetiers sont souvent interrompus retardeacutes indisponibles Les employeacutes perdent du temps agrave attendre des ressources disponibles Les reacutesultats des traitements sortent parfois agrave des endroits inattendus ou pas du tout
2 Reproductible mais intuitive quand
Lentreprise est consciente du rocircle essentiel que joue lrsquoexploitation informatique en assurant des fonctions drsquoassistance informatique On attribue au cas par cas les budgets pour les outils informatiques Lassistance de linformatique aux autres fonctions est informelle et intuitive On deacutepend largement des compeacutetences et des aptitudes de certains individus Les instructions preacutecisant ce quil faut faire quand et dans quel ordre ne sont pas documenteacutees Il existe des formations drsquoexploitant et il existe quelques normes officielles de fonctionnement
3 Deacutefinie quand
La neacutecessiteacute dune gestion de lexploitation informatique est comprise et accepteacutee dans lentreprise On attribue les ressources correspondantes et certaines formations sont faites sur le tas Les fonctions reacutepeacutetitives sont formellement deacutefinies standardiseacutees documenteacutees et diffuseacutees Les eacuteveacutenements et les reacutesultats des travaux acheveacutes sont enregistreacutes avec des comptes-rendus succincts au management On introduit lutilisation doutils de planification automatique et autres pour limiter les interventions humaines On introduit des controcircles pour la mise en traitement de nouveaux travaux On deacuteveloppe une politique formelle pour reacuteduire le nombre drsquoeacuteveacutenements impreacutevus Les contrats de maintenance et de services avec les fournisseurs sont encore de nature informelle
4 Geacutereacutee et mesurable quand
On a clairement deacutefini les responsabiliteacutes de lexploitation informatique et des activiteacutes de support et on en a deacutesigneacute les proprieacutetaires On a deacutegageacute pour lexploitation des ressources dans les budgets dinvestissements et dans les ressources humaines La formation est formaliseacutee et permanente Les plannings et les tacircches sont documenteacutes et diffuseacutes agrave la fois au sein de la fonction informatique et aux clients meacutetiers Il est possible de mesurer et de surveiller les activiteacutes quotidiennes en relation avec les contrats de performance standard et les niveaux de services convenus On relegraveve et on corrige rapidement tout eacutecart par rapport aux normes eacutetablies Le management surveille lutilisation des ressources informatiques et la bonne fin des travaux et des tacircches assigneacutees Il existe un effort constant pour ameacuteliorer le niveau dautomatisation des processus comme moyen drsquoameacutelioration continue On a eacutetabli des contrats formels de maintenance et de services avec les fournisseurs Lalignement est total avec les processus de gestion des problegravemes et de la capaciteacute entre autres gracircce agrave lanalyse des causes des eacutechecs et des erreurs
5 Optimiseacutee quand
Le support informatique et lexploitation sont efficaces efficients et suffisamment souples pour atteindre les niveaux de services souhaiteacutes avec des pertes de productiviteacute minimales Les processus de gestion de lexploitation sont standardiseacutes et documenteacutes dans une base de connaissances et sont sujets agrave de continuelles ameacuteliorations Les processus automatiseacutes qui supportent les systegravemes fonctionnent sans agrave-coups et contribuent agrave un environnement stable On analyse tous les problegravemes et les eacutechecs pour trouver les causes initiales Des reacuteunions reacuteguliegraveres avec leacutequipe de gestion des changements permettent dinclure en temps utile des modifications dans les plannings de production Lacircge et les disfonctionnements des mateacuteriels sont analyseacutes en coopeacuteration avec les fournisseurs et la maintenance devient essentiellement preacuteventive
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 152
SURVEILLER ET EVALUER
SE1 Surveiller et eacutevaluer la performance des SI SE2 Surveiller et eacutevaluer le controcircle interne SE3 Srsquoassurer de la conformiteacute aux obligations externes SE4 Mettre en place une gouvernance des SI
SUR
VE
ILL
ER
ET
EacuteV
AL
UE
R
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
DESCRIPTION DU PROCESSUS
SE1 Surveiller et eacutevaluer les performances des SI
Une gestion efficace des SI exige un processus de surveillance Ce processus inclut la deacutefinition dindicateurs pertinents de performance la publication systeacutematique et en temps opportun de rapports sur la performance et une reacuteaction rapide aux anomalies Il faut une surveillance pour srsquoassurer qursquoon fait ce qursquoil faut conformeacutement aux orientations et aux politiques deacutefinies
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance
en se concentrant sur
la surveillance des meacutetriques des processus et leurs comptes-rendus et la recherche et la mise en place drsquoactions destineacutees agrave ameacuteliorer la performance
atteint son objectif en
bull collationnant des rapports de performance et en les traduisant en rapports de gestion bull comparant les performances aux objectifs convenus et en mettant en place des actions correctrices
lorsque crsquoest neacutecessaire
et est mesureacute par
bull la satisfaction du management et des responsables de la gouvernance agrave propos des rapports de performance
bull le nombre drsquoactions drsquoameacuteliorations susciteacutees par les activiteacutes de surveillance le nombre de processus critiques surveilleacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 153
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
OBJECTIFS DE CONTROcircLE
SE1 Surveiller et eacutevaluer la performance des SI
SE11 Approche de la surveillance Constituer un reacutefeacuterentiel et une approche geacuteneacuterale de la surveillance qui deacutefinisse lrsquoeacutetendue la meacutethodologie et le processus agrave suivre pour mesurer la deacutelivrance de solutions et de services informatiques et surveiller la contribution des SI aux meacutetiers Inteacutegrer ce reacutefeacuterentiel au systegraveme de gestion des performances de lrsquoentreprise
SE12 Deacutefinition et collationnement des donneacutees de surveillance En associant les meacutetiers deacutefinir un ensemble eacutequilibreacute drsquoobjectifs de performance et les faire approuver par les meacutetiers et par les autres parties prenantes concerneacutees Mettre en place des analyses comparatives pour deacutefinir les objectifs et recenser les donneacutees neacutecessaires agrave collecter pour mesurer ces objectifs Mettre en place les processus pour collecter des donneacutees exactes au bon moment et rendre compte de la progression vers les objectifs viseacutes
SE13 Meacutethode de surveillance Mettre en place une meacutethode de surveillance (par ex tableau de bord eacutequilibreacute) qui prend en compte les objectifs enregistre les mesures offre une vision condenseacutee geacuteneacuterale de la performance des SI et est compatible avec le systegraveme de surveillance de lrsquoentreprise
SE14 Eacutevaluation de la performance Comparer peacuteriodiquement les performances aux objectifs analyser les causes des eacutecarts et initier des actions correctives pour traiter les causes sous-jacentes De temps en temps reacutealiser des analyses causales de ces eacutecarts
SE15 Comptes-rendus destineacutes au conseil drsquoadministration et agrave la direction geacuteneacuterale Produire agrave la direction geacuteneacuterale des rapports sur la contribution des SI aux meacutetiers particuliegraverement en ce qui concerne la performance du portefeuille de lrsquoentreprise les programmes drsquoinvestissements deacutependant de lrsquoinformatique et la performance des solutions et services deacutelivreacutes par chacun des programmes Les rapports indiquent dans quelle mesure les objectifs preacutevus ont eacuteteacute atteints les ressources budgeacutetiseacutees utiliseacutees les objectifs de performance preacutevus atteints et les risques reacuteduits Anticiper sur la revue qui en sera faite par la direction geacuteneacuterale en proposant des actions correctives pour remeacutedier aux eacutecarts les plus importants Fournir les rapports agrave la direction geacuteneacuterale et lui demander un retour apregraves revue
SE16 Actions correctives Deacutefinir et entreprendre les actions correctives qui srsquoappuient sur la surveillance lrsquoeacutevaluation et le compte-rendu de la performance Cela implique un suivi de toutes les actions de surveillance de compte-rendu et drsquoeacutevaluation par bull Lrsquoexamen la discussion et lrsquoeacutelaboration de propositions drsquoactions correctives par le management bull Lrsquoattribution de la responsabiliteacute de lrsquoaction corrective bull Le suivi des reacutesultats de cette action
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 154
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
GUIDE DE MANAGEMENT
SE1 Surveiller et eacutevaluer la performance des SI
De Entreacutees
PO5 Rapports coucirctsbeacuteneacutefices
PO10 Rapports sur la performance des projets
AI6 Rapports sur le statut des changements
DS1shy13 Rapports sur la performance des processus
DS8 Rapports sur la satisfaction des utilisateurs
SE2 Rapport sur lrsquoefficaciteacute des controcircles informatiques
SE3 Rapports sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE4 Etat de situation de la gouvernance des SI
Sorties Vers Entreacutee de la performance dans le planning SI PO1 PO2 DS1 Plans drsquoactions correctives PO4 PO8 Historique des eacuteveacutenements de risque et des tendances PO9 Rapports sur la performance des processus SE2
Bacirctir lrsquoapproche de surveillance A R C R I C I C I C
Identifier et faire la liste des objectifs mesurables qui vont dans le sens des objectifs meacutetiers C C C A R R R
Creacuteer des tableaux de bord A R C R C
Eacutevaluer la performance I I A R R C R C
Rendre compte de la performance I I I R A R R C R C I
Identifier et surveiller les actions destineacutees agrave ameacuteliorer la performance A R R C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de gouvernance en accord avec les orientations de la direction geacuteneacuteraledu CA bull Reacutepondre aux exigences des meacutetiers en accord avec la strateacutegie des meacutetiers bull Srsquoassurer que les SI font preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services des SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de modifications drsquoobjectifs pour les indicateurs drsquoefficaciteacute et drsquoefficience des processus informatiques bull Taux de satisfaction du management et de la gouvernance agrave propos des rapports sur la performance bull Nb de reacuteduction du nombre de carences flagrantes des processus
bull Taux de satisfaction des parties prenantes par le processus de mesure bull Pourcentage de processus critiques surveilleacutes bull Nb drsquoactions drsquoameacuteliorations induites par les activiteacutes de surveillance bull Nb drsquoobjectifs de surveillance atteints (indicateurs controcircleacutes)
bull Deacutelai entre le rapport sur une deacutefaillance et le deacutebut de laction entreprise pour y remeacutedier bull Deacutelai pour mettre agrave jour les outils de mesure pour qursquoils reflegravetent veacuteritablement les objectifs de performance les mesures les cibles viseacutees et les tests comparatifs bull Nb de meacutetriques (par processus) bull Nb de relations de causes agrave effets deacutecouvertes et inteacutegreacutees dans la surveillance bull Nb efforts neacutecessaires pour reacuteunir les donneacutees de surveillance bull Nb de problegravemes non identifieacutes par les processus de mesure bull Pourcentage de meacutetriques qui permettent de se comparer aux standards et aux objectifs du secteur
Processus
bull Fixer des objectifs mesurables des ICO et des ICP pour les processus informatiques cleacutes bull Mesurer et surveiller et en rendre compte des meacutetriques des processus bull Identifier et mettre en place les actions destineacutees agrave ameacuteliorer la performance
Activiteacutes
bull Reacutecupeacuterer et rassembler les rapports sur la performance et les traduire en rapports de gestion bull Comparer les performances aux objectifs convenus et mettre en place des actions correctrices lorsque crsquoest neacutecessaire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 155
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
MODEgraveLE DE MATURITEacute
SE1 Surveiller et eacutevaluer la performance des SI
La gestion du processus Surveiller et Eacutevaluer les performances des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance est
0 Inexistante quand
Lentreprise na pas mis en place de processus de surveillance La DSI nexerce pas de faccedilon indeacutependante de surveillance des projets ou des processus On ne dispose pas en temps opportun de rapports utiles ou preacutecis On ne reconnaicirct pas le besoin de fixer des objectifs clairs pour les processus
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct le besoin de collecter et deacutevaluer des informations pour la surveillance des processus On na pas deacutefini de normes pour la collecte des informations et leacutevaluation des processus La surveillance est mise en place et les meacutetriques sont choisies au cas par cas en fonction des besoins de projets et de processus informatiques speacutecifiques La surveillance est geacuteneacuteralement mise en place suite agrave un incident qui a causeacute des pertes ou une gecircne agrave lentreprise La fonction comptable surveille les mesures financiegraveres de base concernant les SI
2 Reproductible mais intuitive quand
On identifie les mesures de base agrave surveiller Il existe des meacutethodes et des techniques de collecte et deacutevaluation mais les processus ne sont pas adopteacutes dans lrsquoensemble de lentreprise Lrsquointerpreacutetation des reacutesultats de la surveillance se base sur les compeacutetences drsquoindividus cleacutes On choisit et on met en place des outils limiteacutes pour collecter les informations mais sans planification
3 Deacutefinie quand
Le management communique et met en place des processus de surveillance standard Des programmes denseignement et de formation sur la surveillance sont mis en place On deacuteveloppe et formalise une base de connaissances qui conserve lhistorique des performances Leacutevaluation est encore faite individuellement pour certains projets et certains processus informatiques mais elle nest pas geacuteneacuteraliseacutee On met en place des outils de suivi des processus et des niveaux de services internes agrave linformatique On preacutecise comment mesurer la contribution de lrsquoinformatique aux performances de lentreprise en utilisant des critegraveres financiers et opeacuterationnels traditionnels On deacutefinit des mesures de performance des mesures non financiegraveres des mesures strateacutegiques des mesures de la satisfaction des clients et de niveaux de services speacutecifiques agrave lrsquoinformatique On deacutefinit un cadre de reacutefeacuterence pour mesurer la performance
4 Geacutereacutee et mesurable quand
Le management deacutefinit les marges de toleacuterance acceptables pour les processus Les rapports sur les reacutesultats de la surveillance sont standardiseacutes et normaliseacutes On integravegre des outils de mesure agrave tous les projets et processus informatiseacutes Les systegravemes de reporting de gestion de la fonction informatique de lrsquoentreprise sont formaliseacutes On integravegre des outils automatiques de collecte et de surveillance des informations sur lactiviteacute dans toute lentreprise et on les mobilise pour faire le suivi des applications des systegravemes et des processus Le management est capable drsquoeacutevaluer la performance en se basant sur des critegraveres approuveacutes par les parties prenantes Les mesures effectueacutees par la fonction informatique sont conformes aux objectifs geacuteneacuteraux de lrsquoentreprise
5 Optimiseacutee quand
On deacuteveloppe un processus continu dameacutelioration de la qualiteacute pour mettre agrave niveau les standards et les politiques de surveillance agrave leacutechelle de lentreprise et pour adopter les meilleures pratiques de la profession Tous les processus de surveillance sont optimiseacutes et travaillent pour les objectifs geacuteneacuteraux de lentreprise On utilise couramment des meacutetriques inspireacutees par les meacutetiers pour mesurer les performances et on les integravegre dans les scheacutemas deacutevaluation strateacutegiques comme le tableau de bord eacutequilibreacute La surveillance et lrsquoameacutelioration permanente des processus sont conformes aux plans drsquoameacutelioration des processus meacutetiers dans lrsquoensemble de lrsquoentreprise Les tests comparatifs avec les autres entreprises et avec les principaux concurrents se sont formaliseacutes et utilisent des critegraveres de comparaison bien compris
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 156
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
DESCRIPTION DU PROCESSUS
SE2 Surveiller et eacutevaluer le controcircle interne
Eacutetablir un programme efficace de controcircle interne de lrsquoinformatique impose de bien deacutefinir un processus de surveillance Ce processus comporte la surveillance et les rapports sur les anomalies releveacutees les reacutesultats des autoeacutevaluations et des revues par des tiers Un des beacuteneacutefices essentiel de la surveillance du controcircle interne est de fournir lrsquoassurance drsquoune exploitation efficace et efficiente et la conformiteacute aux lois et reacuteglementations en vigueur
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Surveiller et eacutevaluer le controcircle interne
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI
en se concentrant sur
la surveillance des processus de controcircle interne pour les activiteacutes lieacutees aux SI et identifier les actions qui permettront des ameacuteliorations
atteint son objectif en
bull deacutefinissant un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull surveillant et en rendant compte de lrsquoefficaciteacute des controcircles internes des SI bull rapportant au management les anomalies deacutetecteacutees par les controcircles pour action
et est mesureacute par
bull le nombre de manquements majeurs au controcircle interne bull le nombre dinitiatives visant agrave lameacutelioration du controcircle bull le nombre des autoeacutevaluations de controcircle interne et lrsquoeacuteventail drsquoactiviteacutes couvertes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 157
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
OBJECTIFS DE CONTROcircLE
SE2 Surveiller et eacutevaluer le controcircle interne
SE21 Surveillance du reacutefeacuterentiel de controcircle interne Surveiller comparer agrave lrsquoaide drsquoanalyses et ameacuteliorer de faccedilon continue lrsquoenvironnement de controcircle de lrsquoinformatique et le reacutefeacuterentiel de controcircle pour atteindre les objectifs de lrsquoentreprise
SE22 Revue geacuteneacuterale Surveiller et eacutevaluer lrsquoefficaciteacute et lrsquoefficience des revues de controcircle interne effectueacutees par le management de lrsquoinformatique
SE23 Anomalies deacutetecteacutees par le controcircle Identifier les anomalies deacutetecteacutees par le controcircle les analyser et en identifier les causes sous-jacentes Faire remonter les anomalies et en produire un rapport pertinent aux parties prenantes Mettre en place les actions correctives neacutecessaires
SE24 Autoeacutevaluation du controcircle Veacuterifier que les controcircles du management sur les processus informatiques les politiques et les contrats sont complets et efficaces et reacutealiseacutes au moyen drsquoun programme permanent drsquoautoeacutevaluation
SE25 Assurance de controcircle interne Obtenir en fonction des besoins lrsquoassurance suppleacutementaire de lrsquoexhaustiviteacute et de lrsquoefficaciteacute des controcircles internes par des revues effectueacutees par des tiers
SE26 Controcircle interne des tiers Eacutevaluer la situation des controcircles internes des fournisseurs de services externe Confirmer que les fournisseurs de services externes se conforment aux exigences leacutegales et reacuteglementaires ainsi qursquoagrave leurs obligations contractuelles
SE27 Actions correctives Deacutefinir initier mettre en place et suivre les actions correctives reacutesultant des eacutevaluations et les rapports de controcircle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 158
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
it
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
GUIDE DE MANAGEMENT
SE2 Surveiller et eacutevaluer le controcircle interne
De Entreacutees
SE1 Rapports sur la performance des processus
Sorties Vers Rapports sur lrsquoefficaciteacute des controcircles des SI PO4 PO6 SE1 SE4
Surveiller et controcircler les activiteacutes du controcircle interne des SI A R R R R
Surveiller le processus drsquoautoshyeacutevaluation I A R R R C
Surveiller la performance des revues indeacutependantes des audits et des investigations I A R R R C
Surveiller le processus drsquoobtention drsquoune assurance sur les controcircles opeacutereacutes par des tiers I I I A R R R C
Surveiller le processus drsquoidentification et drsquoeacutevaluation des anomalies deacutetecteacutees I I I A I R R R C
Surveiller le processus drsquoidentification et de correction des anomalies deacutetecteacutees I I I A I R R R C
Rendre compte aux principales parties prenantes I I I AR I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Preacuteserver le succegraves des objectifs informatiques bull Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
induinduit
bull Freacutequence des incidents de controcircle interne bull Nb de faiblesses identifieacutees par les rapports de qualification et de certification externes bull Nb dinitiatives visant agrave lameacutelioration du controcircle bull Nb dincidents de non-conformiteacute aux lois ou regraveglements bull Nb drsquoactions entreprises au bon moment sur des problegravemes de controcircle interne
bull Nb et couverture des auto-eacutevaluations de controcircle interne bull Nb et couverture des controcircles internes sujets agrave des revues geacuteneacuterales bull Deacutelai entre les deacutefaillances de controcircle interne et le rapport qui en est fait bull Nb et freacutequence des rapports de la conformiteacute interne et eacuteventail couvert
Activiteacutes
bull Deacutefinir un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull Surveiller et rendre compte de lrsquoefficaciteacute des controcircles internes des SI bull Rapporter au management les anomalies deacutetecteacutees par les controcircles pour action
bull Surveiller la reacutealisation des objectifs de controcircle interne deacutefinis pour les processus informatiques bull Identifier les actions drsquoameacutelioration du controcircle interne
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Taux de satisfaction du management agrave propos des rapports de surveillance du controcircle interne bull Nb de manquements majeurs au controcircle interne
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 159
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
MODEgraveLE DE MATURITEacute
SE2 Surveiller et eacutevaluer le controcircle interne
La gestion du processus Surveiller et Eacutevaluer le controcircle interne qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI est
0 Inexistante quand
Lentreprise na pas les proceacutedures quil faut pour surveiller lefficaciteacute des controcircles internes Il ny a pas de meacutethode de reporting pour les controcircles internes Les questions de seacutecuriteacute opeacuterationnelle informatique et dassurance de controcircle interne ne sont en geacuteneacuteral pas eacutevoqueacutees Le management et les employeacutes ne sont globalement pas sensibiliseacutes aux controcircles internes
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune assurance reacuteguliegravere sur le management de lrsquoinformatique et son controcircle On se fie lorsque le besoin sen fait sentir agrave des compeacutetences individuelles pour eacutevaluer ladeacutequation du controcircle interne La direction informatique na pas formellement deacutesigneacute de responsable pour la veacuterification de lefficaciteacute des controcircles internes Les eacutevaluations du controcircle interne de lrsquoinformatique sont faites agrave loccasion des audits financiers traditionnels avec des meacutethodologies et des compeacutetences qui ne reflegravetent pas les besoins de la fonction informatique
2 Reproductible mais intuitive quand
Lentreprise utilise des rapports de controcircle informels pour initier des actions correctives Lrsquoeacutevaluation du controcircle interne deacutepend des compeacutetences drsquoindividus cleacutes Lentreprise prend de plus en plus conscience du besoin de surveillance du controcircle interne La direction des SI surveille reacuteguliegraverement lefficaciteacute de ce qursquoelle pense ecirctre les controcircles internes les plus sensibles On commence agrave utiliser des meacutethodologies et des outils de surveillance des controcircles internes mais sans plan On identifie les facteurs de risques speacutecifiques agrave lrsquoenvironnement informatique gracircce aux compeacutetences drsquoindividus cleacutes
3 Deacutefinie quand
Le management apporte son soutien agrave la surveillance du controcircle interne et la institutionnaliseacutee On deacuteveloppe des politiques et des proceacutedures pour eacutevaluer et rendre compte des activiteacutes de surveillance du controcircle interne On deacutefinit un programme denseignement et de formation agrave la surveillance du controcircle interne On deacutefinit un processus drsquoautoeacutevaluation des controcircles internes et de revues drsquoassurance qui preacutecisent les rocircles et responsabiliteacutes des responsables meacutetiers et de la direction des SI On utilise des outils qui ne sont cependant pas inteacutegreacutes agrave tous les processus On met en œuvre des politiques deacutevaluation des risques informatiques selon des reacutefeacuterentiels de controcircle deacuteveloppeacutes speacutecifiquement pour les SI On deacutefinit des politiques speacutecifiques drsquoacceptation et de reacuteduction des risques
4 Geacutereacutee et mesurable quand
Le management met en place un reacutefeacuterentiel de surveillance du controcircle interne de lrsquoinformatique Lentreprise eacutetablit des niveaux de toleacuterance pour les processus de surveillance du controcircle interne On met en place des outils pour standardiser les eacutevaluations et pour que les controcircles deacutetectent automatiquement les anomalies Une fonction de controcircle interne informatique est formellement mise en place Elle renferme des professionnels speacutecialiseacutes et certifieacutes et utilise un reacutefeacuterentiel de controcircle formel approuveacute par la direction geacuteneacuterale Les informaticiens particuliegraverement compeacutetents participent reacuteguliegraverement aux eacutevaluations de controcircle interne On constitue une base de connaissances des mesures issues de la surveillance du controcircle interne pour en conserver lhistorique On organise des eacutevaluations par des pairs de cette surveillance
5 Optimiseacutee quand
Le management eacutetablit un programme continu dameacutelioration de la surveillance du controcircle interne agrave leacutechelle de lentreprise qui prend en compte lexpeacuterience et les bonnes pratiques de la profession Lrsquoentreprise utilise des outils modernes inteacutegreacutes lorsque crsquoest adapteacute qui permettent une eacutevaluation efficace des controcircles informatiques critiques et une deacutetection rapide des incidents de surveillance des controcircles informatiques On a formellement institutionnaliseacute le partage des connaissances speacutecifiques agrave la fonction informatique On a formaliseacute des tests comparatifs sur la base des standards et des bonnes pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 160
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3 DESCRIPTION DU PROCESSUS
SE3 Srsquoassurer de la conformiteacute aux obligations externes
Un processus de revue est neacutecessaire pour garantir efficacement la conformiteacute aux lois aux regraveglements et aux obligations contractuelles Ce processus implique drsquoidentifier les obligations de conformiteacute drsquoeacutevaluer et drsquooptimiser la reacuteponse agrave donner drsquoavoir lrsquoassurance drsquoecirctre conforme aux obligations et au final drsquointeacutegrer les rapports sur la conformiteacute des SI agrave ceux du reste de lrsquoentreprise
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Srsquoassurer de la conformiteacute aux obligations externes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles
en se concentrant sur
identifier toutes les lois reacuteglementations et contrats applicables et le niveau de conformiteacute des SI agrave cet eacutegard et optimiser les processus informatiques pour reacuteduire le risque de non-conformiteacute
atteint son objectif en
bull faisant la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull eacutevaluant lrsquoimpact des obligations reacuteglementaires bull surveillant la conformiteacute aux obligations et en rendant compte
et est mesureacute par
bull coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull temps moyen entre lidentification dun problegraveme de conformiteacute agrave des exigences externes
et sa reacutesolution bull freacutequence des revues de conformiteacute
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 161
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
OBJECTIFS DE CONTROcircLE
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE31 Identification des obligations externes lois regraveglements et contrats Identifier de faccedilon permanente les obligations externes auxquelles il faut se conformer lois nationales et internationales reacuteglementations et autres de faccedilon agrave les prendre en compte dans les politiques normes proceacutedures et meacutethodologies informatiques de lrsquoentreprise
SE32 Optimisation de la reacuteponse aux obligations externes Reacuteviser et optimiser les politiques normes proceacutedures et meacutethodologies informatiques pour srsquoassurer que les exigences leacutegales reacuteglementaires et contractuelles sont prises en compte et font lrsquoobjet drsquoune communication
SE33 Eacutevaluation de la conformiteacute aux obligations externes Valider la conformiteacute des politiques normes proceacutedures et meacutethodologies informatiques aux obligations externes
SE34 Assurance positive de la conformiteacute Obtenir lrsquoassurance du respect de la conformiteacute par toutes les politiques internes issues de directives internes ou drsquoobligations externes leacutegales reacuteglementaires et contractuelles et en rendre compte Srsquoassurer que toutes les actions correctives ont eacuteteacute entreprises en temps opportun par le proprieacutetaire du processus responsable pour traiter tous les manquements agrave la conformiteacute
SE35 Inteacutegration des rapports Inteacutegrer les rapports de lrsquoinformatique sur les obligations leacutegales reacuteglementaires et contractuelles aux reacutesultats similaires drsquoautres fonctions meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 162
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3
GUIDE DE MANAGEMENT
SE3 Srsquoassurer de la conformiteacute aux obligations externes
De Entreacutees
Exigences leacutegales et reacuteglementaires Entreacutees externes agrave CobiT
Sorties Vers Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
PO4 SE4
Rapport sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE1
Tableau RACI
Activiteacutes Deacutefinir et mettre en œuvre un processus pour identifier les exigences leacutegales contractuelles politiques et reacuteglementaires
AR C I I I C I R
Eacutevaluer la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques I I I I AR I R R R R R R
Rendre compte de lrsquoassurance positive de la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques
AR C C C C C C R
Fournir les entreacutees permettant drsquoaligner les politiques les plans et les proceacutedures sur les exigences de conformiteacute
AR C C C C C R
Inteacutegrer les rapports des SI sur les exigences reacuteglementaires aux reacutesultats similaires drsquoautres fonctions meacutetiers AR I I I R I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Assurer la conformiteacute des SI aux lois regraveglements et contrats
induit
induit
Meacutetriq
ues
bull Coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull Nb de problegravemes de non-conformiteacute rapporteacutes au CA ou provoquant des commentaires embarrassants pour lrsquoentreprise
bull Nb de problegravemes seacuterieux de non-conformiteacute deacutetecteacutes chaque anneacutee bull Freacutequence des revues de conformiteacute
bull Deacutelai moyen entre lidentification dun problegraveme de conformiteacute agrave des obligations externes et sa reacutesolution bull Deacutelai moyen entre la publication drsquoune nouvelle loi ou drsquoun nouveau regraveglement et la mise en œuvre drsquoune revue de conformiteacute bull Nb de jours de formation agrave la conformiteacute par collaborateur informatique et par an
Processus
bull Identifier toutes les lois regraveglements et contrats applicables et deacuteterminer le niveau de conformiteacute des SI bull Geacuterer lrsquoalignement des politiques plans et proceacutedures de faccedilon agrave geacuterer efficacement les risques de non-conformiteacute des SI bull Reacuteduire le plus possible pour les meacutetiers lrsquoimpact des problegravemes de conformiteacute identifieacutes dans les SI
Activiteacutes
bull Faire la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull Instruire le personnel informatique sur ses responsabiliteacutes vis-agrave-vis de la conformiteacute bull Eacutevaluer lrsquoimpact des obligations externes bull Surveiller la conformiteacute aux obligations externes et en rendre comptedeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 163
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
MODEgraveLE DE MATURITEacute
SE3 Srsquoassurer de la conformiteacute aux obligations externes
La gestion du processus Srsquoassurer de la conformiteacute aux obligations externes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles est
0 Inexistante quand
Il y a peu de prise de conscience des obligations externes relatives aux SI et aucun processus ne concerne la mise en conformiteacute vis-agrave-vis des obligations leacutegales reacuteglementaires et contractuelles
1 Initialiseacutee au cas par cas quand
On est conscient des conseacutequences des obligations reacuteglementaires contractuelles et leacutegales pour lrsquoentreprise On suit des processus informels pour maintenir la conformiteacute mais seulement lorsque le besoin est mis en eacutevidence par de nouveaux projets des audits ou des revues
2 Reproductible mais intuitive quand
Le besoin de se conformer aux obligations externes est compris et on communique sur ce thegraveme Lorsque ce besoin de mise en conformiteacute est reacutecurrent comme dans les reacuteglementations financiegraveres ou la leacutegislation sur la vie priveacutee on a mis en place des proceacutedures individuelles avec un suivi annuel Il nrsquoy a cependant pas drsquoapproche standard On se repose beaucoup sur les connaissances et la responsabiliteacute des individus et on peut srsquoattendre agrave des erreurs La formation sur ces questions reste informelle
3 Deacutefinie quand
On deacuteveloppe documente et communique les politiques plans proceacutedures et processus destineacutes agrave assurer la conformiteacute aux obligations reacuteglementaires contractuelles et leacutegales mais on ne les suit pas toujours et certaines peuvent ecirctre obsolegravetes ou difficiles agrave mettre en œuvre Il y a peu de surveillance et la conformiteacute agrave certaines exigences nrsquoest pas assureacutee Des formations sont programmeacutees sur les obligations leacutegales et reacuteglementaires affectant lentreprise et sur les processus de mise en conformiteacute deacutefinis Il existe des contrats standards pro-forma et des processus leacutegaux pour minimiser les risques qui deacutecoulent des responsabiliteacutes lieacutees aux contrats
4 Geacutereacutee et mesurable quand
On a pleinement compris les problegravemes et les risques lieacutes aux obligations externes et le besoin dassurer la conformiteacute agrave tous les niveaux Il existe un programme de formation formel qui permet de sassurer que tous les personnels sont conscients de leurs obligations en matiegravere de mise en conformiteacute Les responsabiliteacutes sont claires et la notion de proprieacuteteacute du processus est comprise Le processus comprend une revue de lenvironnement pour mettre en eacutevidence les obligations externes et les changements en cours On a mis en place un meacutecanisme qui permet de relever les cas de non-conformiteacute dappliquer les pratiques internes et de prendre des mesures correctives Les causes de non-conformiteacute sont analyseacutees selon un processus standardiseacute dans le but de mettre en place des solutions durables On utilise les bonnes pratiques internes standard pour des besoins speacutecifiques tels que les reacuteglementations en vigueur et les contrats de services reacutecurrents
5 Optimiseacutee quand
Pour se conformer aux obligations externes on applique un processus efficace et bien organiseacute baseacute sur une seule fonction centrale qui permet dinformer et de coordonner toute lorganisation On connaicirct bien les obligations externes applicables on se tient informeacute de leurs eacutevolutions on anticipe les changements et on preacutepare des solutions nouvelles Lentreprise participe agrave des groupes de discussion externes avec des groupes professionnels ou des instances de reacutegulation pour comprendre et influencer les obligations externes qui laffecte On deacuteveloppe les meilleures pratiques pour assurer la conformiteacute aux obligations externes ce qui se traduit par un tregraves petit nombre de cas de non-conformiteacute Il existe un systegraveme de suivi centraliseacute agrave leacutechelle de lentreprise qui permet au management de documenter le flux de travail (workflow) et de mesurer et dameacuteliorer lefficaciteacute du processus de surveillance de la conformiteacute On utilise un processus dautoeacutevaluation des obligations externes et on lameacuteliore pour lamener au niveau des bonnes pratiques Le style et la culture du management de lentreprise en ce qui concerne la conformiteacute sont suffisamment forts et les processus sont suffisamment bien deacuteveloppeacutes pour que la formation se limite aux nouveaux personnels et aux changements significatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 164
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
GESTION DES
RISQUES
ALIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SSS S S
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
DESCRIPTION DU PROCESSUS
SE4 Mettre en place une gouvernance des SI
Mettre en place un reacutefeacuterentiel de gouvernance efficace impose de deacutefinir des structures organisationnelles des processus un leadership des rocircles et des responsabiliteacutes pour srsquoassurer que les investissements informatiques de lrsquoentreprise sont aligneacutes sur ses strateacutegies et ses objectifs et qursquoils travaillent pour eux
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SSS S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Mettre en place une gouvernance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats
en se concentrant sur
la reacutedaction de rapports au CA sur la strateacutegie les performances et les risques des SI et la reacuteponse aux exigences de gouvernance conformeacutement aux orientations du CA
atteint son objectif en
bull eacutetablissant un reacutefeacuterentiel de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull obtenant une assurance indeacutependante sur la situation de la gouvernance des SI
et est mesureacute par
bull la freacutequence des rapports au CA sur les SI agrave lrsquointention des parties prenantes (entre autres sur la maturiteacute)
bull la freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull la freacutequence des revues indeacutependantes de conformiteacute des SI
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES
RISQUES
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 165
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
OBJECTIFS DE CONTROcircLE
SE4 Mettre en place une gouvernance des SI
SE41 Mise en place drsquoun cadre de gouvernance des SI Deacutefinir mettre en place et aligner le cadre de gouvernance des SI sur celui de lrsquoentreprise et sur son environnement de controcircle Baser le reacutefeacuterentiel de gouvernance sur un processus et un modegravele de controcircle de lrsquoinformatique adeacutequats Eacuteviter toute ambiguiumlteacute au niveau des responsabiliteacutes et des pratiques qui deacutegraderait le controcircle interne et la surveillance Veiller agrave la conformiteacute aux lois et regraveglements du cadre de gouvernance agrave son alignement sur les objectifs et la strateacutegie de lrsquoentreprise ainsi qursquoagrave sa contribution en la matiegravere Rendre compte sur toutes les composantes de la gouvernance des SI
SE42 Alignement strateacutegique Faciliter la compreacutehension par les instances dirigeantes et le management des questions strateacutegiques concernant les SI comme le rocircle des SI les perspectives offertes par les technologies et leurs capaciteacutes Srsquoassurer qursquoon comprend aussi bien du cocircteacute des meacutetiers que des SI la contribution potentielle des SI agrave la strateacutegie des meacutetiers Travailler avec le CA et les instances en charge de la gouvernance comme le comiteacute strateacutegique informatique pour proposer au management des orientations pour les SI en srsquoassurant que la strateacutegie et les objectifs sont reacutepercuteacutes aux uniteacutes meacutetiers et aux fonctions informatiques et que la confiance se deacuteveloppe entre les meacutetiers et lrsquoinformatique Faciliter lrsquoalignement des SI sur les meacutetiers pour la strateacutegie et le fonctionnement opeacuterationnel en encourageant la co-responsabiliteacute entre les meacutetiers et lrsquoinformatique dans la prise de deacutecisions et lrsquoobtention de beacuteneacutefices des investissements deacutependants de lrsquoinformatique
SE43 Apport de valeur Srsquoassurer que les programmes drsquoinvestissements deacutependants de lrsquoinformatique et les autres actifs et services informatiques apportent le plus de valeur possible au service de la strateacutegie et des objectifs de lrsquoentreprise Srsquoassurer que les reacutesultats des meacutetiers attendus des investissements informatiques et que la totaliteacute des efforts neacutecessaires pour obtenir ces reacutesultats soient compris que des analyses de rentabiliteacute complegravetes et coheacuterentes soient effectueacutees et approuveacutees par les parties prenantes que les actifs et les investissements soient geacutereacutes tout au long de leur cycle de vie et qursquoil existe une gestion active des beacuteneacutefices agrave reacutealiser comme la contribution agrave de nouveaux services des gains drsquoefficience et une reacuteactiviteacute accrue aux demandes des clients Imposer une approche disciplineacutee de la gestion des portefeuilles des programmes et des projets en insistant pour que les meacutetiers assument la proprieacuteteacute de tous les investissements deacutependants de lrsquoinformatique et que lrsquoinformatique assure lrsquooptimisation des coucircts de fourniture de capaciteacutes et de services informatiques
SE44 Gestion des ressources Surveiller lrsquoinvestissement lrsquoutilisation et lrsquoaffectation des actifs informatiques au moyen drsquoeacutevaluations reacuteguliegraveres des actions et de lrsquoexploitation informatique pour srsquoassurer drsquoune gestion adeacutequate des ressources et de leur alignement sur les objectifs strateacutegiques actuels ainsi que sur les besoins des meacutetiers
SE45 Gestion des risques Travailler avec le CA pour deacutefinir lrsquoappeacutetence de lrsquoentreprise pour le risque informatique et obtenir lrsquoassurance raisonnable que les pratiques de gestion des risques sont adeacutequates pour srsquoassurer que le niveau de risque informatique actuel nrsquoexcegravede pas le niveau drsquoappeacutetence au risque du CA Inteacutegrer les responsabiliteacutes de gestion du risque dans lrsquoentreprise en srsquoassurant que les meacutetiers et lrsquoinformatique eacutevaluent reacuteguliegraverement les risques informatiques leurs conseacutequences et en rendent compte et que la position de lrsquoentreprise vis-agrave-vis du risque informatique est transparente pour les parties prenantes
SE46 Mesure de la performance Valider que les objectifs informatiques convenus ont eacuteteacute atteints ou deacutepasseacutes ou que la progression vers ces objectifs est conforme aux attentes Reacuteviser les actions correctives prises par le management pour les cas ougrave les objectifs convenus nrsquoont pas eacuteteacute atteints ou la progression non conforme aux attentes Rendre compte au CA de la performance des portefeuilles des programmes et des SI en lrsquoeacutetayant par des rapports pour permettre agrave la direction geacuteneacuterale de passer en revue la progression de lrsquoentreprise vers les objectifs fixeacutes
SE47 Assurance indeacutependante Obtenir une assurance indeacutependante (interne ou externe) sur la conformiteacute des SI aux lois et regraveglements dont ils relegravevent aux politiques normes et proceacutedures de lrsquoentreprise aux pratiques geacuteneacuteralement accepteacutees et agrave la performance de lrsquoinformatique en termes drsquoefficaciteacute et drsquoefficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 166
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
GUIDE DE MANAGEMENT
SE4 Mettre en place une gouvernance des SI
De Entreacutees
PO4 Reacutefeacuterentiel des processus informatiques
PO5 Rapports coucirctsbeacuteneacutefices
PO9 Eacutevaluations des risques et rapports associeacutes
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
SE3 Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
Sorties Vers Ameacuteliorations du reacutefeacuterentiel des processus PO4 Etat de situation de la gouvernance des SI PO1 SE1 Reacutesultats attendus des investissements meacutetiers qui srsquoappuient sur les SI
PO5
Orientation strateacutegique de lrsquoentreprise pour les SI PO1 Appeacutetence de lrsquoentreprise pour le risque informatique PO9
Tableau RACI
Activiteacutes Mettre en place la supervision et lrsquoaide de la direction et du CA sur les activiteacutes informatiques A R C C C C
Reacuteviser approuver aligner et communiquer les performances la strateacutegie les ressources et la gestion des risques de lrsquoinformatique avec la strateacutegie des meacutetiers
A R I I R C
Obtenir une eacutevaluation peacuteriodique indeacutependante de la performance et de la conformiteacute aux politiques plans et proceacutedures
A R C I C I I I I I R
Reacutesoudre les problegravemes deacutetecteacutes par les eacutevaluations indeacutependantes et assurer la mise en œuvre des recommandations adopteacutees par le management
A R C I C I I I I I R
Geacuteneacuterer un rapport sur la gouvernance des SI A C C C R C I I I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de la gouvernance conformeacutement aux orientations du CA bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Assurer la conformiteacute aux lois et regraveglements bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave lrsquoinformatique figure sur lrsquoagenda du CA de faccedilon proactive bull Freacutequence des rapports sur les SI au CA agrave lrsquointention des parties concerneacutees (entre autres sur la maturiteacute) bull Nb de problegravemes informatiques reacutecurrents figurant agrave lrsquoagenda du CA
bull Freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull Nb de deacutefaillances de la gouvernance bull Freacutequence des revues indeacutependantes de conformiteacute des SI
bull Pourcentage du personnel formeacute agrave la gouvernance (ex codes de conduite) bull Nb drsquoofficiers drsquoeacutethique par service bull Freacutequence de la preacutesence de la gouvernance des SI sur lrsquoagenda des reacuteunions de pilotagestrateacutegie des SI bull Pourcentage de membres du CA formeacutes agrave la gouvernance des SI ou qui en ont lrsquoexpeacuterience bull Vieillissement des recommandations adopteacutees bull Freacutequence des rapports drsquoenquecirctes de satisfaction des parties prenantes faits au CA
Processus
bull Inteacutegrer la gouvernance des SI aux objectifs de la gouvernance drsquoentreprise bull Preacuteparer des rapports au CA complets et en temps opportun sur la strateacutegie la performance et les risques de lrsquoinformatique bull Reacutepondre aux interrogations et preacuteoccupations du CA sur la strateacutegie les performances et les risques de lrsquoinformatique bull Fournir une assurance indeacutependante sur la conformiteacute aux politiques plans et proceacutedures des SI
Activiteacutes
bull Mettre en place un cadre de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull Obtenir une assurance indeacutependante sur la situation de la gouvernance des SI
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 167
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
MODEgraveLE DE MATURITEacute
SE4 Mettre en place une gouvernance des SI
La gestion du processus Mettre en place une gouvernance des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique Inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats est
0 Inexistante quand
Il y a un manque complet de tout processus identifiable de gouvernance des SI Lentreprise nenvisage mecircme pas quil puisse y avoir lagrave un problegraveme agrave examiner et il ny a donc pas de communication sur ce thegraveme
1 Initialiseacutee au cas par cas quand
On admet qursquoil existe des problegravemes de gouvernance des SI agrave traiter Il existe des approches individuelles au cas par cas Lapproche du management est reacuteactive et la communication sur ces questions ainsi que la maniegravere de les traiter sont sporadiques et ne montrent aucune meacutethode Le management nrsquoa qursquoune ideacutee vague de la faccedilon dont lrsquoinformatique contribue aux performances de lrsquoactiviteacute Le management ne reacuteagit que lorsqursquoun incident a causeacute des pertes ou une gecircne agrave lentreprise
2 Reproductible mais intuitive quand
On est conscient des problegravemes de gouvernance des SI Cette activiteacute ainsi que les indicateurs de performance sont en cours de deacuteveloppement et incluent la planification informatique et les processus de deacutelivrance et de surveillance On seacutelectionne par des deacutecisions individuelles certains processus informatiques pour les ameacuteliorer Le management deacutetermine les eacutetalons de mesure de base de la gouvernance des SI ainsi que les meacutethodes et techniques deacutevaluation cependant ce processus nest pas encore adopteacute dans lensemble de lentreprise La communication sur les normes de la gouvernance et sur les responsabiliteacutes est laisseacutee agrave linitiative individuelle Certaines personnes pilotent des processus de gouvernance au sein de diffeacuterents projets et processus informatiques Les processus les outils et des meacutetriques pour mesurer la gouvernance des SI sont limiteacutes et ne sont pas toujours utiliseacutes faute de bien connaicirctre leurs fonctionnaliteacutes
3 Deacutefinie quand
Le management comprend lrsquoimportance et le besoin de gouvernance des SI et il en fait part agrave lrsquoentreprise On deacuteveloppe un premier ensemble dindicateurs de gouvernance des SI pour lesquels on deacutefinit et documente les liens entre les mesures de reacutesultats et les inducteurs de performance On standardise et documente les proceacutedures Le management fait de la communication sur ces proceacutedures standardiseacutees et des formations sont mises en place On deacutefinit des outils drsquoaide agrave la supervision de la gouvernance des SI On deacutefinit des tableaux de bord qui font partie du tableau de bord eacutequilibreacute des SI On laisse cependant agrave chacun linitiative de se former dadopter et dappliquer les normes Les processus sont eacuteventuellement surveilleacutes mais les anomalies mecircme si elles sont traiteacutees par des initiatives individuelles ne seront vraisemblablement pas deacutetecteacutees par le management
4 Geacutereacutee et mesurable quand
Les principes de gouvernance des SI sont pleinement compris agrave tous les niveaux On a clairement compris qui eacutetait le client on a deacutefini les responsabiliteacutes et on les surveille au moyen de contrats de services Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Les processus informatiques et la gouvernance des SI sont aligneacutes agrave la fois sur la strateacutegie de lentreprise et sur celle des SI Lameacutelioration des processus informatiques est baseacutee avant tout sur une analyse chiffreacutee des reacutesultats et il est possible de surveiller et de mesurer la conformiteacute aux meacutetriques des proceacutedures et des processus Toutes les parties prenantes des processus sont conscientes des risques mais aussi de limportance de linformatique et des opportuniteacutes quelle peut offrir Le management deacutefinit les marges de toleacuterance acceptables pour les processus Lutilisation des technologies est encore limiteacutee principalement tactique et baseacutee sur des techniques eacuteprouveacutees et sur lrsquoutilisation imposeacutee drsquooutils standard La gouvernance des SI est inteacutegreacutee agrave la planification strateacutegique et opeacuterationnelle et aux processus de surveillance On enregistre et on fait le suivi des indicateurs de performance pour toutes les activiteacutes de gouvernance des SI ce qui conduit agrave des ameacuteliorations agrave leacutechelle de lentreprise On sait clairement agrave qui a eacuteteacute attribueacutee la responsabiliteacute geacuteneacuterale de la performance des processus cleacutes et la mesure de cette performance sert de base agrave la reacutecompense du management
5 Optimiseacutee quand
La compreacutehension des principes de gouvernance des SI et de leur mise en œuvre est de bon niveau et orienteacutee vers lavenir La formation et la communication sappuient sur des concepts et des techniques de pointe On perfectionne les processus pour les amener au niveau des meilleures pratiques de la profession gracircce aux reacutesultats drsquoameacuteliorations continues et agrave la comparaison avec les autres entreprises baseacutee sur les modegraveles de maturiteacute La mise en place de politiques informatiques conduit agrave une organisation agrave des personnels et des processus qui sadaptent rapidement et qui sont en plein accord avec les exigences de la gouvernance des SI On pratique lanalyse causale de tous les problegravemes et de toutes les anomalies et on trouve rapidement des solutions efficaces quon met en œuvre sans tarder On utilise lrsquoinformatique largement et de faccedilon inteacutegreacutee et optimiseacutee pour automatiser les flux de travail et fournir des outils qui ameacuteliorent la qualiteacute et lefficaciteacute On sait quels sont les risques et les avantages des processus informatiques on cherche le bon eacutequilibre et on communique sur ce thegraveme dans lentreprise On mobilise des experts externes et on pratique des tests comparatifs pour se guider La surveillance lautoeacutevaluation et la communication agrave propos des attentes de la gouvernance se reacutepandent dans toute lentreprise et on utilise les technologies au mieux pour faciliter les mesures lanalyse la communication et la formation Il y a un lien strateacutegique entre la gouvernance dentreprise et celle des SI mobilisant les ressources technologiques humaines et financiegraveres pour accroicirctre lavantage concurrentiel de lentreprise Les activiteacutes de gouvernance des SI sont inteacutegreacutees au processus de gouvernance de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 168
AN
NE
XE
I
OB
JEC
TIF
S
ANNEXE I
TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS ET LES OBJECTIFS INFORMATIQUES
Cette annexe donne une vision globale de la faccedilon dont les objectifs des meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres drsquoinformation Il y a trois tableaux
1 Le premier tableau met en regard des objectifs des meacutetiers preacutesenteacutes selon les quatre dimensions du tableau de bord eacutequilibreacute les objectifs informatiques et les critegraveres drsquoinformation Cela aide agrave montrer pour un objectif meacutetier geacuteneacuterique donneacute les objectifs informatiques qui assistent typiquement cet objectif et les critegraveres drsquoinformation COBIT qui sont en rapport avec cet objectif meacutetier Les 17 objectifs meacutetiers pris en compte ne doivent pas ecirctre consideacutereacutes comme lrsquoensemble des objectifs meacutetiers possibles mais comme un extrait drsquoobjectifs meacutetiers pertinents ayant un impact certain sur les SI (objectifs meacutetiers relatifs agrave lrsquoinformatique)
2 Le second tableau met en regard les objectifs informatiques les processus informatiques COBIT impliqueacutes et les critegraveres drsquoinformation sur lesquels se base chaque objectif de lrsquoinformatique
3 Le troisiegraveme tableau inverse la lecture en montrant pour chaque processus informatique les objectifs informatiques concerneacutes
Les tableaux aident agrave visualiser le champ drsquoapplication de COBIT et les relations geacuteneacuterales entre COBIT et les facteurs qui influent sur lrsquoactiviteacute permettant aux objectifs meacutetiers typiquement relatifs agrave lrsquoinformatique drsquoecirctre relieacutes aux processus informatiques dont ils ont besoin via les objectifs informatiques Les tableaux se basent sur des objectifs geacuteneacuteriques Ils doivent donc ecirctre utiliseacutes comme un guide et adapteacutes aux speacutecificiteacutes de lrsquoentreprise
Pour permettre de faire le lien avec les critegraveres drsquoinformation utiliseacutes pour les exigences meacutetiers de la 3egrave eacutedition de COBIT les tableaux donnent aussi une indication des principaux critegraveres drsquoinformation relatifs aux objectifs meacutetiers et informatiques
Notes 1 Les critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs Les
critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs informatiques concerneacutes et une eacutevaluation subjective de ceux qui sont les plus pertinents pour les objectifs meacutetiers Nous nrsquoavons pas essayeacute drsquoindiquer srsquoils eacutetaient primaires ou secondaires Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs meacutetiers
2 Les reacutefeacuterences aux critegraveres drsquoinformation primaires et secondaires se basent sur une synthegravese entre les critegraveres de chaque processus informatique et une eacutevaluation subjective de ce qui est primaire et secondaire pour lrsquoobjectif informatique puisque certains processus ont plus drsquoimpact que drsquoautres sur lrsquoobjectif informatique Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs informatiques
AN
NE
XE
I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
ANNEXE 1 minus TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS
ET LES OBJECTIFS INFORMATIQUES
LIER LES OBJECTIFS METIERS AUX OBJECTIFS INFORMATIQUES
Objectifs meacutetiers Objectifs Informatiques Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
2221
27
20
26
19
26
24
22
28
18
23
24
20
15
21
11
13
17
22
25
10
12
11
13
20
6
11
28
14
18
23
24
16
5
8
4
7
8
19
13
5
8
11
24
2
2
3
5
10
1
7
2
6
7
2
2
1
7
5
9
Obtenir un bon retour sur investissement des investissements informatiques pour les meacutetiers
Geacuterer les risques meacutetiers lieacutes aux SI
Ameacuteliorer la gouvernance de lrsquoentreprise et la transparence
Ameacuteliorer lrsquoorientation client et le service client
Offrir des produits et des services compeacutetitifs
Assurer la continuiteacute et la disponibiliteacute des services
Deacutevelopper lrsquoagiliteacute pour srsquoadapter aux modifications des exigences des meacutetiers
Reacuteussir agrave optimiser les coucircts de la fourniture de services
Obtenir de lrsquoinformation fiable et utile pour prendre des deacutecisions strateacutegiques
Ameacuteliorer et maintenir agrave niveau le fonctionnement des processus meacutetiers
Abaisser les coucircts des processus
Assurer la conformiteacute aux lois reacuteglementations et contrats externes
Assurer la conformiteacute aux politiques internes
Geacuterer les changements meacutetiers
Ameacuteliorer et maintenir la productiviteacute opeacuterationnelle et celle du personnel
Geacuterer lrsquoinnovation produit et meacutetiers
Se procurer et conserver un personnel compeacutetent et motiveacute
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Perspectivefinanciegravere
Perspectiveclient
Perspectiveinterne
Perspectiveapprentissageet croissance
169
LIER LES OBJECTIFS INFORMATIQUES AUX PROCESSUS INFORMATIQUES A
NN
EX
E I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
Objectifs Informatiques Processus
Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
S
S
S
S
S
S
S
S
S
S
S
P
S
S
S
S
S
S
S
S
S
P
S
S
S
S
P
S
S
P
S
S
P
P
P
P
S
S
P
S
S
S
P
S
S
P
P
P
S
S
S
P
S
S
P
S
P
P
S
P
P
P
S
P
P
P
P
P
P
P
P
S
S
P
P
P
S
S
S
P
P
P
P
P
P
P
P
P
P
P
S
P
P
P
P
P
S
S
P
P
S
P
P
P
P
S
P
P
P
SE1DS3DS1
DS13
AI7
DS10
SE3
SE2
AI6
DS8
SE1
DS13
AI1
SE4
DS7
DS6
DS8
SE2
DS9
DS10
DS12
PO10
SE1
DS2
AI3
DS2
DS7
DS12
DS7
AI7
DS12
DS5
DS12
DS13
SE4
SE3
PO4
PO10
DS1
PO7
AI6
AI5
AI7
DS1
AI7
DS9
DS3
AI6
SE2
DS11
DS5
DS4
DS4
DS8
SE3
SE1
PO2
PO4
AI4
DS11
PO4
AI2
AI2
AI5
AI5
AI4
PO6
AI4
DS5
AI3
AI4
DS10
DS5
AI7
AI7
AI6
DS4
DS6
PO10
DS5
SE2
DS6
PO1
PO1
PO8
PO2
PO2
AI1
PO3
AI3
PO7
DS2
PO2
PO5
PO6
PO9
PO3
PO8
PO9
PO9
PO6
PO6
PO6
PO6
DS3
PO5
PO8
AI6
DS11
PO5
Reacuteagir aux exigences meacutetiers en accord avec la strateacutegie meacutetiers
Reacuteagir aux exigences de la gouvernance en accord avec les orientations du CA
Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services
Optimiser lrsquoutilisation de lrsquoinformation
Donner de lrsquoagiliteacute agrave lrsquoinformatique
Deacuteterminer comment traduire les exigences meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes
Acqueacuterir et maintenir fonctionnels des systegravemes applicatifs inteacutegreacutes et standardiseacutes
Acqueacuterir et maintenir opeacuterationnelle une infrastructure informatique inteacutegreacutee et standardiseacutee
Se procurer et conserver les compeacutetences neacutecessaires agrave la mise en œuvre de la strateacutegie informatique
Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les tiers
Srsquoassurer de lrsquointeacutegration progressive des solutions informatiques aux processus meacutetiers
Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI
Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques
Proteacuteger tous les actifs informatiques et en ecirctre comptable
Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
Reacuteduire le nombre de deacutefauts et de retraitements touchant la fourniture de solutions et de services
Proteacuteger lrsquoatteinte des objectifs informatiques
Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques
Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder
Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables
Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre
Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute
Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
Livrer les projets en temps et dans les limites budgeacutetaires en respectant les standards de qualiteacute
Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements
Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
170
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 171
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
OBJECTIFS INFORMATIQUES POUR CHAQUE PROCESSUS INFORMATIQUE
Reacutea
gir
au
x ex
igen
ces
meacutet
ier
en a
cco
rd a
vec
la s
trat
eacutegie
meacutet
ier
Reacutea
gir
au
x ex
igen
ces
de
la g
ou
vern
ance
en
acco
rd a
vec
les
ori
enta
tio
ns
du
CA
Srsquoa
ssu
rer
de
la s
atis
fact
ion
des
uti
lisat
eurs
fin
aux
agrave lrsquoeacute
gar
d d
eso
ffre
s et
des
niv
eau
x d
e se
rvic
es
Op
tim
iser
lrsquou
tilis
atio
n d
e lrsquoi
nfo
rmat
ion
Do
nn
er d
e lrsquoa
gili
teacute agrave
lrsquoin
form
atiq
ue
Deacutet
erm
iner
co
mm
ent
trad
uir
e le
s ex
igen
ces
meacutet
ier
de
fon
ctio
nn
emen
t et
de
con
trocirc
le e
n so
luti
on
s au
tom
atis
eacutees
effi
cace
s et
eff
icie
nte
s
Acq
ueacuter
ir e
t m
ain
ten
ir f
on
ctio
nn
els
des
sys
tegravem
es a
pp
licat
ifs
inteacute
greacute
s et
sta
nd
ard
iseacutes
Acq
ueacuter
ir e
t m
ain
ten
ir o
peacuter
atio
nn
elle
un
e in
fras
tru
ctu
rein
form
atiq
ue
inteacute
greacute
e et
sta
nd
ard
iseacutee
Se
pro
cure
r et
co
nse
rver
les
co
mp
eacuteten
ces
neacutec
essa
ires
agrave l
am
ise
en œ
uvr
e d
e la
str
ateacuteg
ie i
nfo
rmat
iqu
e
Srsquoa
ssu
rer
de
la s
atis
fact
ion
reacuteci
pro
qu
e d
ans
les
rela
tio
ns
avec
les
tier
s
Inteacute
gre
r p
rog
ress
ivem
ent
des
so
luti
on
s in
form
atiq
ues
au
xp
roce
ssu
s m
eacutetie
r
Srsquoa
ssu
rer
de
la t
ran
spar
ence
et
la b
on
ne
com
preacute
hen
sio
n d
esco
ucircts
beacuten
eacutefic
es s
trat
eacutegie
po
litiq
ues
et
niv
eau
x d
e se
rvic
esd
es S
I
Srsquoa
ssu
rer
drsquou
ne
bo
nn
e u
tilis
atio
n et
des
bo
nn
es p
erfo
rman
ces
des
ap
plic
atio
ns
et d
es s
olu
tio
ns
info
rmat
iqu
es
Pro
teacuteg
er t
ou
s le
s ac
tifs
in
form
atiq
ues
et
en ecirc
tre
com
pta
ble
Op
tim
iser
lrsquoin
fras
tru
ctu
re l
es r
esso
urc
es e
t le
s ca
pac
iteacutes
info
rm a
tiq
ues
Reacuted
uir
e le
no
mb
re d
e d
eacutefau
ts e
t d
e re
trai
tem
ents
to
uch
ant
lafo
urn
itu
re d
e so
luti
on
s et
de
serv
ices
Pro
teacuteg
er l
rsquoatt
ein
te d
es o
bje
ctif
s in
form
atiq
ues
Mo
ntr
er c
lair
emen
t le
s co
nseacute
qu
ence
s p
ou
r lrsquoe
ntr
epri
se d
esri
squ
es l
ieacutes
aux
ob
ject
ifs
et a
ux
ress
ou
rces
in
form
atiq
ues
Srsquoa
ssu
rer
qu
e li
nfo
rmat
ion
crit
iqu
e et
co
nfi
den
tiel
le n
rsquoest
pas
acce
ssib
le agrave
ceu
x qu
i ne
do
iven
t p
as y
acc
eacuteder
Srsquoa
ssu
rer
qu
e le
s tr
ansa
ctio
ns
meacutet
ier
auto
mat
iseacutee
s et
les
eacutech
ang
es d
rsquoinfo
rmat
ion
s so
nt
fiab
les
Srsquoa
ssu
rer
qu
e le
s se
rvic
es e
t lrsquoi
nfr
astr
uct
ure
in
form
atiq
ue
peu
ven
t reacute
sist
ers
e reacute
tab
lir c
on
ven
able
men
t en
cas
de
pan
ne
du
e agrave
un
e er
reu
r agrave
un
e at
taq
ue
deacutel
ibeacuter
eacutee o
u agrave
un
sin
istr
e
Srsquoa
ssu
rer
qu
rsquoun
inci
den
t o
u u
ne
mo
dif
icat
ion
dan
s la
fo
urn
itu
red
rsquoun
serv
ice
info
rmat
iqu
e n
rsquoait
qu
rsquoun
imp
act
min
imu
m s
ur
lrsquoact
ivit
eacute
Srsquoa
ssu
rer
qu
e le
s se
rvic
es i
nfo
rmat
iqu
es s
on
t d
isp
on
ible
s d
ans
les
con
dit
ion
s re
qu
ises
Am
eacutelio
rer
la r
enta
bili
teacute d
e lrsquoi
nfo
rmat
iqu
e et
sa
con
trib
uti
on
agrave la
pro
fita
bili
teacute d
e lrsquoe
ntr
epri
se
Liv
rer
les
pro
jets
en
tem
ps
et d
ans
les
limit
es b
ud
geacutet
aire
s en
resp
ecta
nt
les
stan
dar
ds
de
qu
alit
eacute
Mai
nte
nir
lrsquoin
teacuteg
riteacute
de
lrsquoin
form
atio
n et
de
lrsquoin
fras
tru
ctu
re d
etr
aite
m e
nt
Ass
ure
r la
co
nfo
rmit
eacute d
e lrsquoi
nfo
rmat
iqu
e au
x lo
is e
t regrave
gle
men
ts
Srsquoa
ssu
rer
qu
e lrsquoi
nfo
rmat
iqu
e fa
it p
reu
ve d
rsquoun
e q
ual
iteacute
dese
rvic
e ef
fici
ente
en
mat
iegravere
de
coucirc
ts d
rsquoam
eacutelio
rati
on
con
tin
ue
et d
e ca
pac
iteacute
agrave srsquo
adap
ter
agrave d
es c
han
gem
ents
fu
turs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
PO1 Deacutefinir un plan informatique strateacutegique
PO2 Deacutefinir larchitecture de lrsquoinformation
PO3 Deacuteterminer lorientation technologique
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO 5 Geacuterer les investissements informatiques
PO6 Faire connaicirctre les buts et les orientations du management
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO8 Geacuterer la qualiteacute
PO9 Eacutevaluer et geacuterer les risques
PO10 Geacuterer les projets
AI1 Trouver des solutions informatiques
AI2 Acqueacuterir des applications et en assurer la maintenance
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI5 Acqueacuterir des ressources informatiques
AI6 Geacuterer les changements
AI7 Installer et valider les solutions et les modifications
DS1 Deacutefinir et geacuterer les niveaux de services
DS2 Geacuterer les services tiers
DS3 Geacuterer la performance et la capaciteacute
DS4 Assurer un service continu
DS5 Assurer la seacutecuriteacute des systegravemes
DS6 Identifier et imputer les coucircts
DS7 Instruire et former les utilisateurs
DS8 Geacuterer le service drsquoassistance client et les incidents
DS9 Geacuterer la configuration
DS10 Geacuterer les problegravemes
DS11 Geacuterer les donneacutees
DS12 Geacuterer lrsquoenvironnement physique
DS13 Geacuterer lrsquoexploitation
SE1 Surveiller et eacutevaluer la performance des SI
SE2 Surveiller et eacutevaluer le controcircle interne
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE4 Mettre en place une gouvernance des SI
AN
NE
XE
I
172
ANNEXE II
RELATIONS DES PROCESSUS INFORMATIQUES AVEC LES DOMAINES DE LA GOUVERNANCE DES SI
LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT
Cette annexe met en regard les processus informatiques de COBIT et les cinq domaines de la gouvernance des SI les composantes du COSO les ressources informatiques et les critegraveres drsquoinformation Le tableau propose aussi un indicateur de lrsquoimportance relative (Haute Moyenne Basse) qui se base sur une eacutevaluation comparative disponible sur COBIT Online Cette grille montre sur une seule page et au niveau geacuteneacuteral comment le cadre de reacutefeacuterence de COBIT fait reacutefeacuterence aux exigences du COSO et de la gouvernance des SI et montre les relations entre les processus informatiques et les critegraveres drsquoinformation P indique une relation primaire S une relation secondaire Srsquoil nrsquoy a ni P ni S cela ne veut pas dire qursquoil nrsquoy a pas de relation mais qursquoelle est moins importante ou marginale Ces valeurs se basent sur les reacutesultats drsquoeacutetudes et sur lrsquoopinion drsquoexperts et ne sont que des indications Les utilisateurs doivent deacutecider quels sont les processus importants dans leur propre entreprise
AN
NE
XE
II
RE
LA
TIO
NS
PRO
CE
SSU
S
AN
NE
XE
II R
EL
AT
ION
S DE
S PR
OC
ESS
US IN
FOR
MA
TIQ
UE
S AV
EC
L
ES D
OM
AIN
ES D
E L
A G
OU
VE
RN
AN
CE
DE
S SI L
E C
OSO
LE
S RE
SSO
UR
CE
S INF
OR
MA
TIQ
UE
S CO
BIT
E
T L
ES C
RIT
EgraveR
ES D
rsquoINFO
RM
AT
ION
CO
BIT
IMPO
RTA
NCE
Domaine de la gouvernance des SI COSO Ressources SI COBIT Critegraveres drsquoinformation COBIT
Alignem
ent strateacutegique
Apport de valeur
Gestion des
ressources
Gestion des risques
Mesures de la
performance
Environnement de
controcircle
Eacutevaluation des risques
Activiteacutes de
controcircle
Information et
communication
Surveillance
Applications
Informations
Infrastructures
Personnes
Efficaciteacute
Efficience
Confidentialiteacute
Inteacutegriteacute
Disponibiliteacute
Conform
iteacute
Fiabiliteacute
Planifier et Organiser Deacutefinir un plan informatique strateacutegique
Deacutefinir larchitecture de lrsquoinformation
Deacuteterminer lorientation technologique
Deacutefinir les processus lorganisation et les relations de travail
Geacuterer les investissements informatiques
Faire connaicirctre les buts et les orientations du management
Geacuterer les ressources humaines de lrsquoinformatique
Geacuterer la qualiteacute
Eacutevaluer et geacuterer les risques
Geacuterer les projets
PO1
PO2
PO3
PO4
PO 5
PO6
PO7
PO8
PO9
PO10
H P S S P S S P S
B P S P S P P S P S P
M S S P S S P S P P
B S P P P S S P P
M S P S S S P P P S
M P P P P P S
B P P S S P S P P
M P S S P P S P P P S S
H P P P S S P P P S S
H P S S S S S S P S P P Acqueacuterir et Impleacutementer
Trouver des solutions informatiques
Acqueacuterir des applications et en assurer la maintenance
Acqueacuterir une infrastructure technique et en assurer la maintenance
Faciliter le fonctionnement et lrsquoutilisation
Acqueacuterir des ressources informatiques
Geacuterer les changements
Installer et valider les solutions et les modifications
AI1
AI2
AI3
AI4
AI5
AI6
AI7
M P P S S P P S
M P P S P P P S S
B P P S P S S
B S P S S P S P P S S S S
M S P P S P S
H P S S P S P P P P S
M S P S S S P S S P S S S Deacutelivrer et Supporter
Deacutefinir et geacuterer les niveaux de services
Geacuterer les services tiers
Geacuterer la performance et la capaciteacute
Assurer un service continu
Assurer la seacutecuriteacute des systegravemes
Identifier et imputer les coucircts
Instruire et former les utilisateurs
Geacuterer le service drsquoassistance client et les incidents
Geacuterer la configuration
Geacuterer les problegravemes
Geacuterer les donneacutees
Geacuterer lrsquoenvironnement physique
Geacuterer lrsquoexploitation
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M P P P P S P S S P P S S S S S
B P S P S P S P S P P S S S S S
B S S P S S P S P P S
M S P S P S S P S P S P
H P P S S P P S S S
B S P S P P P
B S P S P S P S
B S P S S P P P P
M P S P P S S S
M P S P S S P P S
H P P P P P P
B S P S P P P
B P P S P P S S Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
Surveiller et eacutevaluer le controcircle interne
Srsquoassurer de la conformiteacute aux obligations externes
Mettre en place une gouvernance des SI
SE1
SE2
SE3
SE4
H P S P P P S S S S S
M P P P P P S S S S S
H P P P S S P S
H P P P P P P S S P P P S S S S S
Note La grille du COSO est baseacutee sur le reacutefeacuterentiel original COSO Cette grille srsquoapplique aussi en geacuteneacuteral agrave lrsquoEnterprise Risk ManagementshyIntegrated Framework publieacute ensuite par le COSO qui eacutelargit le controcircle interne apportant un eacuteclairage plus robuste et plus eacutetendu sur le sujet plus large de la gestion du risque dans lrsquoentreprise Bien que COBIT ne soit pas conccedilu pour remplacer le reacutefeacuterentiel de controcircle interne original du COSO (il lrsquointegravegre en fait) les utilisateurs de COBIT peuvent choisir de se reacutefeacuterer agrave ce reacutefeacuterentiel de gestion du risque dans lrsquoentreprise agrave la fois pour satisfaire leurs besoins de controcircle interne et pour eacutevoluer vers un processus plus complet de gestion du risque
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
173
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 174
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Lrsquoannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lrsquoenvironnement de controcircle interne et ce qui existe comme controcircles internes dans une entreprise Elle montre comment la gestion du controcircle interne et la conscience du besoin de mettre en place de meilleurs controcircles internes font typiquement progresser drsquoun niveau donneacute agrave un niveau optimiseacute Ce modegravele propose un guide geacuteneacuteral pour aider les utilisateurs de COBIT agrave juger de ce qui est neacutecessaire pour des controcircles internes efficaces de lrsquoinformatique et pour les aider agrave positionner leur entreprise par rapport au modegravele de maturiteacute
AN
NE
XE
III
M
AT
UR
ITEacute
CO
NT
ROcirc
LE
S
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Niveau de maturiteacute Situation de lrsquoenvironnement de controcircle interne Mise en place de controcircles internes
0 Inexistant On ne reconnaicirct pas le besoin drsquoun controcircle interne Le controcircle ne fait pas partie de la culture ou de la mission de lrsquoentreprise Il existe un risqueacute eacuteleveacute de deacutefaillances des controcircles et drsquoincidents
On nrsquoest pas deacutecideacute agrave eacutevaluer le besoin drsquoun controcircle interne On traite les incidents quand ils surviennent
1 Initialiseacute On reconnaicirct en partie le besoin drsquoun controcircle interne Lrsquoapproche On nrsquoest pas conscient du besoin drsquoune eacutevaluation de ce qui est au cas par cas du risque et des exigences de controcircle se fait au cas par cas est
mal organiseacutee sans communication ni surveillance On ne sait pas identifier les deacutefaillances Les employeacutes ne sont pas conscients de leurs responsabiliteacutes
neacutecessaire pour les controcircles de lrsquoinformatique Lorsqursquoon en fait ce nrsquoest qursquoau cas par cas agrave un niveau geacuteneacuteral et en reacuteaction agrave des incidents seacuterieux Les eacutevaluations ne concernent que les incidents aveacutereacutes
2 Reproductible Les controcircles sont en place mais ils ne sont pas documenteacutes Leur Lrsquoeacutevaluation des besoins en controcircles nrsquoa lieu que lorsqursquoil est mais intuitif fonctionnement deacutepend des connaissances et des motivations
drsquoindividus particuliers Lrsquoeacutevaluation de lrsquoefficaciteacute nrsquoest pas bien faite Les controcircles ont de nombreuses faiblesses et on ne les utilise pas comme il faut les conseacutequences peuvent ecirctre graves Les actions du management pour reacutesoudre les problegravemes du controcircle ne sont ni hieacuterarchiseacutees ni logiques Les employeacutes ne sont pas toujours conscients de leurs responsabiliteacutes agrave lrsquoeacutegard du controcircle
neacutecessaire de deacuteterminer pour certains processus informatiques particuliers le niveau actuel de maturiteacute des controcircles la cible viseacutee et lrsquoeacutecart qui existe On utilise une approche informelle drsquoatelier de travail avec les responsables de lrsquoinformatique et lrsquoeacutequipe impliqueacutee dans le processus pour deacutefinir une approche adeacutequate des controcircles pour ce processus et pour convenir drsquoun plan drsquoaction
3 Deacutefini Les controcircles sont en place et ils sont correctement documenteacutes On eacutevalue peacuteriodiquement lrsquoefficaciteacute fonctionnelle et le nombre de problegravemes nrsquoest ni tregraves eacuteleveacute ni tregraves bas En revanche le processus drsquoeacutevaluation nrsquoest pas documenteacute Bien que le management soit capable de traiter couramment les problegravemes de controcircle certaines faiblesses persistent qui pourraient encore avoir de graves conseacutequences Les employeacutes sont conscients de leurs responsabiliteacutes agrave lrsquoeacutegard des controcircles
On a identifieacute les processus informatiques critiques en fonction drsquoinducteurs de valeur et de risques On fait une analyse deacutetailleacutee pour deacuteterminer les exigences de controcircle et les causes des carences et pour trouver des possibiliteacutes drsquoameacutelioration En plus drsquoateliers organiseacutes on utilise des outils et on pratique des entretiens pour enrichir lrsquoanalyse et pour srsquoassurer que les processus drsquoeacutevaluation et drsquoameacutelioration sont bien attribueacutes agrave un proprieacutetaire et que celui-ci les met en œuvre
4 Geacutereacute et mesurable Il existe un environnement de gestion du controcircle interne et du risque efficace On fait freacutequemment une eacutevaluation documenteacutee des controcircles De nombreux controcircles sont automatiseacutes et reacuteguliegraverement examineacutes Le management deacutetecte la plupart des problegravemes lieacutes aux controcircles mais ce nrsquoest pas systeacutematique Il existe un suivi seacuterieux qui permet de traiter les faiblesses reconnues des controcircles Lrsquoinformatique est utiliseacutee de faccedilon limiteacutee et tactique pour automatiser les controcircles
Lrsquoaspect critique des processus informatiques est reacuteguliegraverement deacutetermineacute avec le soutien et lrsquoaccord complets des proprieacutetaires de processus meacutetiers concerneacutes Lrsquoeacutevaluation des exigences de controcircle se base sur la politique et sur le niveau de maturiteacute de ces processus selon une analyse complegravete et chiffreacutee qui implique les parties prenantes les plus concerneacutees On sait clairement qui a la responsabiliteacute finale de ces eacutevaluations et on veacuterifie qursquoil lrsquoassume Les strateacutegies drsquoameacutelioration srsquoappuient sur des analyses de rentabiliteacute On veacuterifie constamment si la performance aboutit au reacutesultat souhaiteacute On organise occasionnellement des revues de controcircles externes
5 Optimiseacute Lrsquoentreprise a un programme geacuteneacuteral risquecontrocircle qui permet de reacutesoudre les problegravemes de faccedilon efficace et continue La gestion du controcircle et du risque est inteacutegreacutee dans les pratiques de lrsquoentreprise assisteacutee par une surveillance automatique en temps reacuteel et la responsabiliteacute finale de la surveillance des controcircles de la gestion des risques et du respect de la conformiteacute est pleinement assumeacutee Lrsquoeacutevaluation des controcircles est continue baseacutee sur des autoshyeacutevaluations et sur lrsquoanalyse des carences et des causes Les employeacutes srsquoimpliquent activement dans lrsquoameacutelioration des controcircles
Les modifications meacutetiers prennent en compte la dimension critique des processus informatiques et couvrent tous les besoins de reacuteeacutevaluation des capaciteacutes des controcircles des processus Les proprieacutetaires de processus informatiques effectuent reacuteguliegraverement des auto-eacutevaluations pour confirmer que les controcircles sont au bon niveau de maturiteacute pour satisfaire les besoins meacutetiers et ils prennent en compte les attributs de maturiteacute pour trouver comment rendre les controcircles plus efficients et plus efficaces Lrsquoentreprise se compare aux bonnes pratiques externes et cherche des conseils agrave lrsquoexteacuterieur sur lrsquoefficaciteacute du controcircle interne Pour les processus cruciaux on fait des revues indeacutependantes pour apporter lrsquoassurance raisonnable que les controcircles sont au niveau de maturiteacute deacutesireacute et qursquoils fonctionnent selon les preacutevisons
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 175
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 176
ANNEXE IV
DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
AN
NE
XE
IV
DO
CU
ME
NT
S D
E R
EacuteFEacute
RE
NC
E
ANNEXE IV
ANNEXE IV minus DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
Pour les activiteacutes de deacuteveloppement et de mise agrave jour preacuteceacutedentes de COBIT une importante base de 40 standards internationaux deacutetailleacutes relatifs agrave lrsquoinformatique de reacutefeacuterentiels guides et meilleures pratiques a eacuteteacute utiliseacutee pour garantir lrsquoexhaustiviteacute de COBIT dans son approche de tous les domaines de gouvernance et de controcircle des SI
Comme COBIT srsquointeacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequat des SI il se positionne au niveau geacuteneacuteral Les standards et les meilleures pratiques informatiques deacutecrivent cependant en deacutetail comment geacuterer et controcircler les aspects speacutecifiques de lrsquoinformatique COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un cadre de reacutefeacuterence geacuteneacuteral qui fait ausi le lien avec les exigences de gouvernance et les exigences des meacutetiers
Pour cette mise agrave jour de COBIT (COBIT 41) six des standards reacutefeacuterentiels et pratiques les plus reconnus mondialement ont eacuteteacute pris en compte comme reacutefeacuterences majeures garantissant que la couverture la coheacuterence et lrsquoalignement soient les meilleurs possibles Ce sont
bull COSO Internal Control-Integrated Framework 1994 Enterprise Risk Mangement-Integrated Framework 2004
bull Office of Government Commerce (OGCreg) IT Infrastructure Libraryreg (ITILreg) 1999-2004
bull International Organisation for Standardisation ISOIEC 27000
bull Software Engineering Institute (SEIreg) SEI Capability Maturity Model (CMMreg) 1993 SEI Capability Maturity Model Integration (CMMIreg) 2000
bull Project Management Institute (PMIreg) A Guide to the Project Management Body of Knlowledge (PMBOKreg) 2004
bull Information Security Forum (ISF) The Standard of Good Practice for Information Security 2003
Des reacutefeacuterences compleacutementaires ont eacuteteacute utiliseacutees pour COBIT 41 bull IT Control Objectives for Sarbanes-Oxley The Role of IT in the Design and Implementation of Internal Control Over Financial
Reporting 2nd Edition IT Governance Institute USA 2006 bull CISA Review Manual ISACA 2006
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 177
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 178
ANNEXE V
CORRESPONDANCE ENTRE COBIT 3EgraveME EacuteDITION ET COBIT 41
AN
NE
XE
V
CO
MPA
RA
ISO
N C
OB
IT 3
CO
BIT
41
ANNEXE V ANNEXE V minus CORRESPONDANCE ENTRE COBIT 3Egrave EacuteDITION ET COBIT 41
Modifications au niveau du Cadre de Reacutefeacuterence Les modifications majeures au cadre de reacutefeacuterence de COBIT reacutesultant de la mise agrave jour COBIT 40 sont les suivantes bull Le domaine S est devenu SE pour Surveiller et Eacutevaluer bull S3 et S4 eacutetaient des processus drsquoaudit et non des processus informatiques On les a enleveacutes puisqursquoils sont correctement traiteacutes par un
certain nombre de standards drsquoaudit informatique mais on a fourni un certain nombre de reacutefeacuterences dans la mise agrave jour du cadre de reacutefeacuterence pour souligner le besoin qursquoa le management de disposer des fonctions drsquoassurance et de les utiliser
bull SE3 est le processus qui srsquointeacuteresse agrave la supervision reacuteglementaire laquelle eacutetait auparavant couverte par PO8 bull SE4 concerne le processus de supervision des SI par la gouvernance ce qui correspond agrave lrsquoambition de COBIT drsquoecirctre un reacutefeacuterentiel de
gouvernance des SI En positionnant ce processus en dernier on a voulu souligner que tous les autres processus preacuteceacutedents contribuent au but ultime qui consiste agrave mettre en place une gouvernance efficace des SI dans lrsquoentreprise
bull Du fait que PO8 a eacuteteacute supprimeacute et pour conserver la numeacuterotation de PO9 Eacutevaluer les risques et de PO10 Geacuterer les projets comme dans COBIT 3e eacutedition PO8 devient maintenant Geacuterer la qualiteacute lrsquoancien processus PO11 Le domaine PO a donc deacutesormais 10 processus au lieu de 11
bull Le domaine AI a neacutecessiteacute deux modifications lrsquoajout drsquoun processus achats et le besoin drsquoinclure dans AI5 les aspects de la gestion des versions Ces derniegraveres modifications ont fait penser que ce processus devrait ecirctre le dernier du domaine AI il est donc devenu AI7 Le creacuteneau ainsi libeacutereacute en AI5 a eacuteteacute utiliseacute pour ajouter le nouveau processus achats Le domaine AI a deacutesormais 7 processus au lieu de 6
COBIT 41 est une version increacutementale de COBIT 40 comprenant bull Une ameacutelioration de la partie Synthegravese bull Une preacutesentation des objectifs et des meacutetriques dans la partie Cadre de Reacutefeacuterence bull De meilleures deacutefinitions des concepts essentiels Il est important de mentionner que la deacutefinition de lrsquoobjectif de controcircle a eacutevolueacutee pour
devenir davantage lrsquoexposeacute drsquoune pratique de management bull Une ameacutelioration des objectifs de controcircle reacutesultant drsquoune mise agrave jour des pratiques de controcircle et de la prise en compte de Val IT Certains
objectifs de controcircle ont eacuteteacute regroupeacutes etou reacuteeacutecrits pour eacuteviter les redondances et rendre la liste des objectifs de controcircle plus coheacuterente Il en a reacutesulteacute une renumeacuterotation des objectifs de controcircle restants Quelques objectifs de controcircle ont eacuteteacute reacuteeacutecrits afin de les rendre plus coheacuterents et davantage tourneacutes vers lrsquoaction Plus preacuteciseacutement minus AI55 et AI56 ont eacuteteacute regroupeacutes avec AI54 minus AI 79 AI710 et AI711 ont eacuteteacute regroupeacutes avec AI78 minus SE3 integravegre deacutesormais la conformiteacute aux obligations contractuelles en plus des obligations leacutegales et reacuteglementaires
bull Les controcircles applicatifs ont eacuteteacute retravailleacutes afin de les rendre plus efficaces pour aider agrave eacutevaluer et rendre compte de lrsquoefficaciteacute des controcircles Il en reacutesulte une liste de six controcircles applicatifs au lieu des 18 de COBIT 40 avec des deacutetails additionnels provenant des Pratiques de Controcircle COBIT 2egraveme version
bull La liste des objectifs meacutetiers et informatiques de lrsquoAnnexe I a eacuteteacute ameacutelioreacutee sur la base drsquoun nouveau regard reacutesultant des travaux de recherche meneacutes par lrsquoEcole de Management de Universiteacute drsquoAnvers (Belgique)
bull Le hors texte a eacuteteacute enrichi Il integravegre une liste de reacutefeacuterence rapide des processus COBIT et le diagramme de synthegravese de description des domaines a eacuteteacute revu afin drsquointeacutegrer une reacutefeacuterence aux controcircles de processus et aux controcircles applicatifs du Cadre de Reacutefeacuterence COBIT
bull Les ameacuteliorations proposeacutees par les utilisateurs de COBIT (COBIT 40 et COBIT Online) ont eacuteteacute revues et inteacutegreacutees quand cela eacutetait opportun
Objectifs de Controcircle Comme on peut le comprendre drsquoapregraves ce que nous venons drsquoexpliquer sur les modifications au niveau du cadre de reacutefeacuterence et sur le travail qui a permis de clarifier et de recentrer le contenu des objectifs de controcircle la mise agrave jour du cadre de reacutefeacuterence de COBIT a significativement modifieacute les objectifs de controcircle Ces composants ont eacuteteacute reacuteduits de 215 agrave 210 parce que tous les eacuteleacutements geacuteneacuteriques ne se retrouvent deacutesormais plus qursquoau niveau du cadre de reacutefeacuterence et ils ne sont pas reproduits pour chaque processus De mecircme toutes les reacutefeacuterences aux controcircles applicatifs ont migreacute vers le cadre de reacutefeacuterence et les objectifs de controcircle speacutecifiques ont eacuteteacute regroupeacutes dans de nouvelles rubriques Pour aider agrave faire la transition dans ce contexte les deux ensembles de tableaux qui suivent eacutetablissent des reacutefeacuterences croiseacutees entre les nouveaux objectifs de controcircle et les anciens
Guide de Management On a ajouteacute des entreacutees et des sorties pour illustrer ce dont les processus ont besoin (entreacutees) et ce qursquoen principe on attend drsquoeux (sorties) On a aussi preacutesenteacute les activiteacutes et les responsabiliteacutes qui y sont associeacutees Les entreacutees et les objectifs activiteacute remplacent les facteurs critiques de succegraves de COBIT 3e eacutedition Les meacutetriques sont deacutesormais baseacutees sur une deacuteclinaison coheacuterente drsquoobjectifs meacutetiers informatique processus et activiteacutes Les ensembles de meacutetriques de COBIT 3e eacutedition ont aussi eacuteteacute reacuteviseacutes et ameacutelioreacutes pour les rendre plus repreacutesentatifs et plus mesurables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 179
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 3e eacutedition agrave C OBIT 41
COBIT 3e eacutedition COBIT 41 PO1 Deacutefinir un plan informatique strateacutegique 11 Inteacutegration des TI au plan agrave 14 long et agrave court terme de lentreprise 12 Plan informatique agrave long 14 terme 13 Approche et structure de la 14 planification des TI agrave long terme 14 Modifications du plan 14 informatique agrave long terme 15 Planification agrave court terme 15 de la fonction informatique 16 Communication des plans 14 informatiques 17 Surveillance et eacutevaluation 13 des plans informatiques 18 Eacutevaluation des systegravemes 13 existants PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO4 Deacutefinir lorganisation et les relations de travail
COBIT 3e eacutedition 41 Comiteacute de planification ou de pilotage de la fonction informatique
COBIT 41 43
42 Position de la fonction informatique au sein de lentreprise
44
43 Reacutevision des reacutealisations de la fonction
45
44 Rocircles et responsabiliteacutes 46 45 Responsabiliteacute de lassurance qualiteacute
47
46 Responsabiliteacute de la seacutecuriteacute physique et logique
48
47 Statuts de proprieacutetaire et de gardien
49
48 Proprieacuteteacute des donneacutees et du systegraveme
49
49 Supervision 410 410 Seacuteparation des tacircches 411 411 Gestion du personnel informatique
412
412 Description des fonctions ou des postes du personnel de la fonction informatique
46
413 Personnel cleacute des TI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations de travail 415 PO5 Geacuterer linvestissement informatique 51 Budget annuel de fonctionnement de la fonction informatique
53
52 Surveillance des coucircts et des gains
54
53 Justification des coucircts et des gains
11 54 55
PO6 Faire connaicirctre les buts et orientations du management 61 Dispositif de controcircle positif de linformation
61
62 Responsabiliteacute du management vis-agrave-vis des politiques
63 64 65
63 Communication des politiques de lentreprise
63 64 65
64 Ressources utiliseacutees pour la mise en œuvre de la politique
64
65 Maintenance des politiques 63 64 66 Conformiteacute aux politiques aux proceacutedures et aux standards
63 64 65
67 Engagement vis-agrave-vis de la qualiteacute
63 64 65
68 Cadre de seacutecuriteacute et de controcircle interne
62
69 Droits relatifs agrave la proprieacuteteacute intellectuelle
63 64 65
610 Politiques speacutecifiques 63 64 65 611 Sensibilisation agrave la seacutecuriteacute informatique
63 64 65
PO7 Geacuterer les ressources humaines 71 Recrutement et promotion du personnel
71
72 Qualification du personnel 72 73 Rocircles et responsabiliteacutes 74 74 Formation 75 75 Organisation des remplacements ou formations croiseacutees
76
COBIT 3e eacutedition 76 Proceacutedures de seacutecuriteacute concernant le personnel
COBIT 41 77
77 Eacutevaluation des performances
78
78 Gestion des changements de poste et des deacuteparts
78
PO8 Se conformer aux exigences externes 81 Revue des impeacuteratifs externes
SE31
82 Pratiques et proceacutedures pour se conformer aux exigences externes
SE32
83 Conformiteacute en matiegravere de seacutecuriteacute et dergonomie
SE31
84 Vie priveacutee proprieacuteteacute intellectuelle et transfert de donneacutees
SE31
85 Commerce eacutelectronique SE31 86 Conformiteacute des contrats dassurance
SE31
PO9 Eacutevaluer les risques91 Eacutevaluation du risque dentreprise
91 92 94
92 Approche drsquoeacutevaluation des risques
94
93 Identification des risques 93 94 Evaluation des risques 91 92 93
94 95 Plan daction pour parer aux risques
95
96 Acceptation des risques 95 97 Choix des mesures de sauvegarde
95
98 Engagement dans leacutevaluation des risques
91
PO10 Geacuterer des projets 101 Structure de gestion de projets
102
102 Participation du deacutepartement utilisateur agrave linitialisation du projet
104
103 Appartenance agrave leacutequipe projet et responsabiliteacutes
108
104 Deacutefinition du projet 105 105 Approbation du projet 106 106 Approbation des phases du projet
106
107 Plan directeur du projet 107 108 Plan dassurance qualiteacute du systegraveme
1010
109 Planification des meacutethodes dassurance qualiteacute
1012
1010 Gestion formelle des risques du projet
109
1011 Plan de test AI72 1012 Plan de formation AI71 1013 Plan de reacutevision apregraves mise en œuvre
1014 (partiel)
PO11 Geacuterer la qualiteacute 111 Plan geacuteneacuteral de qualiteacute 85 112 Approche de lassurance qualiteacute
81
113 Planification de lrsquoassurance qualiteacute
81
114 Reacutevision par lassurance qualiteacute du respect des normes et des proceacutedures de la fonction informatique
81 82
115 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 180
ANNEXE V COBIT 3e eacutedition 116 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes lors de modifications majeures agrave effectuer sur la technologie existante
COBIT 41 82 83
117 Mise agrave jour de la meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
118 Coordination et 82 communication
COBIT 3e eacutedition 119 Cadre dacquisition et de maintenance de linfrastructure technologique
COBIT 41 82
1110 Relations avec les tiers DS23 chargeacutes du deacuteveloppement 1111 Normes de AI42 AI43 documentation des AI44 programmes 1112 Normes de test des AI72 AI74 programmes 1113 Normes de test des AI72 AI74 systegravemes
COBIT 3e eacutedition 1114 Test en parallegravelesur pilote
COBIT 41 AI72 AI74
1115 Documentation des tests AI72 AI74 1116 Assurance qualiteacute et eacutevaluation du respect des normes de deacuteveloppement
82
1117 Assurance qualiteacute et revue de latteinte des objectifs de la fonction informatique
82
1118 Indicateurs de qualiteacute 86 1119 Comptes-rendus des revues dassurance qualiteacute
82
COBIT 3e eacutedition COBIT 41 AI1 Trouver des solutions informatiques
11 Deacutefinition des besoins dinformation
11
12 Formulation des solutions alternatives
13 51 PO14
13 Formulation de la strateacutegie dachat
13 51 PO14
14 Exigences pour les services fournis par des tiers
51 53
15 Eacutetude de faisabiliteacute technologique
13
16 Eacutetude de faisabiliteacute eacuteconomique
13
17 Architecture de linformation 13
18 Rapport danalyse des risques
12
19 Controcircles du rapport coucirctefficaciteacute de la seacutecuriteacute
11 12
110 Conception des pistes daudit
11 12
111 Ergonomie 11 112 Seacutelection du logiciel systegraveme
11 13
113 Controcircle des achats 51 114 Acquisition de logiciels 51
115 Maintenance des logiciels par des tiers
54
116 Programmation dapplications sous contrat
54
117 Reacuteception des eacutequipements
54
118 Reacuteception de technologie 31 32 33 54
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Meacutethodes de conception 21 22 Modifications majeures dun systegraveme existant
21 22 26
COBIT 3e eacutedition COBIT 41 23 Approbation de la conception
21
24 Deacutefinition des exigences en matiegravere de fichiers et documentation
22
25 Speacutecifications des programmes
22
26 Conception de la collecte des donneacutees sources
22
27 Deacutefinition et documentation des exigences de saisie
22
28 Deacutefinition des interfaces 22 29 Interface homme - machine 22 210 Deacutefinition et documentation des exigences de traitement
22
211 Deacutefinition et documentation des exigences des sorties
22
212 Les controcircles 23 24 213 La disponibiliteacute facteur cleacute de la conception
22
214 Dispositions pour preacuteserver linteacutegriteacute des applications
23 DS115
215 Tests des applications 28 74 216 Manuels utilisateurs et mateacuteriels de support
43 44
217 Reacuteeacutevaluation de la conception des systegravemes
22
AI3 Acqueacuterir une infrastructure technologique et en assurer la maintenance 31 Eacutevaluation des nouveaux mateacuteriels et logiciels
31 32 33
32 Maintenance preacuteventive du mateacuteriel
DS135
33 Seacutecuriteacute des logiciels systegravemes
31 32 33
34 Installation des logiciels systegravemes
31 32 33
35 Maintenance des logiciels systegravemes
33
36 Controcircle des modifications des logiciels systegravemes
61 73
COBIT 3e eacutedition COBIT 41 37 Utilisation et surveillance des utilitaires systegraveme
32 33 DS93
AI4 Deacutevelopper les proceacutedures et en assurer la maintenance 41 Besoins dexploitation et niveaux de service
41
42 Manuel des proceacutedures utilisateurs
42
43 Manuel dexploitation 44 44 Supports de formation 43 44 AI5 Installer les systegravemes et les valider 51 Formation 71 52 Eacutevaluation des performances des logiciels dapplication
76 DS31
53 Plan de mise en place 72 73 54 Conversion du systegraveme 75 55 Conversion des donneacutees 75 56 Strateacutegie et plans de tests 72 57 Test des modifications 74 76 58 Critegraveres et performances des tests en parallegravelesur pilote
76
59 Tests de recette deacutefinitive 77 510 Tests de seacutecuriteacute et validation
76
511 Tests dexploitation 76 512 Transfert en production 78 513 Eacutevaluation de ladeacutequation de lapplication aux besoins des utilisateurs
79
514 Revue par le management apregraves mise en place
79
AI6 Geacuterer les changements 61 Lancement et controcircle des demandes de modification
61 64
62 Eacutevaluation de limpact 62 63 Controcircle des modifications 79 64 Modifications durgence 63 65 Documentation et proceacutedures
65
66 Maintenance autoriseacutee DS53 67 Preacuteparation de la diffusion des logiciels
79
68 Diffusion des logiciels 79
COBIT 3e eacutedition COBIT 41 DS1 Deacutefinir et geacuterer des niveaux de services 11 Contrat de niveaux de services
11
12 Contenu des contrats de servivce
13
13 Proceacutedures de fonctionnement
11
14 Surveillance et comptesshyrendus
15
COBIT 3e eacutedition COBIT 41 15 Revue des conventions de 16 niveaux de services et des contrats 16 Charges facturables 13 17 Programme dameacutelioration de service
16
DS 2 Geacuterer des services tiers 21 Interfaces fournisseurs 21 22 Titulaire de la relation 22 23 Contrats avec des tiers AI52 24 Qualification des tiers AI53 25 Contrat dexternalisation AI52
COBIT 3e eacutedition 26 Continuiteacute des services
COBIT 41 23
27 Relations seacutecuriteacute 23 28 Surveillance 24 DS3 Geacuterer la performance et la capaciteacute 31 Impeacuteratifs de disponibiliteacute et de performance
31
32 Plan de disponibiliteacute 34 33 Surveillance et comptesshyrendus
35
34 Outils de modeacutelisation 31 35 Gestion proactive de la performance
33
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 181
COBIT41 COBIT 3e eacutedition 36 Preacutevisions de charge de travail
COBIT 41 33
37 Gestion de la capaciteacute des ressources
32
38 Disponibiliteacute des ressources 34 39 Planification des ressources 34 DS4 Assurer un service continu 41 Plan de continuiteacute informatique
41
42 Plan de continuiteacute informatique strateacutegie et philosophie
41
43 Contenu du plan de continuiteacute informatique
42
44 Minimiser les besoins de continuiteacute informatique
43
45 Maintenance du plan de continuiteacute informatique
44
46 Test du plan de continuiteacute informatique
45
47 Formation au plan de continuiteacute informatique
46
48 Diffusion du plan de continuiteacute informatique
47
49 Proceacutedures alternatives de traitement pour le secours des deacutepartements utilisateurs
48
410 Ressources informatiques critiques
43
411 Site et mateacuteriel de secours 48 412 Sauvegarde hors site 49 413 Proceacutedures deacutevaluation apregraves sinistre
410
DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion des mesures de seacutecuriteacute
51
52 Identification authentification et accegraves
53
53 Seacutecuriteacute daccegraves en ligne aux donneacutees
53
54 Gestion des comptes utilisateurs
54
55 Revue des comptes utilisateurs par le management
54
56 Controcircle des utilisateurs sur leurs comptes
54 55
57 Surveillance de la seacutecuriteacute 55 58 Classification des donneacutees PO23 59 Gestion centraliseacutee des identifiants et des droits daccegraves
53
510 Rapports dactiviteacute sur la seacutecuriteacute et les violations de la seacutecuriteacute
55
511 Gestion des incidents 56 512 Proceacutedure de revalidation 51 513 Controcircle des contreparties 53 CA6 514 Autorisation des transactions
53
515 Non-reacutepudiation 511 516 Chemin seacutecuriseacute 511 517 Protection des fonctions de seacutecuriteacute
57
518 Gestion des clefs de chiffrement
58
519 Preacutevention deacutetection et correction des virus
59
COBIT 3e eacutedition 520 Architectures de pare-feu (firewall) et connexions aux reacuteseaux publics
COBIT 41 510
521 Protection des valeurs eacutelectroniques
134
DS6 Identifier et imputer les coucircts 61 Charges facturables 61 62 Proceacutedures deacutevaluation des coucircts
63
63 Proceacutedures dimputation et de refacturation aux utilisateurs
62 64
DS7 Instruire et former les utilisateurs 71 Identification des besoins de formation
71
72 Organisation de la formation 72 73 Sensibilisation et formation aux regravegles de seacutecuriteacute
PO74
DS8 Aider et conseiller les clients 81 Assistance help desk 81 85 82 Enregistrement des demandes des clients
82 83 84
83 Escalade des demandes des clients
83
84 Surveillance du traitement 103 85 Analyse des tendances et compte-rendu
101
DS9 Geacuterer la configuration 91 Enregistrement de la configuration
91
92 Configuration de base 91 93 Situation comptable 93 94 Controcircle de configuration 93 95 Logiciels non autoriseacutes 93 96 Stockage des logiciels AI34 97 Proceacutedures de gestion de la configuration
92
98 Responsabiliteacute des logiciels 91 92 DS10 Geacuterer les problegravemes et les incidents 101 Systegraveme de gestion des problegravemes
101 102 103 104
102 Escalade des problegravemes 102 103 Suivi des problegravemes et piste daudit
82 102
104 Autorisations daccegraves temporaires ou en urgence
54 123 AI63
105 Prioriteacutes des traitements durgence
101 83
DS11 Geacuterer les donneacutees 111 Proceacutedures de preacuteparation de donneacutees
CA1
112 Proceacutedures dautorisation des documents sources
CA1
113 Collecte des donneacutees des documents sources
CA1
114 Traitement des erreurs dans les documents sources
CA1
115 Conservation des documents sources
DS112
116 Proceacutedures dautorisation dentreacutee de donneacutees
CA2
117 Controcircles dexactitude drsquoexhaustiviteacute et dautorisation
CA3
118 Traitement des erreurs de saisie de donneacutees
CA2 CA4
119 Inteacutegriteacute du traitement des donneacutees
CA4
1110 Validation et preacuteparation du traitement des donneacutees
CA4
COBIT 3e eacutedition COBIT 41 1111 Gestion des erreurs de CA4 traitement des donneacutees 1112 Traitement et CA5 112 conservation des fichiers de sortie 1113 Distribution des sorties CA5 CA6 1114 Reacuteconciliation et ajustage CA5 des sorties 1115 Revue des sorties et CA5 traitement des erreurs 1116 Clauses de seacutecuriteacute des 116 eacutetats en sortie 1117 Protection des CA6 116 informations sensibles pendant la transmission et le transport 1118 Protection des 114 CA6 informations sensibles mises agrave disposition 1119 Gestion du stockage 112 1120 Peacuteriodes de conservation 112 et conditions de stockage 1121 Systegraveme de gestion de la meacutediathegraveque
113
1122 Responsabiliteacutes de la 113 gestion de la meacutediathegraveque 1123 Sauvegarde et 115 restauration 1124 Travaux de sauvegarde 114 1125 Stockage des sauvegardes
49 113
1126 Archivage 112 1127 Protection des messages sensibles
116
1128 Authentification et CA6 inteacutegriteacute 1129 Inteacutegriteacute des transactions eacutelectroniques
511
1130 Inteacutegriteacute permanente des 112 donneacutees enregistreacutees DS12 Geacuterer les installations 121 Seacutecuriteacute physique 121 122 122 Discreacutetion du site 121 122 informatique 123 Accompagnement des visiteurs
123
124 Santeacute et seacutecuriteacute du 121125 personnel SE31 125 Protection contre les 124 129 risques lieacutes agrave lenvironnement 126 Continuiteacute de lrsquoalimentation 125 eacutelectrique DS13 Geacuterer lrsquoexploitation 131 Proceacutedures dexploitation et manuels dinstructions
131
132 Documentation du processus de deacutemarrage du systegraveme et des autres tacircches dexploitation
131
133 Planification des travaux 132 134 Travaux non planifieacutes 132 135 Continuiteacute des traitements 131 136 Journaux dexploitation 131 137 Peacuteripheacuteriques de sortie et supports particuliers de sauvegarde
134
138 Exploitation agrave distance 511
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 182
ANNEXE V COBIT 3e eacutedition COBIT 41 S1 Surveiller les processus 11 Collecter les donneacutees de controcircle
12
12 Eacutevaluer les performances 14 13 Eacutevaluer la satisfaction des clients de linformatique
12
14 Rapports de gestion 15 S2 Eacutevaluer lrsquoadeacutequation du controcircle interne 21 Surveillance du controcircle interne
22
22 Exploitation en temps opportun des controcircles internes
21
23 Rapports sur le niveau de controcircle interne
22 23
24 Assurance sur lrsquoefficaciteacute de la seacutecuriteacute et du controcircle interne
24
S3 Acqueacuterir une assurance indeacutependante 31 Certification Validation indeacutependante de la seacutecuriteacute et du controcircle interne des services informatiques
25 47
COBIT 3e eacutedition 32 Certification Validation indeacutependante des services fournis par des prestataires
COBIT 41 25 47
33 Eacutevaluation indeacutependante 25 47 de lefficaciteacute de la fonction informatique 34 Eacutevaluation indeacutependante des tiers fournisseurs de services
25 47
35 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels
25 47
36 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels des tiers fournisseurs de services
25 26 47
37 Compeacutetence de lassurance indeacutependante
25 47
38 Implication proactive de laudit
25 47
COBIT 3e eacutedition S4 Disposer drsquoun audit indeacutependant
COBIT 41
41 Charte daudit 25 47 42 Indeacutependance 25 47 43 Eacutethique et normes professionnelles
25 47
44 Compeacutetence 25 47 45 Planification 25 47 46 Reacutealisation du travail 25 47 daudit 47 Rapports daudit 25 47 48 Activiteacutes de suivi 25 47
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 183
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 41 agrave COBIT 3e eacutedition
COBIT 41 COBIT 3e
eacutedition PO1 Deacutefinir un plan informatique strateacutegique 11 Gestion de la valeur des SI 53 12 Alignement meacutetiersshyinformatique
Nouveau
13 Eacutevaluation de la performance actuelle
17 18
14 Plan informatique strateacutegique
11 12 13 14 16 AI12 AI13
15 Plans informatiques tactiques
15
16 Gestion du portefeuille informatique
Nouveau
PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation de lrsquoentreprise
21
22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise
22
23 Systegraveme de classification des donneacutees
23 24 DS58
24 Gestion de linteacutegriteacute Nouveau PO3 Deacuteterminer lorientation technologique 31 Planification de lrsquoorientation technologique
31 33 34
32 Planification de linfrastructure technologique
Nouveau
33 Surveillance des tendances et de la reacuteglementation
32
34 Standards informatiques 35 35 Comiteacute architecture des TI 35 PO4 Deacutefinir les processuslorganisation et les relations de travail 41 Ca dre de reacutefeacuterence des processus informatiques
Nouveau
42 Comiteacute strateacutegique informatique
Nouveau
43 Comiteacute de pilotage informatique
41
44 Position de la fonction informatique au sein de lentreprise
42
45 Structure du service informatique
43
46 Rocircles et responsabiliteacutes 44 412 47 Responsabiliteacute de lassurance qualiteacute informatique
45
48 Responsabiliteacute du risque de la seacutecuriteacute et de la conformiteacute
46
49 Proprieacuteteacute des donneacutees et du systegraveme
47 48
COBIT 41 COBIT 3e
eacutedition 410 Supervision 49 411 Seacuteparation des tacircches 410 412 Recrutement informatique 411 413 Personnel informatique cleacuteI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations 415 PO5 Geacuterer linvestissement informatique 51 Reacutefeacuterentiel de gestion financiegravere
Nouveau
52 Deacutefinition des prioriteacutes dans le budget informatique
Nouveau
53 Processus de budgeacutetisation informatique
51 53
54 Gestion des coucircts 52 53 55 Gestion des beacuteneacutefices 53 PO6 Faire connaicirctre les buts et les orientations du management 61 Politique informatique et environnement de controcircle
61
62 Risque informatique pour lrsquoentrepriqe et cadre de controcircle interne
6 8
63 Gestion des politiques informatiques
62 63 65 66 67 69 610 611
64 Deacuteploiement des politiques 62 63 64 65 66 67 69 610 611
65 Communication des objectifs et des orientations informatiques
62 63 65 66 67 69 610 611
PO7 Geacuterer les ressources humaines informatiques 71 Recrutement et maintien du personnel
71
72 Compeacutetences du personnel 72 73 Affectation des rocircles Nouveau 74 Formation 73 DS73 75 Deacutependance agrave lrsquoeacutegard drsquoindividus
74
76 Proceacutedures de seacutecuriteacute concernant le personnel
75
77 Eacutevaluation des performances
76
78 Gestion des changements de poste et des deacuteparts
77 78
PO8 Geacuterer la qualiteacute
COBIT 41 COBIT 3e
eacutedition 81 Systegraveme de gestion de la qualiteacute
112 113 114
82 Standards informatiques et pratiques qualiteacute
115 116 117 118 19 1110 1116 1117 1119
83 Standards de deacuteveloppement et drsquoacquisition
115 116 117
84 Orientation client Nouveau 85 Ameacutelioration continue Nouveau 86 Mesure surveillance et revue qualiteacute
1118
PO9 Eacutevaluer et geacuterer les risques 91 Reacutefeacuterentiel de gestion des risque informatiques
91 94 98
92 Eacutetablissement du contexte du risque
91 94
93 Identification des eacuteveacutenements
93 94
94 Eacutevaluation des risques 91 92 94 95 Reacuteponse aux risques 95 96 97 96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques
Nouveau
PO10 Geacuterer des projets 101 Cadre de gestion de programme
Nouveau
102 Cadre de gestion de projet 101 103 Approche de la gestion de projets
Nouveau
104 Implication des parties prenantes
102
105 Eacutenonceacute du peacuterimegravetre du projet
104
106 Deacutemarrage drsquoune phase du projet
105 106
107 Plan de projet inteacutegreacute 107 108 Ressources du projet 103 109 Gestion des risques des projets
1010
1010 Plan qualiteacute du projet 108 1011 Controcircle des changements du projet
Nouveau
1012 Planification des meacutethodes dassurance
109
1013 Meacutetrique reporting et surveillance de la performance du projet
Nouveau
1014 Clocircture du projet 1013 (partiel)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 184
ANNEXE V COBIT 41 COBIT 3e
eacutedition AI1 Trouver des solutions informatiques 11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles
11 19 110 111 112
12 Rapport danalyse des risques 18 19 110 13 Eacutetudes de faisabiliteacute et formulation drsquoalternatives
13 17 112
14 Deacutecision et approbation concernant les exigences et la faisabiliteacute
Nouveau
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Conception geacuteneacuterale 21 22 22 Conception deacutetailleacutee 22 24 25
26 27 28 29 210 211 213 217
23 Controcircle applicatif et auditabiliteacute
212 214
24 Seacutecuriteacute et disponibiliteacute des applications
212
25 Configuration et impleacutementation des logiciels applicatifs acquis
Nouveau
26 Mises agrave jour majeures des systegravemes existants
22
27 Deacuteveloppement dapplications Nouveau 28Assurance qualiteacute des logiciels 215 29 Gestion des exigences des applications
Nouveau
210 Maintenance des applications
Nouveau
COBIT 41 COBIT 3e
eacutedition AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance 31 Plan drsquoacquisition drsquoune infrastructure technique
PO34 118 31 33 34
32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure
118 31 33 34 37
33 Maintenance de lrsquoinfrastructure
118 31 33 34 35 37
34 Environnement de test de faisabiliteacute
Nouveau
AI4 Faciliter le fonctionnement et lrsquoutilisation 41 Planification pour rendre les solutions exploitables
41
42 Transfert de la connaissance au secteur meacutetier
PO1111 42
43 Transfert des connaissances aux utilisateurs finaux
PO1111 216 44
44 Transfert des connaissances vers le personnel drsquoexploitation et du support
PO1111 216 43 44
AI5 Acqueacuterir des ressources informatiques 51 Controcircle des achats 12 13 14
113 114 52 Gestion des contrats fournisseurs
DS23 DS25
53 Seacutelection des fournisseurs 14 DS24 54 Acquisition de ressources informatiques
115 116 117 118
AI6 Geacuterer les changements 61 Standards et proceacutedures de changement
36 61
COBIT 41 COBIT 3e
eacutedition 62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation
62
63 Modifications durgence DS10 64 64 Suivi et compte-rendu des changements
61
65 Clocircture et documentation des changements
65
AI7 Installer et valider les solutions et les modifications 71 Formation PO1011
PO1012 51 72 Programme de test PO1011
PO1112 PO1113 PO1114 PO1115 53 56
73 Plan drsquoimpleacutementation 36 53 74 Environnement de tests PO1112
PO1113 PO1114 PO1115 215 57
75 Conversion des systegravemes et des donneacutees
54 55
76 Test des modifications 52 57 58 510 511
77 Tests de recette deacutefinitive 59 78 Transfert en production 512 79 Revue post-deacutemarrage 513 514
COBIT 41 COBIT 3e
eacutedition DS1 Deacutefinir et geacuterer les niveaux de services 11 Reacutefeacuterentiel pour la gestion des niveaux de services
11 13
12 Deacutefinition des services Nouveau 13 Contrats de services 12 14 Contrats drsquoexploitation Nouveau 15 Surveillance et comptesshyrendus des niveaux de services atteints
14
16 Revue des conventions de service et des contrats
15 16
DS 2 Geacuterer les services tiers 21 Identification des relations avec tous les fournisseurs
21
22 Gestion des relations fournisseurs
22
23 Gestion du risque fournisseurs PO1110 26 27
24 Surveillance des performances fournisseurs
28
DS3 Geacuterer la performance et la capaciteacute 31 Planification de la performance et de la capaciteacute
AI52 31 34
32 Performance et capaciteacute actuelles
37
33 Performance et capaciteacute futures
35 36
34 Disponibiliteacute des ressources informatiques
32 38 39
35 Surveillance et comptes rendus
33
DS4 Assurer un service continu 41 Reacutefeacuterentiel de continuiteacute informatique
41 42
COBIT 41 COBIT 3e
eacutedition 42 Plans de continuiteacute informatique
43
43 Ressources informatiques critiques
44 410
44 Maintenance du plan de continuiteacute des SI
45
45 Tests du plan de continuiteacute des SI
46
46 Formation au plan de continuiteacute des SI
47
47 Diffusion du plan de continuiteacute des SI
48
48 Restauration et redeacutemarrage des services informatiques
49 411
49 Stockage de sauvegardes hors site
412 1125
410 Revue apregraves redeacutemarrage 413 DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion de la seacutecuriteacute informatique
51 512
52 Plan de seacutecuriteacute informatique Nouveau 53 Gestion des identiteacutes 52 53 59
514 AI66 54 Gestion des comptes utilisateurs
54 55 56 513 104
55 Tests de seacutecuriteacute vigilance et surveillance
56 57 510
56 Deacutefinition des incidents de seacutecuriteacute
511
57 Protection de la technologie de seacutecuriteacute
517
58 Gestion des clefs de chiffrement
518
COBIT 41 COBIT 3e
eacutedition 59 Preacutevention deacutetection et neutralisation des logiciels malveillants
519
510 Seacutecuriteacute des reacuteseaux 520 511 Eacutechange de donneacutees sensibles
515 516 1129 138
DS6 Identifier et imputer les coucircts 61 Deacutefinition des services 61 62 Comptabiliteacute de lrsquoinformatique
63
63 Modegravele de coucircts et facturation
62
64 Maintenance du modegravele de coucircts
63
DS7 Instruire et former les utilisateurs 71 Identification des besoins en savoir et en formation
71
72 Fourniture de formation et drsquoenseignement
72
73 Eacutevaluation de la formation reccedilue
Nouveau
DS8 Geacuterer le service drsquoassistance client et les incidents 81 Servie drsquoassistance client 81 82 Enregistrement des demandes des clients
82 103
83 Escalade des incidents 82 83 105
84 Clocircture des incidents 82 85 Analyse des tendances 81 DS9 Geacuterer la configuration 91 Reacutefeacuterentiel de configuration et configuration de base
91 92 98
92 Identification et maintenance des eacuteleacutements de configuration
97 98
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 185
COBIT41 COBIT 41 COBIT 3e
eacutedition 93 Revue drsquointeacutegriteacute des 93 94 95 configurations DS10 Geacuterer les problegravemes 101 Identification et 85 101 classification des problegravemes 105 102 Suivi et reacutesolution des Nouveau problegravemes 103 Clocircture des problegravemes 84 101 104 Inteacutegration des modifications de la gestion des configurations et de la gestion des problegravemes
Nouveau 101
DS11 Geacuterer les donneacutees 111 Exigences meacutetiers pour la gestion des donneacutees
Nouveau
COBIT 41 COBIT 3e
eacutedition 112 Dispositifs de stockage et de conservation
1112 1119 1120 1126 1130
113 Systegraveme de gestion de la meacutediathegraveque
1121 1122 1125
114 Mise au rebut 1118 1124 115 Sauvegarde et restauration
AI214 1123
116 Exigences seacutecuriteacute pour la gestion des donneacutees
1116 1117 1127
DS 12 Geacuterer lrsquoenvironnement physique 121 Seacutelection du site et agencement
121 122 124
122 Mesures de seacutecuriteacute physique
121 122
COBIT 41 COBIT 3e
eacutedition 123 Accegraves physique 104 123 124 Protection contre les 125 risques lieacutes agrave lenvironnement 125 Gestion des installations 124 126 mateacuterielles 129 DS 13 Geacuterer lrsquoexploitation 131 Proceacutedures et instructions 131 132 drsquoexploitation 135 136 132 Planification des travaux 133 134 133 Surveillance de Nouveau lrsquoinfrastructure informatique 134 Documents sensibles et 521 137 dispositifs de sortie 135 Maintenance preacuteventive AI32 du mateacuteriel
COBIT 41 COBIT 3e
eacutedition SE1 Surveiller et eacutevaluer la performance des SI 11 Approche de la surveillance 10 12 Deacutefinition et collationnement des donneacutees de surveillance
11 13
13 Meacutethode de surveillance Nouveau 14 Eacutevaluation de la performance
12
15 Comptes-rendus destineacutes au CA et agrave la DG
14
16 Actions correctives Nouveau SE2 Surveiller et eacutevaluer le controcircle interne 21 Surveillance du reacutefeacuterentiel de controcircle interne
20
22 Revue geacuteneacuterale 21 23
COBIT 41 COBIT 3e
eacutedition 23 Anomalies deacutetecteacutees par le controcircle
Nouveau
24 Auto-eacutevaluation du controcircle 24 25 Assurance de controcircle interne
Nouveau
26 Controcircle interne des tiers 36 27 Actions correctives Nouveau SE3 Garantir la conformiteacute aux obligations externes 31 Identification des obligations externes de conformiteacute lois regraveglements et contrats
PO81 PO83 PO84 PO85 PO86 DS124
32 Optimisation de la reacuteponse aux obligations externes
PO82
COBIT 41 COBIT 3e
eacutedition 33 Eacutevaluation de la conformiteacute aux obligations
Nouveau
34 Assurance positive de la conformiteacute
Nouveau
35 inteacutegration des rapports Nouveau SE4 Mettre en place une gouvernance des SI 41 Mise en place drsquoun cadre de gouvernance des SI
Nouveau
42 Alignement strateacutegique Nouveau 43 Apport de valeur Nouveau 44 Gestion des ressources Nouveau 45 Gestion des risques Nouveau 46 Mesure de la performance Nouveau 47 Assurance indeacutependante Nouveau
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 186
ANNEXE VI
APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
AN
NE
XE
VI
A
PPR
OC
HE
RE
CH
amp D
EacuteV
ANNEXE VI
ANNEXE VI minus APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
Le deacuteveloppement du contenu du reacutefeacuterentiel COBIT est superviseacute par le Comiteacute de Pilotage COBIT constitueacute de repreacutesentants internationaux drsquoentreprises drsquouniversiteacutes du gouvernement et de professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute Des groupes de travail internationaux ont eacuteteacute mis en place dans le but de reacuteviser dans une perspective dassurance qualiteacute les versions intermeacutediaires du travail fait en recherche et deacuteveloppement Le IT Governance Institute (ITGI) a superviseacute lensemble du projet
Eacuteditions preacuteceacutedentes de COBIT
Deacutefinis dans le Cadre de Reacutefeacuterence COBIT de la premiegravere eacutedition lapplication des standards internationaux des principes directeurs et des meilleures pratiques mises agrave jour par les recherches ont conduit au deacuteveloppement des objectifs de controcircle Le Guide dAudit a ensuite eacuteteacute conccedilu pour veacuterifier si ces objectifs de controcircle eacutetaient correctement mis en œuvre Pour la 1egravere et la 2egraveme eacutedition la recherche a porteacute entre autres sur le collationnement et lanalyse de sources internationales et a eacuteteacute meneacutee agrave bien par des eacutequipes europeacuteennes (Free University of Amsterdam) ameacutericaines (California Polytechnic University) et australiennes (University of New South Wales) Les chercheurs ont eacuteteacute chargeacutes de la compilation de la reacutevision de leacutevaluation et de lincorporation adeacutequate des standards internationaux dans les domaines des techniques des codes de conduite de la qualiteacute des audits et des pratiques et exigences des entreprises pour ce qui concerne le Cadre de Reacutefeacuterence et les objectifs de controcircles individuels Apregraves collationnement et analyse on a demandeacute aux chercheurs dexaminer chaque domaine et chaque processus en deacutetail et soit de suggeacuterer des modifications des objectifs de controcircle soit den proposer de nouveaux pour chaque processus consideacutereacute La synthegravese des reacutesultats a eacuteteacute reacutealiseacutee par le Comiteacute de Pilotage COBIT
Le projet de la 3egraveme eacutedition de COBIT a consisteacute agrave eacutelaborer le Guide de Management et agrave actualiser la 2egraveme eacutedition en fonction de reacutefeacuterences internationales soit reacuteviseacutees soit nouvelles De plus le Cadre de Reacutefeacuterence COBIT a eacuteteacute reacuteviseacute et enrichi pour permettre un meilleur controcircle de gestion pour introduire la gestion de performance et pour deacutevelopper davantage la gouvernance des SI Pour fournir au management une application du Cadre de Reacutefeacuterence et lui permettre ainsi de faire des choix pour la mise en place de controcircles et pour ameacuteliorer ses systegravemes informatiques ainsi que pour mesurer les performances le Guide de Management inclut des Modegraveles de Maturiteacute des Facteurs Cleacutes de Succegraves des Indicateurs Cleacutes dObjectif et des Indicateurs Cleacutes de Performance tous lieacutes aux Objectifs de Controcircle
Le Guide de Management a requis un panel mondial de 40 experts du monde universitaire gouvernemental et des professions de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute informatiques Ces experts se sont reacuteunis en un atelier animeacute par des professionnels du travail de groupe qui utilisaient des principes de deacuteveloppement deacutefinis par le Comiteacute de Pilotage de COBIT Latelier a eacuteteacute activement soutenu par le Gartner Group et par PricewaterhouseCoopers qui ont non seulement fourni le leadership intellectuel mais ont aussi envoyeacute plusieurs de leurs experts en controcircle gestion de la performance et seacutecuriteacute de linformation Les reacutesultats de cet atelier furent les eacutebauches des modegraveles de maturiteacute des facteurs cleacutes de succegraves des indicateurs cleacutes dobjectifs et des indicateurs cleacutes de performances pour chacun des 34 processus de COBIT Lassurance qualiteacute des premiegraveres livraisons fut conduite par le Comiteacute de Pilotage de COBIT et les reacutesultats ont eacuteteacute proposeacutes pour consultation sur le site Internet de lISACA Le Guide de Management a eacuteteacute constitueacute pour offrir un nouvel ensemble doutils orienteacutes management susceptibles de sinteacutegrer de faccedilon coheacuterente au Cadre de Reacutefeacuterence
Lactualisation des Objectifs de Controcircle de la 3e eacutedition de COBIT baseacutee sur de nouvelles reacutefeacuterences et des reacutefeacuterences internationales reacuteviseacutees a eacuteteacute conduite par des membres des Chapitres de lISACA sous la direction de membres du Comiteacute de Pilotage de COBIT Lintention neacutetait pas de reacutealiser une analyse globale de tous les mateacuteriaux ni un nouveau deacuteveloppement des Objectifs de Controcircle mais de fournir un processus dactualisation increacutementiel Les reacutesultats du deacuteveloppement du Guide de Management furent alors utiliseacutes pour reacuteviser le Cadre de Reacutefeacuterence COBIT particuliegraverement les consideacuterations buts et exposeacutes des facteurs favorisants pour les objectifs de controcircle geacuteneacuteraux La version originale en anglais de COBIT 3e eacutedition a eacuteteacute publieacutee en juillet 2000 la version en franccedilais en 2002
Derniegraveres activiteacutes de mise agrave jour du projet
Dans son effort pour faire eacutevoluer en permanence le corpus de connaissances de COBIT le Comiteacute de Pilotage a organiseacute un travail de recherche ces deux derniegraveres anneacutees sur plusieurs aspects de COBIT Ces projets de recherche concernent des composantes des Objectifs de Controcircle et du Guide de Management Ci-dessous la liste de certains domaines speacutecifiquement concerneacutes
Recherche sur les Objectifs de Controcircle
bull Alignement de bas en haut de la gouvernance des SI COBIT bull Alignement de haut en bas de la gouvernance des SI COBIT bull COBIT et les autres standards deacutetailleacutes correspondances entre COBIT ITIL CMM COSO PMBOK ISF Normes de bonnes pratiques pour la
seacutecuriteacute de lrsquoinformation et ISO 27000 pour permettre lrsquoharmonisation du langage des deacutefinitions et des concepts avec ces standards
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 187
COBIT41
Recherche sur le Guide de Management
bull Analyse causale des relations ICO-ICP bull Revue de la qualiteacute des ICOICPFacteurs Cleacutes de Succegraves drsquoapregraves lrsquoanalyse causale des relations ICO-ICP en reacutepartissant les FCS entre
ldquoce que vous avez besoin drsquoobtenir des autresrdquo et ldquoce que vous avez besoin de faire vous-mecircmerdquo bull Analyse deacutetailleacutee des concepts de meacutetriques Deacuteveloppement deacutetailleacute avec des experts pour ameacuteliorer les concepts de meacutetriques en
construisant un scheacutema en cascade de meacutetriques ldquoprocessus-informatique-meacutetiersrdquo et en deacutefinissant des critegraveres de qualiteacute pour les meacutetriques
bull Eacutetablissement de liens entre objectifs meacutetiers objectifs informatiques et processus informatiques Recherche approfondie dans huit professions diffeacuterentes conduisant agrave une perception plus deacutetailleacutee de la faccedilon dont les processus COBIT favorisent la reacutealisation drsquoobjectifs informatiques speacutecifiques et par extension drsquoobjectifs meacutetiers puis geacuteneacuteralisation des reacutesultats
bull Revue du contenu du modegravele de maturiteacute Garantie de coheacuterence et de qualiteacute des niveaux de maturiteacute dans chaque processus et entre les divers processus avec de meilleures deacutefinitions des attributs du modegravele de maturiteacute
Le Comiteacute de Pilotage COBIT a eacuteteacute agrave lrsquoorigine de tous ces projets il les a superviseacutes tandis que la gestion et le suivi au jour le jour eacutetaient pris en charge par une eacutequipe constitueacutee de quelques-uns des principaux responsables de COBIT Lrsquoavancement de la plupart des projets de recherche mentionneacutes a fait lourdement appel aux compeacutetences et au beacuteneacutevolat de membres de lrsquoISACA drsquoutilisateurs de COBIT de conseillers experts et drsquouniversitaires Des groupes de deacuteveloppement locaux ont eacuteteacute constitueacutes agrave Bruxelles Londres Chicago Canberra Cape Town Washington DC et Copenhague ougrave de 5 agrave 10 utilisateurs de COBIT se reacuteunissaient en moyenne deux ou trois fois par an pour travailler sur des recherches particuliegraveres ou agrave des tacircches de reacutevision assigneacutees par les principaux responsables de COBIT De plus certains projets de recherche particuliers ont eacuteteacute assigneacutes agrave des eacutecoles de commercegestion comme lrsquoAntwerp Management School (DAMS) et lrsquoUniversity of Hawaii
Les reacutesultats de ces efforts de recherche et le retour drsquoinformation apporteacute par les utilisateurs de COBIT au fil des ans et des difficulteacutes rencontreacutees agrave lrsquooccasion du deacuteveloppement de nouveaux produits comme les pratiques de controcircle ont eacuteteacute inteacutegreacutes au projet principal de COBIT pour mettre agrave jour et ameacuteliorer les Objectifs de Controcircle le Guide de Management et le Cadre de Reacutefeacuterence COBIT Deux laboratoires de deacuteveloppement majeurs comportant chacun plus de 40 experts de la gouvernance des SI du management et du controcircle (patrons consultants universitaires et auditeurs) du monde entier ont eacuteteacute organiseacutes pour passer en revue et mettre profondeacutement agrave jour les contenus des Objectifs de Controcircle et du Guide de Management Drsquoautres groupes plus petits ont travailleacute pour affiner et finaliser la production importante de ces instances majeures
La version quasi deacutefinitive a eacuteteacute soumise agrave un processus de reacutevision complet par une eacutequipe drsquoenviron 100 personnes Lrsquoabondante moisson de commentaires a eacuteteacute analyseacutee au cours drsquoun dernier atelier de reacutevision du Comiteacute de Pilotage COBIT
Les reacutesultats de ces ateliers ont eacuteteacute mis en forme par le Comiteacute de Pilotage COBIT par les principaux responsables de COBIT et par lrsquoITGI pour reacutediger les nouveaux documents COBIT qursquoon trouve dans ce volume Lrsquoexistence de COBIT Onlinereg teacutemoigne du fait que la technologie existe deacutesormais pour tenir plus facilement agrave jour le contenu essentiel de COBIT et cette ressource sera utiliseacutee comme reacutefeacuterentiel maicirctre du contenu de COBIT Il sera tenu agrave jour par les informations apporteacutees par la base utilisateurs ainsi que par des revues du contenu de certains domaines speacutecifiques Des publications peacuteriodiques (documents papier et eacutelectroniques) permettront de se reacutefeacuterer hors ligne au contenu de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 188
Annexe VII
GLOSSAIRE
AN
NE
XE
VII
G
LO
SSA
IRE
ANNEXE VII ANNEXE VII minus GLOSSAIRE
Les termes anglais figurent entre parenthegraveses et en italique agrave la fin de chaque rubrique
Activiteacute ndash Principales actions entreprises pour activer le processus COBIT (Activity)
Analyse causale ndash Processus de diagnostic permettant de remonter agrave lrsquoorigine drsquoun eacuteveacutenement et qui peut ecirctre utiliseacute pour apprendre des conseacutequences typiquement des erreurs et des problegravemes (Root cause analysis)
Approbateur ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne ou au groupe qui a lrsquoautoriteacute pour approuver ou accepter la reacutealisation drsquoune activiteacute (Accountable)
Architecture drsquoentreprise ndash Description de lrsquoarchitecture fonctionnelle des composants fondamentaux des systegravemes meacutetiers ou un des eacuteleacutements de ces systegravemes (par ex technologie) des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture)
Architecture informatique de lrsquoentreprise ndash Description de lrsquoarchitecture technique des composants fondamentaux des systegravemes meacutetiers des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture for IT)
Architecture de lrsquoinformation ndash Une des composantes de lrsquoarchitecture des SI (avec lrsquoarchitecture fonctionnelle et lrsquoarchitecture technique) Voir Architecture des SI (Information architecture)
Architecture des SI ndash Cadre de reacutefeacuterence inteacutegreacute pour faire eacutevoluer ou tenir agrave jour les technologies existantes et en acqueacuterir de nouvelles pour atteindre les objectifs strateacutegiques et les objectifs meacutetiers (IT architecture)
Authentification ndash Action de veacuterifier lrsquoidentiteacute drsquoun utilisateur et son droit agrave acceacuteder agrave lrsquoinformation numeacuteriseacutee Elle a pour but de proteacuteger les systegravemes contre des tentatives drsquointrusion frauduleuses (Authentication)
Bonnes pratiques ndash Activiteacute ou processus qui a fait ses preuves et est appliqueacute avec succegraves par de nombreuses entreprises (Best practice)
Cadre (reacutefeacuterentiel) de controcircle ndash Ensemble de controcircles fondamentaux destineacute agrave aider les proprieacutetaires de processus meacutetiers agrave srsquoacquiter de leur responsabiliteacute de preacutevenir les pertes financiegraveres ou drsquoinformation pour lrsquoentreprise (Control framework)
Capaciteacute ndash Le fait de disposer des caracteacuteristiques neacutecessaires pour fonctionner etou accomplir les tacircches preacutevues (Capability)
CE ndash Contrat drsquoExploitation Accord interne sur la fourniture de services relatif agrave la fourniture de services par lrsquoinformatique (OLA Operational Level Agreement)
Charte drsquoAudit ndash Document deacutefinissant le but lrsquoautoriteacute et la responsabiliteacute de lrsquoactiviteacute drsquoaudit interne approuveacutee par le CA (Audit charter)
Client ndash Personne ou entiteacute interne ou externe destinataire de services informatiques de lrsquoentreprise (Customer)
Comiteacute informatique strateacutegique ndash Comiteacute constitueacute au niveau du CA pour faire en sorte que les administrateurs srsquoimpliquent dans les questionsdeacutecisions majeures qui concernent lrsquoinformatique Le comiteacute est principalement responsable de la gestion des portefeuilles drsquoinvestissements de services et drsquoautres ressources informatiques Le comiteacute est le proprieacutetaire de ces portefeuilles (IT strategy committee)
Consulteacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes dont lrsquoavis sur une activiteacute est rechercheacute (communication montante et descendante) (Consulted)
Continuiteacute ndash Preacutevention reacuteduction des interruptions et restauration du service On peut aussi utiliser dans ce contexte les expressions ldquoplan de reprise drsquoactiviteacuterdquo ldquoplan de restauration apregraves sinistrerdquo et ldquoplan de secoursrdquo elles srsquointeacuteressent toutes agrave la restauration de la continuiteacute (Continuity)
Controcircle drsquoaccegraves ndash Processus qui limite et controcircle lrsquoaccegraves aux ressources drsquoun systegraveme informatique controcircle logique ou physique conccedilu pour proteacuteger contre un accegraves ou une utilisation non autoriseacutes (Access control)
Controcircle applicatif ndash Ensemble de controcircles inteacutegreacutes agrave des solutions automatiseacutees (applications) (Application control)
Controcircle de deacutetection ndash Controcircle utiliseacute pour identifier des eacuteveacutenements (indeacutesirables ou pas) des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils ont un impact mateacuteriel sur un processus ou sur un produit final (Detective control)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 189
COBIT41 Controcircles geacuteneacuteraux informatiques ndash Controcircles autres que les controcircles applicatifs relatifs agrave lrsquoenvironnement informatique de deacuteveloppement de maintenance et drsquoexploitation des applications utiliseacute par toutes les applications Les objectifs des controcircles geacuteneacuteraux sont de srsquoassurer drsquoun deacuteveloppement et drsquoune impleacutementation corrects des applications de lrsquointeacutegriteacute des programmes des donneacutees et des traitements Comme les controcircles applicatifs les controcircles geacuteneacuteraux sont soit manuels soit programmeacutes Ils integravegrent agrave titre drsquoexemples lrsquoeacutelaboration et la mise en oeuvre de la strateacutegie informatique de la politique de seacutecuriteacute des SI de lrsquoorganisation des eacutequipes informatiques pour assurer la seacuteparation des tacircches du plan de secours et de reprise drsquoactiviteacute (General computer control)
Controcircle interne ndash Politiques proceacutedures pratiques et structures organisationnelles conccedilues pour fournir une assurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes (Internal control)
Controcircle preacuteventif ndash Controcircle interne utiliseacute pour preacutevenir des eacuteveacutenements des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils peuvent avoir un impact mateacuteriel neacutegatif sur un processus ou sur un produit final (Preventive control)
Controcircle programmeacute ndash Ensemble de controcircles inteacutegreacutes aux solutions automatiseacutees (applications) (Automated application control)
COSO ndash Committee of Sponsoring Organisations of the Treadway Commission Son rapport de 1992 intituleacute Reacutefeacuterentiel inteacutegreacute de controcircle interne est une norme de gouvernance drsquoentreprise reconnue internationalement Voir wwwcosoorg
Coucirct total de possession ndash En informatique comprend le coucirct initial des serveurs et logiciels les mises agrave jour du materiel et du logiciel la maintenance le support technique la formation certaines activiteacutes assures par les utilisateurs (TCO - Total Cost of Ownership)
CS - Contrat ou convention de services ndash Accord de preacutefeacuterence documenteacute entre un fournisseur de services et le clientutilisateur qui deacutefinit les niveaux convenus pour un service et la faccedilon dont ils sont mesureacutes (SLA Service level agreement)
Cycle de vie de deacuteveloppement des systegravemes ndash Phases successives du deacuteveloppement ou de lrsquoacquisition drsquoun systegraveme logiciel Typiquement comprend eacutetude de faisabiliteacute eacutetude des besoins deacutefinition des besoins conception deacutetailleacutee programmation tests mise en place et revue apregraves mise en œuvre Ne comprend ni la deacutelivrance du service ni les beacuteneacutefices attendus de la reacutealisation des activiteacutes (SDLC Systems development life cycle)
DF ndash Directeur financier le premier responsable de la gestion des risques financiers drsquoune entreprise (CFO)
DG ndash Directeur geacuteneacuteral le rang le plus eacuteleveacute dans une entreprise (CEO)
Dictionnaire de donneacutees ndash Base de donneacutees renfermant nom type valeurs min et max source et autorisation drsquoaccegraves pour chaque donneacutee de la base Elle indique eacutegalement quel programme applicatif utilise cette donneacutee de faccedilon agrave ce que lorsqursquoon envisage de manipuler une donneacutee on puisse geacuteneacuterer une liste des programmes concerneacutes Le dictionnaire de donneacutees est soit un systegraveme drsquoinformation autonome utiliseacute agrave des fins de gestion et de documentation soit un gestionnaire drsquoexploitation de base de donneacutees (Data dictionary)
Domaine ndash Pour COBIT regroupement drsquoobjectifs de controcircle en eacutetapes logiques dans le cycle de vie des actifs de lrsquoinformatique (Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Evaluer (Domain)
DSI ou DIndash Directeur des Systegravemes drsquoInformation ou Directeur Informatique le responsable de lrsquoinformatique drsquoune entreprise Le DSI assure parfois le rocircle de Responsable de la Connaissance (Chief Knowledge Officer - CKO) qui distribue la connaissance et pas seulement lrsquoinformation Voir eacutegalement Directeur des Technologies (CIO)
DTndash Directeur des Technologies a en charge les aspects techniques de lrsquoentreprise Le titre de DT est souvent synonyme de DSI (CTO)
Eacuteleacutement de configuration ndash Composant drsquoune infrastructure ou un eacuteleacutement comme une demande de modification associeacute agrave une infrastructure qui est (ou doit ecirctre) sous le controcircle de la gestion de la configuration Ces eacuteleacutements peuvent diffeacuterer largement en complexiteacute taille et type allant drsquoun systegraveme complet (mateacuteriel logiciel et documentation) agrave un simple module ou agrave un composant mateacuteriel mineur (Configuration item)
Entreprise ndash Groupe de personnes travaillant ensemble dans un but commun typiquement dans le contexte drsquoune organisation drsquoune socieacuteteacute drsquoune agence gouvernementale drsquoune association ou drsquoune fondation (Enterprise)
FCS ndash Facteur Cleacute de Succegraves correspond pour le management aux aspects ou aux actions les plus importantes pour reacuteussir agrave mettre sous controcircle ses processus informatiques (CSF)
Fournisseur de services ndash Entiteacute externe qui fournit des services agrave lrsquoentreprise (Service provider)
Gestion de la configuration ndash Controcircle des modifications apporteacutees agrave un ensemble drsquoeacuteleacutements de configuration au cours du cycle de vie drsquoun systegraveme (Configuration management)
Gestion de la performance ndash En informatique capaciteacute agrave geacuterer tout type de mesure y compris celles qui concernent les employeacutes les eacutequipes les processus les opeacuterations et les finances Ce terme eacutevoque des controcircles en boucle et un suivi reacutegulier des mesures (Performance management)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 190
ANNEXE VII Gouvernance de lrsquoentreprise ndash Ensemble des responsabiliteacutes et pratiques assureacutees par le conseil drsquoadministration et la direction geacuteneacuterale dont le but est de fixer la strateacutegie srsquoassurer que les objectifs sont atteints que les risques sont geacutereacutes correctement et de veacuterifier que les ressources de lrsquoentreprise sont utiliseacutees agrave bon escient (Enterprise governance)
Guide ndash Description drsquoune maniegravere particuliegravere drsquoaccomplir quelque chose moins rigide qursquoune proceacutedure (Guideline)
ICO ndash Indicateur Cleacute drsquoObjectif indicateurs qui informent le management a posteriori si un processus informatique a reacutepondu aux exigences metier Il srsquoexprime habituellement en termes de critegraveres lieacutes agrave lrsquoinformation (KGI -Key Goal Indicator)
ICP ndash Indicateur Cleacute de Performance indicateurs qui deacuteterminent agrave quel point la performance du processus infomatique lui donne des chances drsquoatteindre lrsquoobjectif Ce sont des indicateurs essentiels pour savoir si un objectif a des chances drsquoecirctre atteint ou non et de bons indicateurs des capaciteacutes des pratiques et des compeacutetences Ils mesurent les objectifs de lrsquoactiviteacute agrave savoir les actions que le proprieacutetaire du processus doit entreprendre pour que la performance du processus soit bonne (KPI - Key Performance Indicator)
Incident informatique ndash Tout eacuteveacutenement qui ne fait pas partie du fonctionnement normal drsquoun service et qui cause ou peut causer une interruption ou une reacuteduction de la qualiteacute de ce service (IT Incident deacutefinition conforme agrave lrsquoIT Infrastructure Library ITIL)
Inducteurs de performance ndash Mesures consideacutereacutees comme les inducteurs des indicateurs a posteriori Ils peuvent ecirctre mesureacutes avant la manifestation du reacutesultat et correspondent agrave des indicateurs a priori Il y a une relation preacutesupposeacutee entre les deux qui suggegravere qursquoune meilleure performance drsquoun indicateur a priori induit une meilleure performance de lrsquoindicateur a posteriori On les deacutesigne aussi ICP (Iindicateur Cleacute de Performance) et on les utilise pour mesurer si les objectifs ont des chances drsquoecirctre atteints (Performance drivers)
Informeacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes qui sont tenues au courant du progregraves drsquoune activiteacute (communication descendante) (Informed)
ISO 17799 ndash Norme internationale de deacutefinition des controcircles de confidentialiteacute inteacutegriteacute et disponibiliteacute de lrsquoinformation
ISO 27001 ndash Management de la seacutecuriteacute de lrsquoinformation - Guide drsquoutilisation remplace la norme BS7799-2 Fournit les bases de lrsquoaudit externe de certification et est harmoniseacutee avec les autres normes de gestion telles que ISOIEC 9001 2000 et ISO 14001
ISO 9001 2000 ndash Code de bonnes pratiques pour la gestion de la qualiteacute ISO 90012000 speacutecifie les exigences drsquoun systegraveme de gestion de la qualiteacute pour toute organisation qui a besoin de deacutemontrer sa capaciteacute agrave fournir reacuteguliegraverement des produits ou des services conformes agrave des objectifs particulier de qualiteacute
ITIL ndash IT Infrastructure Library de lrsquoUK Office of Government Commerce (OGC) Ensemble de guides de management et de principes de fonctionnement des services informatiques
Maturiteacute ndash Au niveau meacutetier indique le degreacute de fiabiliteacute ou de deacutependance drsquoun processus auquel le meacutetier peut se fier pour atteindre les objectifs souhaiteacutes (Maturity)
Mesure ou indicateur ndash Norme drsquoeacutevaluation et de communication drsquoun reacutesultat obtenu par rapport agrave reacutesultat attendu Les mesures ou indicateurs sont en regravegle geacuteneacuterale quantitatives et srsquoexpriment en nombre devise (uniteacute moneacutetaire) pourcentage etc mais peuvent aussi srsquoexprimer de faccedilon qualitative comme par exemple un niveau de satisfaction client Rendre compte et surveiller les mesures ou indicateurs aide lrsquoentreprise agrave jauger la mise en œuvre reacuteelle de sa strateacutegie (Measure)
Mesures de reacutesultats ndash Mesures des conseacutequences drsquoactions prises souvent deacutesigneacutees par indicateurs a posteriori Elles srsquointeacuteressent souvent aux reacutesultats obtenus agrave lrsquoissue drsquoune peacuteriode de temps deacutetermineacute et caracteacuterise une performance historique On les deacutesigne eacutegalement ICO (Indicateur Cleacute drsquoObjectif) et on les utilise pour indiquer si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees qursquoapregraves le reacutesultat et pour cette raison sont appeleacutees indicateurs a posteriori (Outcome measures)
Meacutetrique ndash Instrument de mesure speacutecifique drsquoeacutevaluation quantitative et peacuteriodique de la performance Une meacutetrique complegravete preacutecise lrsquouniteacute utiliseacutee la freacutequence la cible agrave atteindre la proceacutedure de mesure et la proceacutedure drsquointerpreacutetation du reacutesultat (Metric)
Modegravele de Maturiteacute de la Capaciteacute (MMC) ndash Le Modegravele de maturiteacute de la capaciteacute des logiciels du Software Engineering Institute (SEI) est un modegravele utiliseacute par de nombreuses organisations pour identifier les meilleures pratiques utiles pour eacutevaluer et ameacuteliorer la maturiteacute de leurs processus de deacuteveloppement de logiciels (CMM)
Objectif de controcircle ndash Exposeacute du reacutesultat deacutesireacute ou du but agrave atteindre par la mise en œuvre de proceacutedures de controcircle pour un processus donneacute (Control Objective)
Organisation ndash Faccedilon dont une entreprise est structureacutee (Organisation)
Performance ndash En informatique mise en place effective ou exeacutecution drsquoun processus (Performance)
Plan drsquoinfrastructure technologique ndash Plan pour les technologies les ressources humaines et les installations qui permet le traitement et lrsquoutilisation des applications actuelles et agrave venir (Technology infrastructure plan)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 191
COBIT41 Plan strateacutegique informatique ndash Plan agrave long terme c-agrave-d 3 agrave 5 ans dans lequel les directions meacutetiers et informatique coopegraverent pour deacutecrire comment les ressources informatique contribueront aux objectifs strateacutegiques de lrsquoentreprise (IT strategic plan)
Plan tactique informatique ndash Plan agrave moyen terme c-agrave-d 6 agrave 18 mois qui convertit les orientations du plan strateacutegique informatique en initiatives requises et en exigences en ressources et qui preacutecise comment les ressources et les beacuteneacutefices seront surveilleacutes et geacutereacutes (IT tactical plan)
PMBOK ndash Project Management Body of Knowledge standard de gestion de projets deacuteveloppeacute par le Project Management Institute (PMI)
PMO ndash Chef du bureau projet responsable de la mise en œuvre de dispositions deacutefinies pour aider agrave la gestion des projets et faire progresser la gestion de projet (Project management officer)
Politique ndash En geacuteneacuteral document qui deacutecrit un principe geacuteneacuteral ou des actions agrave entreprendre sur lesquelles on srsquoest accordeacute Le but drsquoune politique est drsquoinfluencer et de guider la prise de deacutecision actuelle et future pour qursquoelle soit conforme agrave la philosophie aux objectifs et aux plans strateacutegiques eacutetablis par les eacutequipes deacutecisionnaires de lrsquoentreprise Outre leur contenu les politiques doivent exposer les conseacutequences drsquoactions qui ne srsquoy conforment pas les moyens pour traites les anomalies et la faccedilon dont la conformiteacute sera veacuterifieacutee et mesureacutee (Policy)
Portefeuille ndash Groupe de programmes de projets de services ou drsquoactifs seacutelectionneacutes geacutereacutes et surveilleacutes pour optimiser le beacuteneacutefice pour les meacutetiers (Portfolio)
Pratique de controcircle ndash Meacutecanisme de controcircle cleacute qui aide agrave atteindre les objectifs de controcircle gracircce agrave lrsquoutilisation responsable des ressources agrave la bonne gestion des risques et agrave lrsquoalignement des SI sur les meacutetiers (Control practice)
Pratiques cleacutes de management ndash Pratiques de gestion neacutecessaires agrave la bonne exeacutecution des processus des meacutetiers (Key management practices)
PRINCE2 ndashProjects in a Controlled Environment deacuteveloppeacute par lrsquoOGC Meacutethode de gestion de projets qui srsquointeacuteresse agrave la gestion au controcircle et agrave lrsquoorganisation drsquoun projet
Problegraveme ndash En informatique cause agrave la base drsquoun ou plusieurs incidents (Problem)
Proceacutedure ndash Document deacutecrivant et preacutecisant les eacutetapes agrave suivre pour reacutealiser une activiteacute Les proceacutedures font partie des processus (Procedure)
Processus ndash En geacuteneacuteral ensemble de proceacutedures influenceacutees par les politiques et par les standards de lrsquoentreprise il prend ses donneacutees (entreacutees) agrave diffeacuterentes sources y compris agrave drsquoautres processus il traite les entreacutees et produit pour ses clients des sorties qui peuvent ecirctre drsquoautres processus Les processus ont de claires raisons ldquomeacutetiersrdquo drsquoexister ils sont doteacutes de proprieacutetaires responsables en dernier ressort de rocircles et de responsabiliteacutes pour leur exeacutecution et de moyens pour mesurer leur performance (Process)
Processus meacutetier ndash Voir processus (Business process)
Programme ndash Regroupement structureacute de projets interdeacutependants qui comporte lrsquoensemble des activiteacutes requises (agrave la fois neacutecessaires et suffisantes) pour atteindre un reacutesultat meacutetier clairement speacutecifieacute et qui impliquent les meacutetiers certains processus certaines personnes et certains moyens informatiques et organisationnels (Programme)
Programme applicatif application ndash Programme qui traite les donneacutees meacutetiers au travers drsquoactiviteacutes telles que la saisie ou lrsquoentreacutee de donneacutees la mise agrave jour ou la requecircte Il se distingue des programmes systegraveme comme le systegraveme drsquoexploitation ou le programme de controcircle du reacuteseau et des programmes utilitaires comme copier ou trier (Application program)
Projet ndash Ensemble drsquoactiviteacutes structureacutees axeacutees sur la fourniture agrave lrsquoentreprise drsquoune capaciteacute deacutefinie (neacutecessaire mais pas suffisante pour atteindre un reacutesultat meacutetier donneacute) et doteacutees drsquoun planning et drsquoun budget convenus (Project)
Proprieacutetaires de donneacutees ndash Personnes en geacuteneacuteral responsables ou chefs de services qui ont la responsabiliteacute de lrsquointeacutegriteacute de lrsquoexactitude et de lrsquoutilisation des donneacutees informatiseacutees (Data owners)
SGQ ndash Systegraveme de Gestion de la Qualiteacute Systegraveme qui preacutecise les politiques et les proceacutedures neacutecessaires pour ameacuteliorer et controcircler les divers processus qui conduiront finalement agrave une ameacutelioration de la performance des meacutetiers (Quality Management System)
Reacutefeacuterentiel ndash Voir Cadre (reacutefeacuterentiel) de controcircle (Framework)
Reacutesilience ou Reacutesistance aux pannes ndash Dans lrsquoentreprise capaciteacute drsquoun systegraveme ou drsquoun reacuteseau agrave se reacutetablir automatiquement apregraves toute perturbation en geacuteneacuteral avec le minimum drsquoeffets identifiables (Resilience)
Responsable ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne qui doit srsquoassurer que les activiteacutes sont reacutealiseacutees correctement (Responsible)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 192
ANNEXE VII Risque ndash Dans lrsquoentreprise potentialiteacute drsquoune menace donneacutee agrave exploiter les points faibles drsquoun actif ou drsquoun groupe drsquoactifs pour provoquer des pertes etou des dommages agrave ces actifs Il se mesure en geacuteneacuteral par une combinaison de conseacutequences et de probabiliteacutes drsquooccurrence (Risk)
Scheacutema de classification des donneacutees ndash Scheacutema geacuteneacuteral de classement des donneacutees de lrsquoentreprise selon des facteurs comme la criticiteacute la sensibiliteacute et la proprieacuteteacute (Data classification scheme)
Seacuteparation des tacircches ndash Controcircle interne de base qui preacutevient et deacutetecte les erreurs et les irreacutegulariteacutes de seacuteparation des individus en attribuant agrave des personnes diffeacuterentes la responsabiliteacute drsquoinitier et drsquoenregistrer les traitements et celle de veiller sur les actifs Communeacutement pratiqueacutee dans les grandes DSI afin que personne ne puisse introduire un code malveillant ou frauduleux sans deacutetection (Segregationseparation of duties)
Service drsquoassistance (client) ndash Le seul point de contact entre lrsquoinformatique et les utilisateurs de services informatiques (Service desk)
Standard ou Norme ndash Pratique meacutetier ou produit informatique qui constitue une pratique accepteacutee confirmeacutee par lrsquoentreprise ou par lrsquoeacutequipe de direction des SI Les standards ou normes peuvent ecirctre mis en place pour soutenir une politique ou un processus ou comme reacuteponse agrave un besoin opeacuterationnel Comme les politiques les standards ou normes doivent comporter une description de la maniegravere dont on deacutetectera la non conformiteacute (Standard)
SI ou Informatique ndash Systegraveme drsquoinformation Informatique voire Technologies de lrsquoinformation Integravegre le mateacuteriel le logiciel les reacuteseaux et toute les autres installations neacutecessaires agrave lrsquoentreacutee au stockage au traitement agrave la transmission et agrave la sortie des donneacutees sous toutes leurs formes (IT)
Tableau de bord ndash Outil qui permet de repreacutesenter les attentes drsquoune entreprise agrave chaque niveau et de veacuterifier en permanence la situation de la performance par rapport agrave la cible viseacutee (Dashboard)
Tableau de bord des investissements informatiques ndash Outil de mesure des attentes de lrsquoentreprise et de surveillance continue des reacutesultats par rapport aux objectifs des deacutepenses et des retours sur investissements des projets agrave composantes informatiques en termes de valeur pour les meacutetiers (IT investment dashboard)
Tableau de bord eacutequilibreacute ndash Meacutethode pour mesurer les actions drsquoune entreprise en rapport avec sa vision et ses strateacutegies en donnant au management un aperccedilu rapide et complet de la performance de son activiteacute professionnelle Crsquoest un outil de gestion qui cherche agrave mesurer lrsquoactiviteacute de lrsquoentreprise selon les perspectives suivantes financiegravere client meacutetier et acquisition de connaissances (Robert S Kaplan and David Norton 1992) (Balanced scorecard)
Tableau RACI ndash identifie qui est Responsable Approuve est Consulteacute etou Informeacute au sein de lrsquoentreprise (RACI chart)
Tests comparatifs ndash Processus utiliseacute en management particuliegraverement en management strateacutegique au cours duquel les entreprises eacutevaluent divers aspects de leurs processus meacutetiers par rapport aux meilleures pratiques constateacutees en geacuteneacuteral dans leur propre branche (Benchmarking)
Utilisateur informatique ndash Personne qui utilise lrsquoinformatique pour reacutealiser ou atteindre un objectif meacutetier (IT User)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 193
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 194
ANNEXE VIII COBIT ET PRODUITS DE LA FAMILLE COBIT
AN
NE
XE
VII
I
PRO
DU
ITS
CO
BIT
ANNEXE VIII
ANNEXE VIII minus COBIT ET PRODUITS DE LA FAMILLE COBIT Le reacutefeacuterentiel COBIT dans sa version 4 et suivantes comprend bull Le cadre de reacutefeacuterence - explique comment COBIT structure les objectifs de la gouvernance des SI les objectifs de controcircle et les bonnes pratiques
par domaine informatique et par processus et les relie aux exigences meacutetiers bull La description des processus - comprend 34 processus informatiques couvrant toutes les domaines de responsabiliteacute de lrsquoinformatique de A agrave Z bull Les objectifs de controcircle - deacutecrivent sous forme de bonnes pratiques geacuteneacuteriques les objectifs de gestion des processus informatiques bull Le guide de management - propose des outils pour aider agrave reacutepartir les responsabiliteacutes mesurer la performance tester par comparaison la capaciteacute et
agrave trouver des reacuteponses aux insuffisances dans ce domaine bull Les modegraveles de maturiteacute - apportent diffeacuterents profils de processus par la description de diffeacuterents eacutetats possibles actuels et futurs
Depuis sa creacuteation le contenu de base de COBIT nrsquoa cesseacute drsquoeacutevoluer au fil des ans et le nombre de produits deacuteriveacutes de COBIT nrsquoa cesseacute drsquoaugmenter Les publications deacuteriveacutees de COBIT sont aujourdrsquohui les suivantes bull Conseils aux dirigeants dentreprises pour la gouvernance des SI 2e eacutedition - ce document aide les dirigeants agrave comprendre limportance de la
gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre bull COBIT Online - permet de personnaliser COBIT afin de lrsquoadapter agrave son entreprise drsquoenregistrer et de modifier les versions agrave volonteacute Les services
en ligne comprennent la reacutealisation drsquoeacutetudes en temps reacuteel une foire aux questions des tests comparatifs et un forum permettant de poser des questions et de partager des expeacuteriences
bull Pratiques de controcircle COBIT Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition shyrecommandations pour limiter les risques et accroicirctre la valeur gracircce agrave la mise en oeuvre drsquoobjectifs de controcircle et indications pour les mettre en place Il est vivement recommandeacute drsquoutiliser les Pratiques de controcircle COBIT avec le Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition
bull Guide dAssurance informatique Utilisation de COBIT - fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes activiteacutes dassurance ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle de COBIT Il remplace le Guide drsquoAudit pour lrsquoaudit ou lrsquoauto-eacutevaluation des objectifs de controcircle de de COBIT 41
bull Objectifs de controcircle informatiques pour Sarbanes-Oxley rocircle de lrsquoinformatique dans la conception et la mise en place du controcircle interne des rapports financiers 2egraveme Eacutedition - fournit un guide pour assurer la conformiteacute agrave la loi de lrsquoenvironnement informatique en srsquoappuyant sur les objectifs de controcircle COBIT
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition - fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qursquoun ensemble drsquooutils associeacutes
bull COBIT Quickstart 2egraveme Eacutedition - fournit une base de controcircle pour les PMI-PME et peut servir drsquoeacutetape preacuteliminaire pour une grande entreprise bull COBIT Base pour la seacutecuriteacute 2egraveme Eacutedition - se focalise sur les eacutetapes fondamentales de mise en œuvre de la seacutecuriteacute des SI de lrsquoentreprise bull COBIT Mappings actuellement disponibles agrave lrsquoadresse suivante wwwisacaorgdownloads
minus Aligning COBIT ITIL and ISO 17799 for Business Benefit minus COBIT Mapping Overview of International IT Guidance 2nd Edition minus COBIT Mapping Mapping de ISOIEC 177992000 avec COBIT 2nd Edition minus COBIT Mapping Mapping de PMBOK avec COBIT 40 minus COBIT Mapping Mapping de SEIrsquos CMM for Software avec COBIT 40 minus COBIT Mapping Mapping de ITIL avec COBIT 40 minus COBIT Mapping Mapping de PRINCE2 avec COBIT 40
bull Gouvernance de la seacutecuriteacute des SI recommandations aux dirigeants drsquoentreprise 2egraveme Eacutedition - preacutesente la seacutecuriteacute des SI en termes meacutetiers et renferme des outils et des techniques pour aider agrave deacutecouvrir les problegravemes de seacutecuriteacute
VAL IT est le terme geacuteneacuteral retenu pour preacutesenter les publications ainsi que les produits et activiteacutes agrave venir se reacutefeacuterant au reacutefeacuterentiel VAL IT
Les publications actuelles de la famille VAL IT sont bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - le cadre de reacutefeacuterence VAL IT explique comment une entreprise peut
tirer la meilleure valeur possible de ses investissements informatiques Il est baseacute sur COBIT et est structureacute en minus Trois processus - gouvernance de la valeur gestion de portefeuille et gestion de lrsquoinvestissement minus Des pratiques cleacutes de management des SI - les principes de gestion fondamentaux qui facilitent lrsquoatteinte drsquoun but ou du reacutesultat souhaiteacute drsquoune
activiteacute particuliegravere Ils appuient les processus de VAL IT et jouent agrave peu pregraves le mecircme rocircle que les objectifs de controcircle de COBIT bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoanalyse de rentabilisation se focalise sur un eacuteleacutement cleacute du processus
de gestion de lrsquoinvestissement bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoeacutetude de cas ING deacutecrit comment une grande entreprise du secteur
financier gegravere un portefeuille drsquoinvestissements informatiques dans le contexte VAL IT
Visiter les sites wwwisacaorgcobit ou wwwisacaorgvalit pour avoir connaissance des informations les plus agrave jour et les plus complegravetes sur COBIT et VAL IT les produits deacuteriveacutes les eacutetudes de cas les programmes de formation les lettres drsquoinformation et toute autre information particuliegravere sur ces reacutefeacuterentiels En France consulter le site de lrsquoAFAI wwwafaifr
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 195
COBIT41
Page volontairement laisseacutee blanche
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 196
COBIT41
Translated into French language from the English language version of COBIT reg Control Objectives for Information and related technology 41th Edition by AFAI the French Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information Systems Audit and Control Foundation AFAI assumes sole responsibility for the accuracy and faithfulness of the translation
Traduction franccedilaise de COBIT reg Objectifs de controcircle de lInformation et des technologies associeacutees Eacutedition 41 reacutealiseacutee par lrsquoAFAI chapitre franccedilais de lrsquoInformation Systems Audit and Control Association (ISACA) avec lrsquoautorisation de lrsquoIT Governance Institute et de la Information Systems Audit and Control Foundation LrsquoAFAI est seule responsable de lrsquoexactitude et de la fideacuteliteacute de la traduction
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA All rights reserved No part of this publication may be reproduced in any form without the written permission of the IT Governance Institute
Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite de lrsquoIT Governance Institute
Copyright 2000 2002 2006 2008 AFAI Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite du Conseil drsquoAdministration de lrsquoAFAI
REMERCIEMENTS
Lrsquoeacutedition franccedilaise de COBIT 41 est lœuvre de la Commission COBIT de lAFAI preacutesideacutee par Jean-Louis BLEICHER Administrateur de lrsquoAFAI Banque Feacutedeacuterale des Banques Populaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr
COBIT41
REMERCIEMENTS
LrsquoIT Governance Institute tient agrave remercier Les experts les reacutealisateurs et les reacuteviseurs Mark Adler CISA CISM CIA CISSP Allstate Ins Co USA Peter Andrews CISA CITP MCMI PJA Consulting UK Georges Ataya CISA CISM CISSP MSCS PBA Solvay Business School Belgium Gary Austin CISA CIA CISSP CGFM KPMG LLP USA Gary S Baker CA Deloitte amp Touche Canada David H Barnett CISM CISSP Applera Corp USA Christine Bellino CPA CITP Jefferson Wells USA John W Beveridge CISA CISM CFE CGFM CQA Massachusetts Office of the State Auditor USA Alan Boardman CISA CISM CA CISSP Fox IT UK David Bonewell CISA CISSP-ISSEP Accomac Consulting LLC USA Dirk Bruyndonckx CISA CISM KPMG Advisory Belgium Don Canilglia CISA CISM USA Luis A Capua CISM Sindicatura General de la Nacioacuten Argentina Boyd Carter PMP Elegantsolutionsca Canada Dan Casciano CISA Ernst amp Young LLP USA Sean V Casey CISA CPA USA Sushil Chatterji Edutech Singapore Ed Chavennes Ernst amp Young LLP USA Christina Cheng CISA CISSP SSCP Deloitte amp Touche LLP USA Dharmesh Choksey CISA CPA CISSP PMP KPMG LLP USA Jeffrey D Custer CISA CPA CIA Ernst amp Young LLP USA Beverly G Davis CISA Federal Home Loan Bank of San Francisco USA Peter De Bruyne CISA Banksys Belgium Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Philip De Picker CISA MCA National Bank of Belgium Belgium Kimberly de Vries CISA PMP Zurich Financial Services USA Roger S Debreceny PhD FCPA University of Hawaii USA Zama Dlamini Deloitte amp Touche LLP South Africa Rupert Dodds CISA CISM FCA KPMG New Zealand Troy DuMoulin Pink Elephant Canada Bill A Durrand CISA CISM CA Ernst amp Young LLP Canada Justus Ekeigwe CISA MBCS Deloitte amp Touche LLP USA Rafael Eduardo Fabius CISA Republica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Christopher Fox ACA PricewaterhouseCoopers USA Bob Frelinger CISA Sun Microsystems Inc USA Zhiwei Fu Ph D Fannie Mae USA Monique Garsoux Dexia Bank Belgium Edson Gin CISA CFE SSCP USA Sauvik Ghosh CISA CIA CISSP CPA Ernst amp Young LLP USA Guy Groner CISA CIA CISSP USA Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Benjamin K Hsaio CISA Federal Deposit Insurance Corp USA Tom Hughes Acumen Alliance Australia Monica Jain CSQA Covansys Corp US Wayne D Jones CISA Australian National Audit Office Australia John A Kay CISA USA Lisa Kinyon CISA Countrywide USA Rodney Kocot Systems Control and Security Inc USA Luc Kordel CISA CISM CISSP CIA RE RFA Dexia Bank Belgium Linda Kostic CISA CPA USA John W Lainhart IV CISA CISM IBM USA Philip Le Grand Capita Education Services UK Elsa K Lee CISA CISM CSQA AdvanSoft International Inc USA Kenny K Lee CISA CISSP Countrywide SMART Governance USA Debbie Lew CISA Ernst amp Young LLP USA
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 1
COBIT41
REMERCIEMENTS (SUITE)
Donald Lorete CPA Deloitte amp Touche LLP USA Addie CP Lui MCSA MCSE First Hawaiian Bank USA Debra Mallette CISA CSSBB Kaiser Permanente USA Charles Mansour CISA Charles Mansour Audit amp Risk Service UK Mario Micallef CPAA FIA National Australia Bank Group Australia Niels Thor Mikkelsen CISA CIA Danske Bank Denmark John Mitchell CISA CFE CITP FBCS FIIA MIIA QiCA LHS Business Control UK Anita Montgomery CISA CIA Countrywide USA Karl Muise CISA City National Bank USA Jay S Munnelly CISA CIA CGFM Federal Deposit Insurance Corp USA Sang Nguyen CISA CISSP MCSE Nova Southeastern University USA Ed OrsquoDonnell PhD CPA University of Kansas USA Sue Owen Department of Veterans Affairs Australia Robert G Parker CISA CA CMC FCA Robert G Parker Consulting Canada Robert Payne Trencor Services (Pty) Ltd South Africa Thomas Phelps IV CISA PricewaterhouseCoopers LLP USA Vitor Prisca CISM Novabase Portugal Martin Rosenberg PhD IT Business Management UK Claus Rosenquist CISA TrygVesata Denmark Jaco Sadie Sasol South Africa Max Shanahan CISA FCPA Max Shanahan amp Associates Australia Craig W Silverthorne CISA CISM CPA IBM Business Consulting Services USA Chad Smith Great-West Life Canada Roger Southgate CISA CISM FCCA CubeIT Management Ltd UK Paula Spinner CSC USA Mark Stanley CISA Toyota Financial Services USA Dirk E Steuperaert CISA PricewaterhouseCoopers Belgium Robert E Stroud CA Inc USA Scott L Summers PhD Brigham Young University USA Lance M Turcato CISA CISM CPA City of Phoenix IT Audit Division USA Wim Van Grembergen PhD University of Antwerp Management School Belgium Johan Van Grieken CISA Deloitte Belgium Greet Volders Voquals NV Belgium Thomas M Wagner Gartner Inc USA Robert M Walters CISA CPA CGA Office of the Comptroller General Canada Freddy Withagels CISA Capgemini Belgium Tom Wong CISA CIA CMA Ernst amp Young LLP Canada Amanda Xu CISA PMP KPMG LLP USA
Le Conseil drsquoAdministration de lrsquoITGI Everett C Johnson CPA Deloitte amp Touche LLP (retired) USA International President Georges Ataya CISA CISM CISSP Solvay Business School Belgium Vice President William C Boni CISM Motorola USA Vice President Avinash Kadam CISA CISM CISSP CBCP GSEC GCIH Miel e-Security Pvt Ltd India Vice President Jean-Louis Leignel MAGE Conseil France Vice President Lucio Augusto Molina Focazzio CISA Colombia Vice President Howard Nicholson CISA City of Salisbury Australia Vice President Frank Yam CISA FHKIoD FHKCS FFA CIA CFE CCP CFSA Focus Strategic Group Hong Kong Vice President Marios Damianides CISA CISM CA CPA Ernst amp Young LLP USA Past International President Robert S Roussey CPA University of Southern California USA Past International President Ronald Saull CSP Great-West Life and IGM Financial Canada Trustee
Le Comiteacute IT Governance Tony Hayes FCPA Queensland Government Australia Chair Max Blecher Virtual Alliance South Africa Sushil Chatterji Edutech Singapore Anil Jogani CISA FCA Tally Solutions Limited UK John W Lainhart IV CISA CISM IBM USA Roacutemulo Lomparte CISA Banco de Creacutedito BCP Peru Michael Schirmbrand PhD CISA CISM CPA KPMG LLP Austria Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 2
COBIT41 Le Comiteacute de pilotage COBIT Roger Debreceny PhD FCPA University of Hawaii USA Chair Gary S Baker CA Deloitte amp Touche Canada Dan Casciano CISA Ernst amp Young LLP USA Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Rafael Eduardo Fabius CISA Repuacuteblica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Debbie A Lew CISA Ernst amp Young LLP USA Maxwell J Shanahan CISA FCPA Max Shanahan amp Associates Australia Dirk Steuperaert CISA PricewaterhouseCoopers LLC Belgium Robert E Stroud CA Inc USA
Les conseillers de lrsquoITGI Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada Chair Roland Bader F Hoffmann-La Roche AG Switzerland Linda Betz IBM Corporation USA Jean-Pierre Corniou Renault France Rob Clyde CISM Symantec USA Richard Granger NHS Connecting for Health UK Howard Schmidt CISM RampH Security Consulting LLC USA Alex Siow Yuen Khong StarHub Ltd Singapore Amit Yoran Yoran Associates USA
Les sponsors et membres affilieacutes de lrsquoITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systegravemes drsquoInformation Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte Lte CA Hewlett-Packard IBM LogLogic Inc Phoenix Business and Systems Process Inc Symantec Corporation Wolcott Group LLC World Pass IT Solutions
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 3
COBIT41 TABLE DES MATIEgraveRES
SYNTHEgraveSE 5
CADRE DE REacuteFEacuteRENCE COBIT 9
PLANIFIER ET ORGANISER 29
ACQUEacuteRIR ET IMPLEacuteMENTER 73
DEacuteLIVRER ET SUPPORTER 101
SURVEILLER ET EVALUER 153
ANNEXE I ndash LIENS ENTRE OBJECTIFS ET PROCESSUS 169
ANNEXE II ndash LIENS ENTRE LES PROCESSUS INFORMATIQUES ET LES DOMAINES DE LA GOUVERNANCE DES SI LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT 173
ANNEXE III ndash MODEgraveLES DE MATURITEacute POUR LE CONTROcircLE INTERNE 175
ANNEXE IV - DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41 177
ANNEXE V ndash TABLEAU DES CORRESPONDANCES ENTRE COBIT 3E EacuteDITION ET COBIT 41 179
ANNEXE VI ndash APPROCHE RECHERCHE ET DEacuteVELOPPEMENT 187
ANNEXE VII ndash GLOSSAIRE 189
ANNEXE VIII ndash COBIT ET PRODUITS DE LA FAMILLE COBIT 195
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 4
SY
NT
HEgrave
SE
SYNTHEgraveSE
SYNTHEgraveSE
SYNTHEgraveSE
Pour beaucoup dentreprises linformation et la technologie sur laquelle elle sappuie constituent les actifs les plus preacutecieux mecircme si elles sont souvent les moins bien perccedilues Les entreprises qui reacuteussissent connaissent les avantages des technologies de linformation et les utilisent pour apporter de la valeur agrave leurs parties prenantes Ces entreprises comprennent et gegraverent aussi les contraintes et les risques connexes comme lobligation de se soumettre agrave des regravegles de conformiteacute de plus en plus contraignantes et la deacutependance de plus en plus forte de nombreux processus meacutetiers vis-agrave-vis des systegravemes dinformation (SI)
Le besoin de sassurer de la valeur des SI la gestion des risques qui leur sont lieacutes et les exigences croissantes de controcircle sur linformation sont deacutesormais reconnus comme des eacuteleacutements cleacutes de la gouvernance dentreprise Valeur risque et controcircle constituent le cœur de la gouvernance des SI
La gouvernance des SI est de la responsabiliteacute des dirigeants et du conseil dadministration et elle est constitueacutee des structures et processus de commandement et de fonctionnement qui conduisent linformatique de lentreprise agrave soutenir les strateacutegies et les objectifs de lentreprise et agrave lui permettre de les eacutelargir
De plus la gouvernance des SI integravegre et institutionnalise les bonnes pratiques pour sassurer quelles soutiennent la mise en œuvre des objectifs meacutetiers La gouvernance des SI permet agrave lentreprise de tirer pleinement profit de ses donneacutees maximisant ainsi ses beacuteneacutefices capitalisant sur les opportuniteacutes qui se preacutesentent et gagnant un avantage concurrentiel Pour y parvenir il convient dutiliser un reacutefeacuterentiel pour le controcircle des SI qui adopte les principes du Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control-Integrated Framework reacutefeacuterentiel de gouvernance dentreprise et de gestion des risques largement reconnu et dautres reacutefeacuterentiels semblables qui se conforment aux mecircmes principes
Les entreprises doivent satisfaire aux exigences fiduciaires ainsi quaux exigences de qualiteacute et de seacutecuriteacute pour leur information comme pour tous leurs autres actifs Les dirigeants doivent aussi optimiser lutilisation des ressources informatiques disponibles applications donneacutees infrastructures et personnels Pour sacquitter de ces responsabiliteacutes comme pour atteindre ces objectifs ils doivent connaicirctre la situation de leur architecture systegraveme et deacutecider quelle gouvernance et quels controcircles informatiques ils doivent mettre en place
Objectifs de Controcircle de lInformation et des technologies associeacutees (Control Objectives for Information and related Technology COBITreg) propose les bonnes pratiques dans un cadre de reacutefeacuterence par domaine et par processus et preacutesente les activiteacutes dans une structure logique facile agrave appreacutehender Les bonnes pratiques de COBIT sont le fruit dun consensus dexperts Elles sont tregraves axeacutees sur le controcircle et moins sur lexeacutecution des processus Elles ont pour but daider agrave optimiser les investissements informatiques agrave assurer la fourniture des services et agrave fournir des outils de mesure (meacutetriques) auxquels se reacutefeacuterer pour eacutevaluer les dysfonctionnements
Pour que linformatique reacuteponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systegraveme de controcircle ou un cadre de controcircle interne Pour reacutepondre agrave ce besoin le cadre de reacutefeacuterence de controcircle de COBIT bull eacutetablit un lien avec les exigences meacutetiers de lentreprise bull structure les activiteacutes informatiques selon un modegravele de processus largement reconnu bull identifie les principales ressources informatiques agrave mobiliser bull deacutefinit les objectifs de controcircle agrave prendre en compte
Lorientation meacutetiers de COBIT consiste agrave lier les objectifs meacutetiers aux objectifs informatiques agrave fournir les meacutetriques (ce qui doit ecirctre mesureacute et comment) et les modegraveles de maturiteacute pour faire apparaicirctre leur degreacute de reacuteussite et agrave identifier les responsabiliteacutes communes aux proprieacutetaires de processus meacutetiers et aux proprieacutetaires de processus informatiques
Lorientation processus de COBIT est illustreacutee par un modegravele de processus qui subdivise la gestion des Systegravemes dInformation en quatre domaines et 34 processus reacutepartis entre les domaines de responsabiliteacutes que sont planifier mettre en place faire fonctionner et surveiller donnant ainsi une vision complegravete de lactiviteacute informatique Les concepts darchitecture dentreprise aident agrave identifier les ressources essentielles au bon deacuteroulement des processus comme les applications linformation les infrastructures et les personnes
En reacutesumeacute pour fournir les informations dont lentreprise a besoin pour reacutealiser ses objectifs les ressources informatiques doivent ecirctre geacutereacutees par un ensemble de processus regroupeacutes selon une certaine logique
Mais comment controcircler les systegravemes dinformation pour quils fournissent les donneacutees dont lentreprise a besoin Comment gegraverent-ils les risques lieacutes aux ressources informatiques dont elles sont si deacutependantes et comment seacutecuriser celles-ci Comment lentreprise peut-elle sassurer que linformatique atteint ses objectifs et concourt au succegraves des siens propres
Les dirigeants ont dabord besoin dobjectifs de controcircle qui deacutefinissent les objectifs ultimes des politiques des plans des proceacutedures et des structures organisationnelles de lentreprise conccedilues pour fournir lassurance raisonnable que bull les objectifs de lentreprise seront atteints bull des dispositifs sont en place pour preacutevenir ou deacutetecter et corriger les eacuteveacutenements indeacutesirables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 5
ndash
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT D
E
VALEURA
LIGNEMENT
STRATEGIQUE
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Figure 1 ndash Information du management
ndash
COBIT41 Ensuite dans les environnements complexes daujourdhui le management est continuellement agrave la recherche dinformations condenseacutees et disponibles en temps utile lui permettant de prendre rapidement des deacutecisions difficiles en matiegravere de valeur de risque et de controcircle Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer objectivement ougrave elles en sont et ougrave elles doivent apporter des ameacuteliorations et elles ont besoin dimpleacutementer des outils de gestion pour surveiller ces ameacuteliorations La figure 1 montre certaines questions classiques et les outils de gestion de linformation utiliseacutes pour trouver les reacuteponses Mais ces tableaux de bord neacutecessitent des indicateurs les tableaux de bord eacutequilibreacutes des mesures et les tests comparatifs une eacutechelle de comparaison
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisantspour le plus grand nombre possible desparties prenantes
Comment adapter en temps utile lrsquoentrepriseaux tendances et aux deacuteveloppements deson environnement professionnel
Indicateurs
Mesures
Echelles
Tableaux de bord
Tableaux de bord eacutequilibreacutes
Tests comparatifs
Comment les responsables maintiennentshyils
le navire sur le bon cap
Comment obtenir des reacutesultats satisfaisants pour le plus grand nombre possible des parties prenantes
Comment adapter en temps utile lrsquoentreprise aux tendances et aux deacuteveloppements de son environnement professionnel
Indicateurs
Mesures
Echelles
Figure 1 Information du management
La reacuteponse agrave ce besoin de deacuteterminer et de surveiller les niveaux approprieacutes de controcircle et de performance de linformatique est la deacutefinition donneacutee par COBIT des eacuteleacutements suivants bull Tests comparatifs de la capaciteacute et des performances des processus informatiques preacutesenteacutes sous la forme de modegraveles de maturiteacute inspireacutes
du Capability Maturity Model (CMM) du Software Engineering Institute bull Objectifs et meacutetriques des processus informatiques pour deacutefinir et mesurer leurs reacutesultats et leurs performances selon les principes du
tableau de bord eacutequilibreacute (Balanced Scorecard) de Robert Kaplan et David Norton bull Objectifs des activiteacutes pour mettre ces processus sous controcircle en se basant sur les objectifs de controcircle de COBIT
Leacutevaluation de la capaciteacute des processus au moyen des modegraveles de maturiteacute de COBIT est un eacuteleacutement cleacute de la mise en place dune gouvernance des SI Lorsquon a identifieacute les processus et les controcircles informatiques essentiels le modegravele de maturiteacute permet de mettre en eacutevidence les deacutefauts de maturiteacute et den faire la deacutemonstration au management On peut alors concevoir des plans daction pour amener ces processus au niveau de maturiteacute deacutesireacute
COBIT concourt ainsi agrave la gouvernance des SI (figure 2) en fournissant un cadre de reacutefeacuterence qui permet de sassurer que bull les SI sont aligneacutes sur les meacutetiers de lentreprise bull les SI apportent un plus aux meacutetiers et maximisent ses reacutesultats bull les ressources des SI sont utiliseacutees de faccedilon responsable bull les risques lieacutes aux SI sont geacutereacutes comme il convient
La mesure de la performance est essentielle agrave la gouvernance des SI Elle est un eacuteleacutement de COBIT et consiste entre autres agrave fixer et agrave surveiller des objectifs mesurables pour ce que les processus informatiques sont censeacutes fournir (reacutesultat du processus) et pour la faccedilon dont ils le fournissent (capaciteacute et performance du processus) De nombreuses eacutetudes ont montreacute que le manque de transparence des coucircts de la valeur et des risques des SI est lune de motivations principales pour mettre en place une gouvernance des SI Si dautres domaines y contribuent cest essentiellement la mesure des performances qui permet la transparence
Figure 2 Domaines de la Gouvernance des SI
bull LrsquoAlignement Strateacutegique consiste agrave srsquoassurer que les plans informatiques restent aligneacutes sur les plans des meacutetiers agrave deacutefinir tenir agrave jour et valider les propositions de valeur ajouteacutee de lrsquoinformatique et agrave aligner le fonctionnement de lrsquoinformatique sur le fonctionnement de lrsquoentreprise
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
bull LrsquoApport de valeur consiste agrave mettre en œuvre la proposition de valeur ajouteacutee tout au long du cycle de fourniture du service agrave srsquoassurer que lrsquoinformatique apporte bien les beacuteneacutefices attendus sur le plan strateacutegique agrave srsquoattacher agrave optimiser les coucircts et agrave prouver la valeur intrinsegraveque des SI
bull La Gestion des ressources consiste agrave optimiser lrsquoinvestissement dans les ressources informatiques vitales et agrave bien les geacuterer applications informations infrastructures et personnes Les questions cleacutes concernent lrsquooptimisation des connaissances et de lrsquoinfrastructure
bull La Gestion des risques exige une conscience des risques de la part des cadres supeacuterieurs une vision claire de lrsquoappeacutetence de lrsquoentreprise pour le risque une bonne connaissance des exigences de conformiteacute de la transparence agrave propos des risques significatifs encourus par lrsquoentreprise et lrsquoattribution des responsabiliteacutes en matiegravere de gestion des risques au sein de lrsquoentreprise
bull La Mesure de la performance consiste en un suivi et une surveillance de la mise en œuvre de la strateacutegie de lrsquoaboutissement des projets de lrsquoutilisation des ressources de la performance des processus et de la fourniture des services en utilisant par exemple des tableaux de bord eacutequilibreacutes qui traduisent la strateacutegie en actions orienteacutees vers lrsquoatteinte drsquoobjectifs mesurables autrement que par la comptabiliteacute conventionnelle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 6
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Figure 3 ndash Scheacutema du contenu de COBIT
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
Comment le conseil
d administration exerce t il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment s ameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans l entreprise
Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute
Gu de de management
ndash
SYNTHEgraveSE Ces domaines de la gouvernance des SI preacutesentent les questions que les dirigeants doivent examiner pour mettre en place cette gouvernance dans leur entreprise La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables meacutetiers de disposer dun modegravele de reacutefeacuterence commun COBIT propose dans lannexe II (Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT) un tableau qui met en regard les processus informatiques et les domaines de gouvernance pour faire le lien entre les tacircches des responsables informatiques et les objectifs de gouvernance de la direction geacuteneacuterale
Pour que cette gouvernance soit efficace les dirigeants doivent exiger des directions informatiques quelles mettent en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus et les controcircles des SI
COBIT sinteacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequats des SI au niveau geacuteneacuteral COBIT se conforme agrave dautres standards informatiques plus deacutetailleacutes et aux bonnes pratiques (voir annexe IV Documents de reacutefeacuterence de COBIT 41) COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un mecircme cadre de reacutefeacuterence geacuteneacuteral qui fait aussi le lien avec les exigences de gouvernance et les exigences opeacuterationnelles
COSO (comme dautres reacutefeacuterentiels compatibles semblables) est couramment accepteacute comme le cadre de reacutefeacuterence du controcircle interne des entreprises COBIT est la reacutefeacuterence geacuteneacuteralement accepteacutee du controcircle interne des SI
Les produits COBIT sorganisent en trois niveaux (figure 3) conccedilus pour apporter leur aide bull aux dirigeants et administrateurs bull aux directions opeacuterationnelles et
informatiques bull aux professionnels de la gouvernance de
lassurance du controcircle et de la seacutecuriteacute
En quelques mots les produits COBIT sont composeacutes des eacuteleacutements suivants bull Conseils aux dirigeants dentreprises pour la
gouvernance des SI 2e eacutedition ce document aide les dirigeants agrave comprendre limportance de la gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre
bull Guide de managementmodegraveles de maturiteacute ces outils permettent de reacutepartir les responsabiliteacutes de mesurer la performance de tester la capaciteacute et de trouver des reacuteponses aux insuffisances dans ce domaine
bull Cadres de reacutefeacuterence ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques par domaine informatique et par processus et de les relier aux exigences meacutetiers
bull Objectifs de controcircle ils fournissent un large
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour desfonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT etGouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprisesspeacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dunprogramme plus large de gouvernance des SI)
rsquo- -
rsquo
rsquo
rsquo
Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour lagouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
rsquo- -
rsquo
rsquo
rsquo
Comment le conseil
drsquoadministration exerce-t-il sa
responsabiliteacute
Dirigeants et Administrateurs
Comment mesurer la performance Comment se comparer aux autres
Et comment srsquoameacuteliorer
Responsables meacutetier et informatique
Comment eacutevaluer le reacutefeacuterentiel de
gouvernance des SI
Quel est le reacutefeacuterentiel de
gouvernance des SI
Comment le mettre en place dans lrsquoentreprise
Professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute
Guide drsquoaudit des SIGuide drsquoimpleacutementation de la gouvernance des SI
2egraveme eacutedition
Pratiques cleacutes de gestion
Objectifs de Controcircle
Reacutefeacuterentiels COBIT et VALIT
Pratiques de controcircle COBIT
2egraveme eacutedition
Conseils aux dirigeants pour la gouvernance des SI
2egraveme eacutedition
Modegraveles de maturiteacute
i
Modegraveles de maturiteacute
Guide de management
Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT et Gouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprises speacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dun programme plus large de gouvernance des SI)
Figure 3 Scheacutema du contenu de COBIT
eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT reg et Val ITtrade 2egraveme Eacutedition ce guide fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val ITtrade
bull Pratiques de controcircle COBITreg Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition conseils sur limportance des controcircles et sur la faccedilon de les mettre en place
bull Guide dAudit de lrsquoinformatique Utilisation de COBIT reg ce guide fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes types daudit ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle
Le scheacutema de contenu COBIT de la figure 3 preacutesente les principaux publics leurs questions sur la gouvernance des SI et les produits qui permettent geacuteneacuteralement dy apporter des reacuteponses Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres dans des domaines comme la seacutecuriteacute ou pour des entreprises speacutecifiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 7
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Figure 4 ndash Relations entre les composants de COBIT
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutescleacutes
Tableau desresponsabiliteacutes
et des approbations
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
Processus informatiques
Objectifs informatiques
ndash
COBIT41 Tous ces composants COBIT sont relieacutes entre eux et visent agrave reacutepondre aux besoins de gouvernance de gestion de controcircle et dassurances de diffeacuterents acteurs comme le montre la figure 4
Figure 4 Relations entre les composants de COBIT
Tableau des responsabiliteacutes
et des approbations
eeeffffffeeecccttt
Processus informatiques
Objectifs informatiques
Objectifs de controcircle
Tests de controcircle du reacutesultat
Activiteacutes cleacutes
Indicateurs de performance
Mesures des reacutesultats
Modegraveles de maturiteacute
Tests de controcircle de
la conception
Pratiques de controcircle
Objectifs meacutetiers
bbbeeesssoooiiinnnsss iiinnnfffooorrrmmmaaatttiiiooonnn
dddeacuteeacuteeacutecccooommmpppooossseacuteeacuteeacutesss eeennn
uuueacuteeacuteeacuteeeesss pppaaarrr
mmmeeesss
uuurrreacuteeacuteeacutesss pppaaarrr
aaauuudddiiittteacuteeacuteeacutessspppaaarrr
cccooonnntttrrrocircocircocircllleacuteeacuteeacutesss pppaaarrr
dddeacuteeacuteeacutecccooouuulllaaannnttt dddeee
iiimmmpppllleacuteeacuteeacutemmm
eeennnttteacuteeacuteeacutessspppaaarrr
aaauuudddiiittteacuteeacuteeacutesss pppaaarrr
pppooouuurrrlllaaa
mmmaaatttuuurrriiittteacuteeacuteeacute
pppooouuurrr
llleeerrreacuteeacuteeacute
sssuuulllttt
aaattt
pppooouuurrr lllaaapppeeerrr
fffooorrrmmm
aaannnccceee
bbbaaassseacuteeacuteeacutesss sssuuurrr
COBIT est un cadre de reacutefeacuterence et un ensemble doutils permettant aux dirigeants de faire le lien entre les exigences du controcircle les probleacutematiques techniques et les risques meacutetiers et de communiquer avec les parties prenantes sur ce niveau de controcircle COBIT permet deacutelaborer des politiques claires et des bonnes pratiques pour la maicirctrise des SI dans toutes les entreprises COBIT est en permanence tenu agrave jour et harmoniseacute avec les autres standards et recommandations COBIT est ainsi devenu linteacutegrateur des bonnes pratiques en technologies de linformation et le reacutefeacuterentiel geacuteneacuteral de la gouvernance des SI qui aide agrave comprendre et agrave geacuterer les risques et les beacuteneacutefices qui leur sont associeacutes COBIT est organiseacute par processus et sa faccedilon daborder lentreprise par les meacutetiers apporte une vision des SI qui couvre lensemble de leur champ dapplication et des deacutecisions agrave prendre pour ce qui les concerne
Ladoption de COBIT comme cadre de gouvernance des SI offre les avantages suivants bull un meilleur alignement de linformatique sur lactiviteacute de lentreprise du fait de son orientation meacutetiers bull une vision compreacutehensible par le management de ce que fait linformatique bull une attribution claire de la proprieacuteteacute et des responsabiliteacutes du fait de lapproche par processus bull un preacutejugeacute favorable de la part des tiers et des organismes de controcircle bull une compreacutehension partageacutee par toutes les parties prenantes gracircce agrave un langage commun bull le respect des exigences du COSO pour le controcircle de lenvironnement informatique
Le reste de ce document propose une description du Cadre de Reacutefeacuterence de COBIT et tous les composants essentiels de COBIT preacutesenteacutes par domaine (les 4 domaines informatiques) et par processus (les 34 processus informatiques) de COBIT Lensemble constitue un manuel de reacutefeacuterence facile agrave consulter des principaux constituants de COBIT Plusieurs annexes proposent eacutegalement des reacutefeacuterences utiles
Les informations les plus complegravetes et les plus reacutecentes sur COBIT et les produits connexes (outils en ligne guides de mise en œuvre eacutetudes de cas lettres dinformation mateacuteriel peacutedagogique etc) sont disponibles sur wwwisacaorgcobit
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 8
CADRE DE REacuteFEacuteRENCE
CA
DR
E D
E
REacute
FEacuteR
EN
CE
CADRE DE REacuteFEacuteRENCE
CADRE DE REacuteFEacuteRENCE COBIT
La mission de COBIT
Elle consiste agrave imaginer mettre au point publier et promouvoir un cadre de reacutefeacuterence de controcircle de la gouvernance des SI actualiseacute reconnu dans le monde entier et faisant autoriteacute Ce cadre de reacutefeacuterence devra ecirctre adopteacute par les entreprises et utiliseacute quotidiennement par les dirigeants les professionnels de linformatique et les professionnels de lassurance
LE BESOIN DUN CADRE DE REacuteFEacuteRENCE POUR LA GOUVERNANCE DES SI
Le cadre de reacutefeacuterence pour la gouvernance des SI deacutefinit les raisons pour lesquelles la gouvernance des SI est neacutecessaire les diffeacuterentes parties prenantes et sa mission
Pourquoi
Les dirigeants ont de plus en plus conscience de limpact significatif de linformation sur le succegraves de lentreprise Ils sattendent agrave ce que lon comprenne de mieux en mieux comment sont utiliseacutees les technologies de linformation et la probabiliteacute quelles contribuent avec succegraves agrave donner un avantage concurrentiel agrave lentreprise Ils veulent savoir en particulier si la gestion des SI peut leur permettre bull datteindre leurs objectifs bull davoir assez de reacutesilience pour apprendre et sadapter bull de geacuterer judicieusement les risques auxquels ils doivent faire face bull de savoir bien identifier les opportuniteacutes et dagir pour en tirer parti
Les entreprises qui reacuteussissent comprennent les risques exploitent les avantages des SI et trouvent comment bull aligner la strateacutegie de linformatique sur celle de lentreprise bull assurer aux investisseurs et aux actionnaires que lentreprise respecte une norme de prudence et de diligence relative agrave la reacuteduction des
risques informatiques bull reacutepercuter la strateacutegie et les objectifs de linformatique dans lentreprise bull faire en sorte que linvestissement informatique produise de la valeur bull apporter les structures qui faciliteront la mise en œuvre de cette strateacutegie et de ces objectifs bull susciter des relations constructives entre les meacutetiers et linformatique et avec les partenaires externes bull mesurer la performance des SI
Les entreprises ne peuvent pas reacutepondre efficacement agrave ces exigences meacutetiers et agrave celles de la gouvernance sans adopter et mettre en œuvre un cadre de reacutefeacuterence pour la gouvernance et pour les controcircles qui permette aux directions des SI bull deacutetablir un lien avec les exigences meacutetiers de lentreprise bull de rendre leurs performances transparentes par rapport agrave ces exigences bull dorganiser leurs activiteacutes selon un modegravele de processus largement reconnu bull didentifier les principales ressources informatiques agrave mobiliser bull de deacutefinir les objectifs de controcircle de management agrave envisager
Par ailleurs les reacutefeacuterentiels de gouvernance et de controcircle font deacutesormais partie des bonnes pratiques de gestion des SI ils sont aussi un moyen de faciliter la mise en place de la gouvernance des SI et de se conformer aux exigences reacuteglementaires toujours plus nombreuses
Les bonnes pratiques informatiques ont gagneacute leurs galons gracircce agrave un certain nombre de facteurs bull lexigence du meilleur retour sur investissements de leurs SI par les dirigeants et les administrateurs autrement dit il convient de faire en
sorte que linformatique fournisse agrave lentreprise ce dont elle a besoin pour apporter une valeur accrue aux parties prenantes bull la preacuteoccupation de voir le niveau de deacutepenses informatiques augmenter assez systeacutematiquement bull le besoin de reacutepondre aux exigences reacuteglementaires de controcircle des SI dans des domaines comme le respect de la vie priveacutee et la
publication des reacutesultats financiers (par exemple la loi ameacutericaine Sarbanes-Oxley Bacircle II) et dans des secteurs speacutecifiques comme la finance les produits pharmaceutiques et la santeacute
bull la seacutelection de fournisseurs de services la gestion de services externaliseacutes et la gestion des achats bull la complexiteacute croissante des risques informatiques comme la seacutecuriteacute des reacuteseaux bull les initiatives de la gouvernance des SI qui font une place aux reacutefeacuterentiels de controcircle et aux bonnes pratiques pour aider agrave la surveillance
et agrave lameacutelioration des activiteacutes informatiques strateacutegiques de faccedilon agrave augmenter la valeur et reacuteduire les risques pour lentreprise bull le besoin doptimiser les coucircts en adoptant chaque fois que cest possible des approches standardiseacutees plutocirct quindividualiseacutees bull une plus grande maturiteacute caracteacuteriseacutee par ladoption de reacutefeacuterentiels reacuteputeacutes comme COBIT ITIL (IT Infrastructure Library) la seacuterie ISO
27000 sur les normes lieacutees agrave la seacutecuriteacute de linformation la norme ISO 90012000 Systegravemes de management de la qualiteacute - Exigences le CMMI (Capability Maturity Modelreg Integration) PRINCE2 (Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge)
bull le besoin queacuteprouvent les entreprises deacutevaluer leurs performances par rapport aux normes communeacutement accepteacutees et vis-agrave-vis de leurs pairs (analyse comparative - benchmarking)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 9
Exigencesmeacutetiers
InformationsEntreprise
Ressourcesinformatiques
Processusinformatiques
COBIT
Figure 5 ndash Principe de base de COBIT
ndash
COBIT41 Qui
Un reacutefeacuterentiel de gouvernance et de controcircle sert les inteacuterecircts de diverses parties prenantes internes et externes dont chacune a des besoins speacutecifiques bull Les parties prenantes internes agrave lrsquoentreprise qui ont inteacuterecirct agrave voir les investissements informatiques geacuteneacuterer de la valeur sont
minus celles qui prennent les deacutecisions drsquoinvestissements minus celles qui deacutefinissent les exigences minus celles qui utilisent les services informatiques
bull Les parties prenantes internes et externes qui fournissent les services informatiques sont minus celles qui gegraverent lrsquoorganisation et les processus informatiques minus celles qui en deacuteveloppent les capaciteacutes minus celles qui exploitent les systegravemes drsquoinformation au quotidien
bull Les parties prenantes internes et externes qui ont des responsabiliteacutes dans le controcircle et le risque sont minus celles qui sont en charge de la seacutecuriteacute du respect de la vie priveacutee etou des risques minus celles qui sont en charge des questions de conformiteacute minus celles qui fournissent des services drsquoassurance ou qui en ont besoin
Quoi
Pour faire face agrave ces exigences un cadre de reacutefeacuterence pour la gouvernance et le controcircle des SI doivent respecter les speacutecifications geacuteneacuterales suivantes bull Fournir une vision meacutetiers qui permette drsquoaligner les objectifs de lrsquoinformatique sur ceux de lrsquoentreprise bull Eacutetablir un scheacutema par processus qui deacutefinisse ce que chacun drsquoeux recouvre avec une structure preacutecise qui permette de srsquoy retrouver
facilement bull Faire en sorte que lrsquoensemble puisse ecirctre geacuteneacuteralement accepteacute en se conformant aux meilleures pratiques et aux standards informatiques
et en restant indeacutependant des technologies speacutecifiques bull Fournir un langage commun avec son glossaire qui puisse ecirctre geacuteneacuteralement compris par toutes les parties prenantes bull Aider agrave remplir les obligations reacuteglementaires en se conformant aux standards geacuteneacuteralement accepteacutes de la gouvernance des entreprises
(ex COSO) et du controcircle informatique tels que les pratiquent les reacutegulateurs et les auditeurs externes
COMMENT COBIT REacutePOND Agrave CES BESOINS
Le cadre de reacutefeacuterence de COBIT reacutepond agrave ces besoins par quatre caracteacuteristiques principales il est centreacute sur les meacutetiers de lentreprise organiseacute par processus baseacute sur des controcircles et sappuie systeacutematiquement sur des mesures
Centreacute sur les meacutetiers
Lorientation meacutetiers est lideacutee centrale de COBIT Il est conccedilu non seulement pour ecirctre employeacute par les fournisseurs de services informatiques les utilisateurs et les auditeurs mais eacutegalement ce qui est le plus important comme un guide compreacutehensible par le management et par les proprieacutetaires de processus meacutetiers
Le cadre de reacutefeacuterence de COBIT se base sur le principe suivant (figure 5)
Pour fournir linformation dont elle a besoin pour atteindre ses objectifs lentreprise doit investir dans des ressources informatiques les geacuterer et les controcircler au moyen dun ensemble de processus structureacute pour fournir les services qui transmettent les donneacutees dont lentreprise a besoin
La gestion et le controcircle des informations sont au cœur du cadre de reacutefeacuterence de COBIT et permettent de sassurer que linformatique est aligneacutee sur les exigences meacutetiers de lentreprise
CRITEgraveRES DINFORMATION DE COBIT Pour satisfaire aux objectifs meacutetiers lentreprise linformation doit se conformer agrave certains critegraveres de controcircle que COBIT deacutefinit comme les exigences de lentreprise en matiegravere dinformation Agrave partir des impeacuteratifs plus larges de qualiteacute fiduciaires et de seacutecuriteacute on deacutefinit sept critegraveres dinformation distincts dont certains se recoupent bull LEfficaciteacute qualifie toute information pertinente utile aux processus meacutetiers livreacutee au moment opportun sous une forme correcte
coheacuterente et utilisable bull LEfficience qualifie la mise agrave disposition de linformation gracircce agrave lutilisation optimale (la plus productive et la plus eacuteconomique) des
ressources bull La Confidentialiteacute concerne la protection de linformation sensible contre toute divulgation non autoriseacutee
quireacutepondent
aux
pourfournir
qui sontutiliseacutees par
geacutenegraverent desInvestissements
dans
Exigences meacutetiers
Informations Entreprise
Ressources informatiques
Processus informatiques
COBIT
qui reacutepondent
aux
pour fournir
qui sont utiliseacutees par
geacutenegraverent des Investissements
dans
Figure 5 Principe de base de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 10
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Figure 6 ndash Deacutefinir les objectifs informatiques et lrsquoarchitecture de lrsquoentreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Strateacutegie de
l entrepriseObjectifs
meacutetiers pour SI
Objectifs
informatiques
Architectureinformatique
de l entreprise
Tableaude bord
informatique
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveresd information
Services informatiques
Exigences de la gouvernance
Exigencesmeacutetiers
ont besoin
Processusinformatiques
font tourner
Infrastructures et personnes
Applications
Informationsfournissent
Architecture informatique de l entreprise
Processusinformatiques
Infrastructures et personnes
Applications
Informations
ndash rsquo rsquo
CADRE DE REacuteFEacuteRENCE bull LInteacutegriteacute touche agrave lexactitude et agrave lexhaustiviteacute de linformation ainsi quagrave sa validiteacute au regard des valeurs de lentreprise et de ses
attentes bull La Disponibiliteacute qualifie linformation dont peut disposer un processus meacutetier tant dans limmeacutediat quagrave lavenir Elle concerne aussi la
sauvegarde des ressources neacutecessaires et les moyens associeacutes bull La Conformiteacute consiste agrave se conformer aux lois aux reacuteglementations et aux clauses contractuelles auxquelles le processus meacutetier est
soumis cest-agrave-dire aux critegraveres professionnels imposeacutes par lexteacuterieur comme par les politiques internes bull La Fiabiliteacute concerne la fourniture dinformations approprieacutees qui permettent au management de piloter lentreprise et dexercer ses
responsabiliteacutes fiduciaires et de gouvernance
OBJECTIFS MEacuteTIERS ET OBJECTIFS INFORMATIQUES Si les critegraveres dinformation constituent un moyen geacuteneacuterique de deacutefinir les exigences meacutetiers eacutetablir un ensemble geacuteneacuterique dobjectifs meacutetiers et informatiques constitue une base plus deacutetailleacutee lieacutee agrave lactiviteacute de lentreprise pour deacutefinir les exigences meacutetiers et pour deacutevelopper les meacutetriques qui permettent de mesurer les reacutesultats par rapport agrave ces objectifs Chaque entreprise utilise linformatique pour favoriser les initiatives meacutetiers et celles-ci peuvent ecirctre consideacutereacutees comme des objectifs meacutetiers pour linformatique Lannexe I propose un tableau qui croise objectifs meacutetiers objectifs informatiques et critegraveres dinformation On peut utiliser ces exemples geacuteneacuteriques comme guide pour deacuteterminer les exigences meacutetiers les objectifs et les meacutetriques speacutecifiques agrave lentreprise
Si on veut que linformatique reacuteussisse agrave fournir les services qui favoriseront la strateacutegie de lentreprise le meacutetier (le client) doit ecirctre clairement responsable de fixer ses exigences et linformatique (le fournisseur) doit avoir une bonne compreacutehension de ce qui doit ecirctre livreacute et comment La figure 6 illustre comment la strateacutegie de lentreprise doit ecirctre traduite en objectifs lieacutes aux initiatives qui sappuient sur les SI (les objectifs meacutetiers des SI) Ces objectifs doivent conduire agrave une deacutefinition claire des objectifs propres aux SI (les objectifs informatiques) qui agrave leur tour deacutefinissent les ressources et les capaciteacutes informatiques (larchitecture informatique de lentreprise) requises pour le succegraves de la partie de la strateacutegie qui leur incombe1
Figure 6 Deacutefinir les objectifs informatiques et l architecture de l entreprise pour les SI
Objectifs meacutetiers pour les SI
impliquent
influencentexigent
Critegraveres drsquorsquorsquorsquoinformation
Services informatiques
Exigences de la gouvernance
Exigences meacutetiers
ont besoin
Processus informatiques
font tourner
Infrastructures et personnes
Applications
Informations fournissent
Architecture informatique de lrsquorsquorsquorsquoentreprise
Strateacutegie de
lrsquorsquorsquoentreprise Objectifs
meacutetiers pour SI
Objectifs
informatiques
Architecture informatique
de lrsquorsquorsquoentreprise
Tableau de bord
informatique
Une fois les objectifs aligneacutes deacutefinis il faut les surveiller pour sassurer que ce qui est effectivement fourni correspond bien aux attentes Cela est rendu possible par les meacutetriques conccedilues agrave partir des objectifs et reacutepercuteacutees dans un tableau de bord informatique
Pour que le client puisse comprendre les objectifs informatiques et le tableau de bord informatique tous ces objectifs et les meacutetriques connexes doivent ecirctre exprimeacutes en termes meacutetiers compreacutehensibles par le client Et ceci combineacute agrave un alignement efficace de la hieacuterarchie des objectifs permettra agrave lentreprise de confirmer que ses objectifs seront probablement soutenus par les SI
Lannexe I (Eacutetablissement de liens entre les objectifs et les processus) montre dans un tableau global comment les objectifs meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres dinformation Ce tableau aide agrave comprendre quel est le champ daction de COBIT et quelles sont les relations geacuteneacuterales entre COBIT et les inducteurs de lentreprise Comme lillustre la figure 6 ces inducteurs proviennent du meacutetier et de la strate de gouvernance de lentreprise le premier eacutetant plus axeacute sur la fonctionnaliteacute et la vitesse de livraison tandis que la deuxiegraveme porte davantage sur la rentabiliteacute le retour sur investissement et la conformiteacute
Remarque La deacutefinition et la mise en œuvre dune architecture informatique de lentreprise entraicircneront eacutegalement la creacuteation dobjectifs informatiques internes qui contribuent aux objectifs meacutetier (mais nen deacutecoulent pas directement)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 11
1
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Figure 7 ndash Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de l entreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
ndash
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Figure 8 ndash Les quatre domaines interdeacutependants de COBIT
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
ndash
COBIT41 RESSOURCES INFORMATIQUES Linformatique fournit ses services en fonction de ces objectifs au moyen dun ensemble deacutefini de processus qui utilisent les capaciteacutes des personnes et linfrastructure informatique pour faire fonctionner des applications meacutetiers automatiseacutees tout en tirant parti des informations dentreprise Ces ressources constituent avec les processus une architecture dentreprise pour les SI comme le montre la figure 6
Pour reacutepondre aux exigences meacutetiers des SI lentreprise doit investir dans les ressources neacutecessaires pour creacuteer une capaciteacute technologique approprieacutee (par exemple un progiciel de gestion inteacutegreacute (PGI- ERP)) capable dassister un secteur opeacuterationnel (par exemple mettre en place une chaicircne dapprovisionnement) qui produise le reacutesultat deacutesireacute (par exemple une augmentation des ventes et des beacuteneacutefices financiers)
On peut deacutefinir ainsi les ressources informatiques identifieacutees par COBIT bull Les applications sont entre les mains des utilisateurs les ressources logicielles automatiseacutees et les proceacutedures manuelles qui traitent
linformation bull Linformation est constitueacutee des donneacutees sous toutes leurs formes saisies traiteacutees et restitueacutees par le systegraveme informatique sous diverses
preacutesentations et utiliseacutees par les meacutetiers bull Linfrastructure est constitueacutee de la technologie et des eacutequipements (machines systegravemes dexploitation systegravemes de gestion de bases de
donneacutees reacuteseaux multimeacutedia ainsi que lenvironnement qui les heacuteberge et en permet le fonctionnement) qui permettent aux applications de traiter linformation
bull Les personnes sont les ressources qui soccupent de planifier dorganiser dacheter de mettre en place de livrer dassister de surveiller et deacutevaluer les systegravemes et les services informatiques Ces personnes peuvent ecirctre internes externes ou contractuelles selon les besoins
La figure 7 montre scheacutematiquement comment les objectifs meacutetiers pour les SI influencent la gestion des ressources informatiques par les processus informatiques pour atteindre les objectifs informatiques
Orienteacute processus
COBIT regroupe les activiteacutes informatiques dans un modegravele geacuteneacuterique de processus qui se reacutepartissent en quatre domaines Ces domaines sont Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Eacutevaluer Ils correspondent aux domaines de responsabiliteacutes traditionnels des SI que sont planifier mettre en place faire fonctionner et surveiller
Le cadre COBIT propose un modegravele de processus de reacutefeacuterence et un langage commun pour tous ceux qui dans une entreprise doivent utiliser ou geacuterer les activiteacutes informatiques Adopter un modegravele opeacuterationnel et un langage commun agrave toutes les parties de lentreprise impliqueacutees dans les SI est lune des eacutetapes initiales les plus importantes vers une bonne gouvernance COBIT propose aussi un cadre de reacutefeacuterence pour mesurer et surveiller la performance des SI communiquer avec les fournisseurs de services et inteacutegrer les meilleures pratiques de gestion Un modegravele de processus encourage la proprieacuteteacute des processus ce qui favorise la deacutefinition des responsabiliteacutes opeacuterationnelles et des responsabiliteacutes finales (responsabiliteacute de celui qui agit et responsabiliteacute de celui qui est comptable du reacutesultat)
Figure 7 Geacuterer les ressources informatiques pour remplir les objectifs informatiques
Objectifs de lrsquorsquorsquoentreprise
Inducteurs de gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
Ap
plic
atio
ns
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Pour une gouvernance efficace des SI il est important dappreacutecier les activiteacutes et les risques propres aux SI qui neacutecessitent decirctre pris en compte Ils sont geacuteneacuteralement ordonneacutes dans les domaines de responsabiliteacute que sont planifier mettre en place faire fonctionner et surveiller Dans le cadre de COBIT ces domaines porte les appellations suivantes comme le montre la figure 8
Figure 8 Les quatre domaines interdeacutependants de COBIT
bull Planifier et Organiser (PO) fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS)
bull Acqueacuterir et Impleacutementer (AI) fournit les solutions et les transmets pour les transformer en services
bull Deacutelivrer et Supporter (DS) reccediloit les solutions et les rend utilisables par les utilisateurs finals
bull Surveiller et Evaluer (SE) surveille tous les processus pour sassurer que lorientation fournie est respecteacutee
PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la strateacutegie et la tactique et vise agrave identifier la meilleure maniegravere pour les SI de contribuer agrave atteindre les objectifs meacutetiers de lentreprise La mise en œuvre de la vision strateacutegique doit ecirctre planifieacutee communiqueacutee et geacutereacutee selon diffeacuterentes perspectives Il faut mettre en place une organisation adeacutequate ainsi quune infrastructure technologique Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Les strateacutegies de lentreprise et de linformatique sont-elles aligneacutees bull Lentreprise fait-elle un usage optimum de ses ressources bull Est-ce que tout le monde dans lentreprise comprend les objectifs de linformatique bull Les risques informatiques sont-ils compris et geacutereacutes bull La qualiteacute des systegravemes informatiques est-elle adapteacutee aux besoins meacutetiers
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 12
CADRE DE REacuteFEacuteRENCE ACQUEacuteRIR ET IMPLEacuteMENTER (AI) Le succegraves de la strateacutegie informatique neacutecessite didentifier de deacutevelopper ou dacqueacuterir des solutions informatiques de les mettre en œuvre et de les inteacutegrer aux processus meacutetiers Ce domaine recouvre aussi la modification des systegravemes existants ainsi que leur maintenance afin decirctre sucircr que les solutions continuent decirctre en adeacutequation avec les objectifs meacutetiers Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Est-on sucircr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins meacutetiers bull Est-on sucircr que les nouveaux projets aboutiront en temps voulu et dans les limites budgeacutetaires bull Les nouveaux systegravemes fonctionneront-ils correctement lorsquils seront mis en œuvre bull Les changements pourront-ils avoir lieu sans perturber les opeacuterations en cours
DEacuteLIVRER ET SUPPORTER (DS) Ce domaine sinteacuteresse agrave la livraison effective des services demandeacutes ce qui comprend lexploitation informatique la gestion de la seacutecuriteacute et de la continuiteacute le service dassistance aux utilisateurs et la gestion des donneacutees et des eacutequipements Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull Les services informatiques sont-ils fournis en tenant compte des prioriteacutes meacutetiers bull Les coucircts informatiques sont-ils optimiseacutes bull Les employeacutes sont-ils capables dutiliser les systegravemes informatiques de faccedilon productive et sucircre bull La confidentialiteacute linteacutegriteacute et la disponibiliteacute sont-elles mises en œuvre pour la seacutecuriteacute de linformation
SURVEILLER ET EacuteVALUER (SE) Tous les processus informatiques doivent ecirctre reacuteguliegraverement eacutevalueacutes pour veacuterifier leur qualiteacute et leur conformiteacute par rapport aux speacutecifications de controcircle Ce domaine sinteacuteresse agrave la gestion de la performance agrave la surveillance du controcircle interne au respect des normes reacuteglementaires et agrave la gouvernance Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull La performance de linformatique est-elle mesureacutee de faccedilon agrave ce que les problegravemes soient mis en eacutevidence avant quil ne soit trop tard bull Le management sassure-t-il que les controcircles internes sont efficaces et efficients bull La performance de linformatique peut-elle ecirctre relieacutee aux objectifs meacutetiers bull Des controcircles de confidentialiteacute dinteacutegriteacute et de disponibiliteacute approprieacutes sont-ils mis en place pour la seacutecuriteacute de linformation
Agrave travers ces quatre domaines COBIT a identifieacute 34 processus informatiques geacuteneacuteralement utiliseacutes (pour obtenir la liste complegravete reportezshyvous agrave la figure 22) La plupart des entreprises ont deacutefini des responsabiliteacutes visant agrave planifier mettre en place faire fonctionner et surveiller les activiteacutes informatiques et la plupart disposent des mecircmes processus cleacutes En revanche peu dentre elles auront la mecircme structure de processus ou appliqueront la totaliteacute des 34 processus COBIT COBIT fournit la liste complegravete des processus qui peuvent permettre de veacuterifier lexhaustiviteacute des activiteacutes et des responsabiliteacutes Toutefois il nest pas neacutecessaire de les appliquer tous et en outre ils peuvent ecirctre combineacutes selon les besoins de chaque entreprise
Chacun de ces 34 processus est lieacute aux objectifs meacutetiers et aux objectifs informatiques qui sont pris en charge Des informations sont eacutegalement fournies sur la faccedilon dont les objectifs peuvent ecirctre mesureacutes sur les activiteacutes cleacutes et les principaux livrables et sur les personnes qui en sont responsables
Baseacute sur des controcircles
COBIT deacutefinit les objectifs de controcircle pour les 34 processus ainsi que des controcircles meacutetiers et des controcircles applicatifs preacutedominants
LES PROCESSUS ONT BESOIN DE CONTROcircLES On deacutefinit le controcircle comme les politiques les proceacutedures les pratiques et les structures organisationnelles conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes
Les objectifs de controcircle des SI fournissent un large eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique Ces exigences bull prennent la forme dannonces de la direction visant agrave accroicirctre la valeur ou agrave reacuteduire le risque bull se composent de politiques proceacutedures pratiques et structures organisationnelles bull sont conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront
preacutevenus ou deacutetecteacutes et corrigeacutes
La direction de lentreprise doit faire des choix concernant ces objectifs de controcircle en bull seacutelectionnant ceux qui sont applicables bull deacutesignant ceux qui seront mis en œuvre bull choisissant la faccedilon de les mettre en œuvre (freacutequence dureacutee automatisation etc) bull acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient sappliquer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 13
Normes
Standards
Objectifs
Comparer Processus
Figure 9 ndash Modegravele de controcircle ndash
COBIT41 On peut sappuyer sur le modegravele de controcircle standard illustreacute par la figure 9 Il suit les principes eacutevidents de lanalogie suivante Apregraves reacuteglage du thermostat dambiance (standard) du systegraveme de chauffage (processus) le systegraveme veacuterifie en permanence (comparer) la tempeacuterature de la piegravece (information de controcircle) et deacuteclenche eacuteventuellement laction dadapter la tempeacuterature (agir)
La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables commerciaux de disposer dun modegravele de reacutefeacuterence commun Pour que cette gouvernance soit efficace la direction informatique doit mettre en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Puisque les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus informatiques et les controcircles informatiques
Figure 9 Modegravele de controcircle
Normes
Standards
Objectifs
AAGGIIRR
CCOONNTTRROcircOcircLLEERR LLrsquorsquoIINNFFOORRMMAATTIIOONN
Comparer Processus
Chacun des processus informatiques de COBIT est associeacute agrave une description et agrave un certain nombre dobjectifs de controcircle Tous ensemble ils sont caracteacuteristiques dun processus bien geacutereacute
Les objectifs de controcircle sont identifieacutes par un domaine de reacutefeacuterence agrave deux caractegraveres (PO AI DS et SE) plus un numeacutero de processus et un numeacutero dobjectif de controcircle En plus des objectifs de controcircle chaque processus COBIT se reacutefegravere agrave des exigences de controcircle geacuteneacuteriques deacutesigneacutees par PCn pour Processus de Controcircle numeacutero n Il faut les prendre en compte en mecircme temps que les objectifs de controcircle du processus pour avoir une vision complegravete des exigences de controcircle
PC1 Buts et objectifs du processus Deacutefinir et communiquer des buts et objectifs speacutecifiques mesurables incitatifs reacutealistes axeacutes sur les reacutesultats et opportuns (SMARRT Specific Measurable Actionable Realistic Results-oriented and Timely) pour lexeacutecution efficace de chaque processus informatique Sassurer quils sont relieacutes aux objectifs meacutetiers et soutenus par des meacutetriques adapteacutees
PC2 Proprieacuteteacute des processus Affecter un proprieacutetaire agrave chaque processus informatique et deacutefinir clairement les rocircles et les responsabiliteacutes du proprieacutetaire du processus Inclure par exemple la charge de conception du processus dinteraction avec les autres processus la responsabiliteacute du reacutesultat final leacutevaluation des performances du processus et lidentification des possibiliteacutes dameacutelioration
PC3 Reproductibiliteacute du processus Deacutefinir et mettre en place chaque processus informatique cleacute de faccedilon agrave ce quil soit reproductible et quil produise invariablement les reacutesultats escompteacutes Fournir un enchaicircnement logique flexible et eacutevolutif dactiviteacutes qui conduiront aux reacutesultats souhaiteacutes et suffisamment souple pour geacuterer les exceptions et les urgences Si possible utiliser des processus coheacuterents et personnaliser uniquement si cest ineacutevitable
PC4 Rocircles et Responsabiliteacutes Deacutefinir les activiteacutes cleacutes et les livrables finaux du processus Attribuer et communiquer des rocircles et responsabiliteacutes non ambigus pour une exeacutecution efficace et efficiente des activiteacutes cleacutes et de leur documentation ainsi que la responsabiliteacute des livrables finaux du processus
PC5 Politique Plans et Proceacutedures Deacuteterminer et indiquer comment tous les plans les politiques et les proceacutedures qui geacutenegraverent un processus informatique sont documenteacutes eacutetudieacutes geacutereacutes valideacutes stockeacutes communiqueacutes et utiliseacutes pour la formation Reacutepartir les responsabiliteacutes pour chacune de ces activiteacutes et au moment opportun veacuterifier si elles sont correctement effectueacutees Sassurer que les politiques plans et proceacutedures sont accessibles corrects compris et agrave jour
PC6 Ameacutelioration des performances du processus Identifier un ensemble de meacutetriques fournissant des indications sur les reacutesultats et les performances du processus Deacutefinir des cibles refleacutetant les objectifs du processus et des indicateurs de performance permettant datteindre les objectifs du processus Deacutefinir le mode dobtention des donneacutees Comparer les mesures reacuteelles et les objectifs et si neacutecessaire prendre des mesures pour corriger les eacutecarts Aligner les meacutetriques les objectifs et les meacutethodes avec lapproche globale de surveillance des performances des SI
Des controcircles efficaces reacuteduisent les risques ameacuteliorent la probabiliteacute de fournir de la valeur et ameacuteliorent lefficience En effet les erreurs seront moins nombreuses et lapproche manageacuteriale sera plus coheacuterente
COBIT y ajoute des exemples pour chaque processus ces exemples ont pour but dillustrer mais pas de prescrire ni decirctre exhaustifs bull entreacutees et sorties geacuteneacuteriques de donneacuteesinformations bull activiteacutes et conseils sur les rocircles et les responsabiliteacutes dans un tableau RACI (Responsable Approuve est Consulteacute est Informeacute) bull objectifs des activiteacutes cleacutes (les choses les plus importantes agrave faire) bull meacutetriques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 14
CADRE DE REacuteFEacuteRENCE Outre la neacutecessiteacute de savoir quels controcircles leur sont neacutecessaires les proprieacutetaires de processus doivent pouvoir dire de quels eacuteleacutements ils ont besoin en entreacutee de la part des autres processus et ce que leurs processus doivent ecirctre capables de fournir aux autres processus COBIT propose des exemples geacuteneacuteriques dentreacutees et de sorties essentiels pour chaque processus qui concernent aussi les services informatiques externes Certaines sorties sont des entreacutees pour tous les autres processus et sont repeacutereacutes par la mention TOUS dans les tableaux de sorties mais ils ne sont pas mentionneacutes comme des entreacutees dans tous les processus cela concerne geacuteneacuteralement les standards de qualiteacute et les impeacuteratifs de mesure le cadre de reacutefeacuterence des processus informatiques les rocircles et responsabiliteacutes deacutetailleacutes le cadre de controcircle de linformatique de lentreprise la politique informatique et les rocircles et responsabiliteacutes du personnel
Comprendre les rocircles et responsabiliteacutes pour chaque processus est fondamental pour une gouvernance efficace COBIT propose un tableau RACI pour chaque processus Garant sapplique au responsable en dernier ressort celui qui donne les orientations et qui autorise une activiteacute Responsable sapplique agrave celui qui fait exeacutecuter la tacircche Les deux autres rocircles (Consulteacute et Informeacute) sappliquent agrave tous ceux qui doivent savoir ce qui se passe et qui doivent soutenir le processus
CONTROcircLES MEacuteTIERS ET CONTROcircLES INFORMATIQUES Le systegraveme de controcircle interne de lentreprise a un impact sur les SI agrave trois niveaux bull Au niveau de la direction geacuteneacuterale on fixe les objectifs meacutetiers on eacutetablit les politiques et on prend les deacutecisions sur la faccedilon de deacuteployer
les ressources de lentreprise pour mettre en œuvre sa strateacutegie Cest le conseil dadministration qui deacutefinit lapproche de gouvernance et de controcircle et qui les diffuse dans lensemble de lentreprise Ce sont ces ensembles de politiques et dobjectifs geacuteneacuteraux qui orientent lenvironnement de controcircle des SI
bull Au niveau des processus meacutetiers les controcircles sappliquent agrave des activiteacutes speacutecifiques de lentreprise La plupart des processus meacutetiers sont automatiseacutes et inteacutegreacutes agrave des applications informatiques ce qui entraicircne que de nombreux controcircles sont eux aussi automatiseacutes agrave ce niveau On les appelle des controcircles applicatifs Certains controcircles de processus meacutetiers restent cependant des proceacutedures manuelles comme les autorisations de transactions la seacuteparation des tacircches et les rapprochements manuels Les controcircles au niveau des processus meacutetiers sont donc une combinaison de controcircles manuels effectueacutes par lentreprise et de controcircles meacutetiers et applicatifs automatiseacutes La responsabiliteacute de ces deux types de controcircles appartient donc aux meacutetiers mecircme si les controcircles applicatifs ont besoin de la fonction informatique pour permettre leur conception et leur deacuteveloppement
bull Pour assister les processus meacutetiers linformatique fournit des services habituellement au sein dun service commun agrave de nombreux processus meacutetiers puisquune grande partie du deacuteveloppement et des processus informatiques sont fournis agrave lensemble de lentreprise et que la majeure partie de linfrastructure informatique constitue un service commun (par ex reacuteseaux bases de donneacutees systegravemes dexploitation et archivage) On appelle controcircles geacuteneacuteraux informatiques les controcircles qui sappliquent agrave toutes les activiteacutes de services informatiques La fiabiliteacute de ces controcircles geacuteneacuteraux est neacutecessaire pour que lon puisse se fier aux controcircles applicatifs Par exemple une mauvaise gestion des changements pourrait mettre en peacuteril (accidentellement ou volontairement) la fiabiliteacute des veacuterifications dinteacutegriteacute automatiques
CONTROcircLES GEacuteNEacuteRAUX INFORMATIQUES ET CONTROcircLES APPLICATIFS Les controcircles geacuteneacuteraux sont ceux qui sont inteacutegreacutes aux processus et aux services informatiques Ils concernent par exemple bull le deacuteveloppement des systegravemes bull la gestion des changements bull la seacutecuriteacute bull lexploitation
On appelle communeacutement controcircles applicatifs les controcircles inteacutegreacutes aux applications des processus meacutetiers Ils concernent par exemple bull lexhaustiviteacute bull lexactitude bull la validiteacute bull lautorisation bull la seacuteparation des tacircches
COBIT considegravere que la conception et la mise en place de controcircles applicatifs automatiseacutes sont de la responsabiliteacute de linformatique Elles relegravevent du domaine Acqueacuterir et Impleacutementer et se basent sur les exigences meacutetiers deacutefinies selon les critegraveres dinformation de COBIT comme lindique la figure 10 La gestion opeacuterationnelle et la responsabiliteacute des controcircles applicatifs ne relegravevent pas de linformatique mais des proprieacutetaires des processus meacutetiers
De ce fait les controcircles applicatifs relegravevent dune responsabiliteacute commune de bout en bout entre meacutetiers et informatique mais la nature des responsabiliteacutes se diffeacuterencie comme suit bull La partie meacutetiers est chargeacutee minus de deacutefinir correctement les exigences de fonctionnement et de controcircle minus dutiliser les services automatiseacutes agrave bon escient bull La partie informatique est chargeacutee minus dautomatiser et de mettre en œuvre les exigences meacutetiers de fonctionnement et de controcircle minus de mettre en place des controcircles pour maintenir linteacutegriteacute des controcircles applicatifs
Par conseacutequent les processus informatiques de COBIT englobent les controcircles geacuteneacuteraux informatiques mais uniquement les aspects lieacutes au deacuteveloppement des controcircles applicatifs Les processus meacutetiers sont chargeacutes de la deacutefinition et de lexploitation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 15
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Figure 10 ndash Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers
Controcirclesmeacutetiers
Controcircles applicatifs
Servicesautomatiseacutes
Exigencesde
fonctionnement
Exigencesde
controcircle
Planifier et Organiser
Surveiller et Evaluer
Acqueacuteriret
Impleacutementer
Deacutelivreret
Supporter
Controcirclesmeacutetiers
Controcirclesmeacutetiers
ndash
COBIT41 Figure 10 Controcircles meacutetiers geacuteneacuteraux et applicatifs limites
Controcircles meacutetiers
Exigences de
fonctionnement
Exigences de
controcircle
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et
Impleacutementer
Deacutelivrer et
Supporter
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeee lllrsquorsquorsquoiiinnnfffooorrrmmmaaatttiiiqqquuueee
Controcircles geacuteneacuteraux informatiques Controcircles meacutetiers
Controcircles applicatifs
Services automatiseacutes
RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss
La liste suivante fournit un ensemble dobjectifs de controcircle applicatifs recommandeacutes Ils sont identifieacutes par un numeacutero CAn pour Controcircle Applicatif numeacutero n
CA1 Autorisation et preacuteparation des donneacutees source Sassurer que les documents source sont preacutepareacutes par le personnel qualifieacute et autoriseacute en respectant les proceacutedures eacutetablies en tenant compte de la seacuteparation adeacutequate des tacircches entre la geacuteneacuterationcreacuteation et la validation de ces documents La bonne conception des masques de saisie permet de reacuteduire les erreurs et omissions Deacutetecter les erreurs et les anomalies de faccedilon agrave pouvoir les signaler et les corriger
CA2 Collecte et saisie des donneacutees source Preacutevoir que la saisie des donneacutees sera effectueacutee en temps utile par le personnel autoriseacute et qualifieacute La correction et la ressaisie des donneacutees erroneacutees doivent ecirctre effectueacutees sans compromettre le niveau dorigine dautorisation des transactions Si la reconstruction des donneacutees le requiert conserver les documents source dorigine pendant un laps de temps adeacutequat
CA3 Veacuterifications dexactitude dexhaustiviteacute et dauthenticiteacute Sassurer que les transactions sont exactes complegravetes et valides Valider les donneacutees saisies et modifier ou renvoyer pour correction aussi pregraves que possible du point de creacuteation
CA4 Inteacutegriteacute et validiteacute du traitement Maintenir linteacutegriteacute et la validiteacute des donneacutees tout au long du cycle de traitement La deacutetection des transactions erroneacutees ninterrompt pas le traitement des transactions valides
CA5 Veacuterification des sorties rapprochement et traitement des erreurs Eacutetablir des proceacutedures et les responsabiliteacutes connexes pour sassurer que le traitement des donneacutees en sortie est ducircment effectueacute que ces donneacutees sont transmises au destinataire approprieacute et proteacutegeacutees lors de leur transmission que la veacuterification la deacutetection et la correction de lexactitude des donneacutees en sortie a lieu et que les informations fournies dans ces donneacutees sont utiliseacutees
CA6 Authentification et inteacutegriteacute des transactions Avant deacutechanger des donneacutees de transaction entre les applications internes et les fonctions meacutetiersfonctions opeacuterationnelles (dans lentreprise ou en dehors) veacuterifier lexactitude des destinataires lauthenticiteacute de loriginal et linteacutegriteacute du contenu Maintenir lauthenticiteacute et linteacutegriteacute lors de la transmission ou du transport
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 16
CADRE DE REacuteFEacuteRENCE Fondeacute sur la mesure
Toute entreprise a un besoin vital dappreacutehender leacutetat de ses propres systegravemes informatiques et de deacutecider quel niveau de management et de controcircle elle doit assurer Pour deacuteterminer le bon niveau le management doit se demander jusquougrave doit-on aller et les beacuteneacutefices justifientshyils les coucircts
Obtenir une vue objective du niveau de performance dune entreprise nest pas chose aiseacutee Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer ougrave elles en sont et ougrave il faut apporter des ameacuteliorations et il leur faut des outils de gestion pour surveiller ces ameacuteliorations COBIT traite ces questions en fournissant bull des modegraveles de maturiteacute pour permettre de se comparer et de deacutefinir lameacutelioration neacutecessaire des capaciteacutes bull des objectifs de performances et des meacutetriques pour les processus informatiques qui montrent jusquagrave quel point les processus permettent
datteindre les objectifs meacutetiers et les objectifs informatiques ils servent agrave mesurer la performance des processus internes selon les principes du tableau de bord eacutequilibreacute
bull des objectifs dactiviteacute pour favoriser une performance efficace des processus
MODEgraveLES DE MATURITEacute On demande de plus en plus aux directions geacuteneacuterales des entreprises publiques et priveacutees de sinterroger sur la bonne gestion de leur informatique Pour reacutepondre agrave cette attente des analyses doptimisation de rentabiliteacute concluent agrave la neacutecessiteacute dameacuteliorer cette gestion et datteindre le niveau approprieacute de gestion et de controcircle de linfrastructure informatique Comme peu dentre elles oseraient dire que ce nest pas une bonne chose elles doivent analyser leacutequilibre coucirctsbeacuteneacutefices et se poser les questions suivantes bull Que font nos confregraveresconcurrents et comment sommes-nous positionneacutes par rapport agrave eux bull Quelles sont les bonnes pratiques acceptables du marcheacute et comment nous situons-nous par rapport agrave elles bull Dapregraves ces comparaisons peut-on dire que nous en faisons assez bull Comment identifie-t-on ce quil y a agrave faire pour atteindre un niveau approprieacute de gestion et de controcircle de nos processus informatiques
Il peut ecirctre difficile dapporter des reacuteponses directes agrave ces questions La direction informatique est sans cesse agrave la recherche doutils dautoeacutevaluation et de tests comparatifs pour reacutepondre agrave la neacutecessiteacute didentifier les actions efficaces agrave entreprendre et la faccedilon de les mener efficacement Agrave partir des processus COBIT le proprieacutetaire dun processus doit ecirctre en mesure de se comparer sur une eacutechelle vis-agrave-vis de cet objectif de controcircle Ceci reacutepond agrave trois besoins 1 une mesure relative de la situation actuelle de lentreprise 2 une maniegravere efficace de deacutesigner le but agrave atteindre 3 un outil permettant de mesurer la progression vers lobjectif
Lutilisation des modegraveles de maturiteacute pour la gestion et le controcircle des processus informatiques se base sur une meacutethode deacutevaluation permettant de noter une entreprise selon un niveau de maturiteacute gradueacute de 0 agrave 5 (dInexistant agrave Optimiseacute) Cette approche est baseacutee sur le Modegravele de Maturiteacute que le Software Engineering Institute (SEI) a conccedilu pour mesurer la capaciteacute agrave deacutevelopper des logiciels Mecircme si les concepts de la meacutethode du SEI ont eacuteteacute respecteacutes la mise en œuvre de COBIT preacutesente des diffeacuterences importantes par rapport agrave la deacutemarche initiale du SEI qui eacutetait axeacutee sur les principes dingeacutenierie logicielle les entreprises sefforccedilant datteindre un niveau dexcellence dans ces domaines et leacutevaluation officielle des niveaux de maturiteacute de faccedilon agrave pouvoir certifier les deacuteveloppeurs de logiciels COBIT fournit une deacutefinition geacuteneacuterique de leacutechelle de maturiteacute COBIT qui est similaire au CMM mais interpreacuteteacutee en tenant compte des processus de gestion informatique de COBIT Un modegravele speacutecifique est fourni agrave partir de cette eacutechelle geacuteneacuterique pour chacun des 34 processus COBIT Quel que soit le modegravele les eacutechelles ne doivent pas ecirctre trop fines au risque de rendre le systegraveme difficile agrave utiliser en requeacuterant une preacutecision inutile En effet le but est geacuteneacuteralement de trouver ougrave se situent les problegravemes et comment eacutetablir des prioriteacutes pour les reacutesoudre Le but nest pas deacutevaluer le niveau dadheacutesion aux objectifs de controcircle
Les niveaux de maturiteacute sont conccedilus comme des profils de processus informatiques que lentreprise peut reconnaicirctre comme des situations existantes ou futures Ils ne sont pas conccedilus pour ecirctre utiliseacutes comme des modegraveles par seuils qui exigeraient que toutes les conditions du niveau infeacuterieur soient remplies pour acceacuteder au niveau suivant Avec les modegraveles de maturiteacute COBIT contrairement agrave la deacutemarche CMM initiale du SEI lintention nest pas de mesurer preacuteciseacutement les niveaux ni dessayer de certifier quun niveau a eacuteteacute preacuteciseacutement atteint Une eacutevaluation de maturiteacute COBIT est susceptible de geacuteneacuterer un profil dans lequel les conditions relatives agrave plusieurs niveaux de maturiteacute seront remplies comme le montre le graphique de la figure 11
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 17
ndash rsquo
ndash
COBIT41
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesenteencore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance(niveau 4) et lrsquooptimisation (niveau 5)
0
01
02
03
04
05
06
07
Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5
Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesente encore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance (niveau 4) et lrsquooptimisation (niveau 5)
Figure 11 Niveau de maturiteacute possible d un processus informatique
En effet en cas deacutevaluation de la maturiteacute agrave laide des modegraveles COBIT il arrive souvent quune mise en œuvre soit en place agrave diffeacuterents niveaux mecircme si elle est incomplegravete ou insuffisante Ces atouts peuvent ecirctre mis agrave profit pour ameacuteliorer encore davantage la maturiteacute Par exemple certains eacuteleacutements du processus peuvent ecirctre bien deacutefinis et mecircme sil est incomplet il serait trompeur de dire que le processus nest pas du tout deacutefini
En utilisant les modegraveles de maturiteacute deacutefinis pour chacun des 34 processus informatiques de COBIT le management peut mettre en eacutevidence bull leacutetat actuel de lentreprise ougrave elle se situe aujourdhui bull leacutetat actuel du marcheacute la comparaison bull lambition de lentreprise ougrave elle veut se situer bull la trajectoire de croissance requise entre les situations en cours et les situations cibles
Pour exploiter facilement ces reacutesultats dans les reacuteunions de direction ougrave ils seront preacutesenteacutes comme une aide agrave la deacutecision pour des plans futurs il convient dutiliser une meacutethode de preacutesentation graphique (figure 12)
Figure 12 Repreacutesentation graphique des modegraveles de maturiteacute
IInneexxiissttaanntt IInniittiiaalliisseacuteeacute
ccaass ppaarr ccaass RReepprorodduuccttiibbllee mmaaiiss iinnttuuiittiiff
PProrocceessssuuss ddeacuteeacuteffiinnii
GGeacuteeacuterreacuteeacute eett mmeessuurarabbllee OOppttiimmiisseacuteeacute
000 111 222 333 444 555
LLEacuteEacuteGGEENNDDEE DDEESS SSYYMMBBOOLLEESS UUTTIILLIISSEacuteEacuteSS
EacuteEacutettatat actactuuelel ddee llrsquorsquoenenttrreepprriisese
MMeieilllleueurree pprratatiiqquuee dduu mmararchcheacuteeacute
SSttrratateacuteeacuteggiiee ddee llrsquorsquoenenttrrepeprriissee
LLEacuteEacuteGGEENNDDEE UUTTIILLIISSEacuteEacuteEE PPOOUURR LLEE CCLLAASSSSEEMMEENNTT
00mdashmdashLLeess pprroocesscessuuss ddee mmananagagememenentt nnee sosonntt ppasas apappplliiqquueacuteseacutes dduu ttoouutt 11mdashmdashLLeess pprroocesscessuuss ssoonntt mmiiss enen œœuuvrvree auau cascas pparar cascas etet sansanss mmeacuteeacutetthhooddee 22mdashmdashLLeess pprroocesscessuuss ssuuiivenventt uunn mmecircmecircmee mmooddegravelegravelee 33mdashmdashLLeses pprroocessucessuss ssoonntt ddooccuummenentteacuteseacutes etet cocommmmuunniiqquueacuteseacutes 44mdashmdashLLeess pprroocesscessuuss ssoonntt susurrveiveilllleacuteeacutess etet mmesuesurreacuteseacutes 55mdashmdashLLeess bboonnnneses pprraattiiqquueses sosonntt susuiivivieses etet aauuttoommaattiisseacuteeseacutees
Leacutelaboration de cette repreacutesentation graphique sinspire du modegravele de maturiteacute geacuteneacuterique preacutesenteacute dans la figure 13
COBIT est un cadre de reacutefeacuterence conccedilu pour la gestion des processus informatiques et tregraves axeacute sur le controcircle Ces eacutechelles doivent ecirctre commodes agrave utiliser et faciles agrave comprendre La question de la gestion des processus informatiques est complexe par nature et subjective on lapproche par conseacutequent mieux en favorisant une prise de conscience au moyen doutils deacutevaluation faciles agrave utiliser qui entraicircneront un large consensus et une motivation pour progresser Ces eacutevaluations peuvent se faire soit par comparaison avec les intituleacutes geacuteneacuteraux des niveaux de maturiteacute soit de faccedilon plus rigoureuse en examinant chaque proposition individuelle de ces descriptifs Dans les deux cas il est neacutecessaire dutiliser lexpertise de lentreprise pour le processus eacutevalueacute
Lavantage dune approche baseacutee sur les modegraveles de maturiteacute est quelle permet assez facilement au management de se situer lui-mecircme sur leacutechelle et dappreacutecier les moyens agrave mettre en œuvre pour ameacuteliorer les performances Leacutechelle commence par le degreacute zeacutero parce quil est tregraves possible quil nexiste aucun processus Elle est baseacutee sur une eacutechelle de maturiteacute simple qui montre comment eacutevolue un processus dinexistant (0) agrave optimiseacute (5)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 18
ndash
ndash
CADRE DE REacuteFEacuteRENCE Cependant la capaciteacute agrave geacuterer les processus est diffeacuterente de la performance des processus La capaciteacute requise deacutetermineacutee par les meacutetiers et les objectifs informatiques na pas toujours besoin decirctre appliqueacutee au mecircme niveau dans tout lenvironnement informatique cest-agrave-dire pas systeacutematiquement ou seulement agrave un nombre limiteacute de systegravemes ou duniteacutes La mesure de performance expliqueacutee dans les paragraphes qui suivent est essentielle pour deacuteterminer la veacuteritable performance de lentreprise pour ses processus informatiques
Figure 13 Modegravele de Maturiteacute Geacuteneacuterique
0 Inexistant Absence totale de processus identifiables Lrsquoentreprise nrsquoa mecircme pas pris conscience qursquoil srsquoagissait drsquoun problegraveme agrave eacutetudier
1 InitialiseacuteCas par cas On constate que lrsquoentreprise a pris conscience de lrsquoexistence du problegraveme et de la neacutecessiteacute de lrsquoeacutetudier Il nrsquoexiste toutefois aucun processus standardiseacute mais des deacutemarches dans ce sens tendent agrave ecirctre entreprises individuellement ou cas par cas Lrsquoapproche globale du management nrsquoest pas organiseacutee
2 Reproductible mais intuitif Des processus se sont deacuteveloppeacutes jusqursquoau stade ougrave des personnes diffeacuterentes exeacutecutant la mecircme tacircche utilisent des proceacutedures similaires Il nrsquoy a pas de formation organiseacutee ni de communication des proceacutedures standard et la responsabiliteacute et laisseacutee agrave lrsquoindividu On se repose beaucoup sur les connaissances individuelles drsquoougrave un risque drsquoerreurs
3 Processus deacutefini On a standardiseacute documenteacute et communiqueacute des processus via des seacuteances de formation Ces processus doivent impeacuterativement ecirctre suivis toutefois des eacutecarts seront probablement constateacutes Concernant les proceacutedures elles-mecircmes elles ne sont pas sophistiqueacutees mais formalisent des pratiques existantes
4 Geacutereacute et mesurable La direction controcircle et mesure la conformiteacute aux proceacutedures et agit lorsque certains processus semblent ne pas fonctionner correctement Les processus sont en constante ameacutelioration et correspondent agrave une bonne pratique Lrsquoautomatisation et les outils sont utiliseacutes drsquoune maniegravere limiteacutee ou partielle
5 Optimiseacute Les processus ont atteint le niveau des bonnes pratiques suite agrave une ameacutelioration constante et agrave la comparaison avec drsquoautres entreprises (Modegraveles de Maturiteacute) Lrsquoinformatique est utiliseacutee comme moyen inteacutegreacute drsquoautomatiser le flux des tacircches offrant des outils qui permettent drsquoameacuteliorer la qualiteacute et lrsquoefficaciteacute et de rendre lrsquoentreprise rapidement adaptable
Mecircme si une capaciteacute correctement mise en œuvre reacuteduit deacutejagrave les risques une entreprise a tout de mecircme besoin danalyser les controcircles neacutecessaires pour ecirctre sucircre que les risques sont limiteacutes et que la valeur est obtenue en tenant compte de lappeacutetence pour le risque et des objectifs meacutetiers Le choix de ces controcircles est faciliteacute par les objectifs de controcircle de COBIT Lannexe III propose un modegravele de maturiteacute qui illustre la maturiteacute dune entreprise en ce qui concerne la mise en place et la performance du controcircle interne Cette analyse constitue souvent une reacuteponse agrave des facteurs externes mais ideacutealement elle devrait ecirctre institueacutee et documenteacutee par les processus COBIT PO6 Faire connaicirctre les buts et les orientations du management et SE2 Surveiller et eacutevaluer le controcircle interne
Capaciteacute couverture et controcircle sont les trois dimensions de la maturiteacute dun processus comme le montre la figure 14
Figure 14 Les trois dimensions de la maturiteacute
Risque et conformiteacute
QUOI (controcircle)
100
4
3
2
1
5
0
Inducteurs primaires
Mission et objectifs
informatique
Retour sur investissements et rentabiliteacute
COMBIEN (couverture)
COMMENT (capaciteacute)
Le modegravele de maturiteacute est un moyen de mesurer le niveau de deacuteveloppement des processus de management autrement dit leur capaciteacute reacuteelle Leur niveau de deacuteveloppement ou de capaciteacute deacutepend essentiellement des objectifs informatiques et des besoins meacutetiers sous-jacents quils sont supposeacutes satisfaire La capaciteacute reacuteellement deacuteployeacutee deacutepend largement du retour quune entreprise attend de ses investissements Par exemple il y a des processus et des systegravemes strateacutegiques qui neacutecessitent une gestion de la seacutecuriteacute plus importante et plus stricte que dautres qui sont moins essentiels Dautre part le degreacute et la sophistication des controcircles agrave appliquer agrave un processus sont davantage induits par lappeacutetence pour le risque de lentreprise et par les impeacuteratifs de conformiteacute applicables
Les eacutechelles des modegraveles de maturiteacute aideront les professionnels agrave expliquer aux dirigeants ougrave se situent les points faibles de la gestion des processus informatiques et agrave deacutesigner le niveau que ceux-ci doivent atteindre Le bon niveau de maturiteacute deacutependra des objectifs meacutetiers de lentreprise de lenvironnement opeacuterationnel et des pratiques du secteur En particulier le niveau de maturiteacute de la gestion deacutependra de la deacutependance de lentreprise vis-agrave-vis de linformatique du niveau de sophistication de ses technologies et avant tout de la valeur de ses informations
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 19
COBIT41 Une entreprise deacutesireuse dameacuteliorer la gestion et le controcircle de ses processus informatiques peut trouver des reacutefeacuterences strateacutegiques en sinteacuteressant aux standards internationaux eacutemergents et aux meilleures pratiques Les pratiques eacutemergentes actuelles peuvent devenir le niveau de performance attendu de demain et par conseacutequent ecirctre utiles pour planifier les objectifs de positionnement dune entreprise dans le temps
Les modegraveles de maturiteacute sont creacuteeacutes agrave partir du modegravele qualitatif geacuteneacuteral (voir figure 13) auquel on ajoute progressivement de niveau en niveau des principes issus des attributs suivants bull sensibilisation et communication bull politiques plans et proceacutedures bull outils et automatisation bull compeacutetences et expertise bull responsabiliteacute opeacuterationnelle et responsabiliteacute finale bull deacutesignation des objectifs et meacutetriques
Le tableau des attributs de maturiteacute de la figure 15 reacutepertorie les caracteacuteristiques de la faccedilon dont les processus informatiques sont geacutereacutes et montre comment ils eacutevoluent dinexistant agrave optimiseacute On peut utiliser ces attributs pour une eacutevaluation plus complegravete pour lanalyse des eacutecarts et pour la planification des ameacuteliorations
En reacutesumeacute les modegraveles de maturiteacute proposent un profil geacuteneacuterique des eacutetapes au travers desquelles eacutevoluent les entreprises dans la gestion et le controcircle des processus informatiques Ils constituent bull un ensemble dexigences et les facteurs dapplication aux diffeacuterents niveaux de maturiteacute bull une eacutechelle qui permet de mesurer facilement les eacutecarts bull une eacutechelle qui se precircte agrave des comparaisons pragmatiques bull la base pour positionner les situations en cours et les situations cibles bull une aide pour deacuteterminer par lanalyse des eacutecarts les actions agrave entreprendre pour atteindre le niveau choisi bull pris tous ensemble une vision de la faccedilon dont linformatique est geacutereacutee dans lentreprise
Les modegraveles de maturiteacute COBIT se focalisent sur la maturiteacute mais pas neacutecessairement sur la couverture et lampleur du controcircle Ils ne constituent pas un record agrave eacutegaler ni une base pour se preacuteparer agrave une certification par petites eacutetapes avec des seuils difficiles agrave franchir Ils sont conccedilus pour ecirctre toujours applicables avec des niveaux qui deacutecrivent ce quune entreprise peut identifier comme le mieux adapteacute agrave ses processus Le juste niveau est deacutetermineacute par le type dentreprise lenvironnement et la strateacutegie
La couverture lampleur du controcircle et la faccedilon dont la capaciteacute est utiliseacutee et deacuteployeacutee constituent des deacutecisions coucirctbeacuteneacutefice Par exemple la gestion de la seacutecuriteacute agrave un eacutechelon eacuteleveacute peut navoir agrave se focaliser que sur les systegravemes de lentreprise les plus sensibles Un autre exemple serait le choix entre un examen manuel hebdomadaire et un controcircle automatiseacute permanent
Finalement mecircme si de plus hauts niveaux de maturiteacute augmentent le controcircle des processus lentreprise a toujours besoin danalyser en fonction des inducteurs de risque et de valeur quels meacutecanismes de controcircle elle doit mettre en œuvre Les objectifs meacutetiers et les objectifs informatiques geacuteneacuteriques deacutefinis dans ce cadre de reacutefeacuterence aideront agrave faire cette analyse Les meacutecanismes de controcircle sont guideacutes par les objectifs de controcircle de COBIT et sinteacuteressent en prioriteacute aux actions entreprises au cours du processus les modegraveles de maturiteacute se focalisent dabord sur lappreacuteciation de la qualiteacute de gestion dun processus Lannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lenvironnement de controcircle interne et leacutetablissement de controcircles internes dans une entreprise
On peut consideacuterer quun environnement de controcircle est bien adapteacute lorsquon a traiteacute les trois aspects de la maturiteacute capaciteacute couverture et controcircle Ameacuteliorer la maturiteacute reacuteduit les risques et ameacuteliore lefficience ce qui induit moins derreurs des processus plus preacutevisibles et une utilisation rentable des ressources
MESURE DE LA PERFORMANCE Les objectifs et les meacutetriques sont deacutefinis agrave trois niveaux dans COBIT bull les objectifs et les meacutetriques informatiques qui deacutefinissent les attentes de lentreprise vis-agrave-vis de linformatique et comment les mesurer bull les objectifs et les meacutetriques des processus qui deacutefinissent ce que le processus informatique doit fournir pour reacutepondre aux objectifs
informatiques et comment mesurer ces exigences bull les objectifs et les meacutetriques de lactiviteacute qui deacuteterminent les actions agrave entreprendre au sein du processus pour atteindre la performance
requise et comment les mesurer
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 20
ndash
CA
DR
E D
E R
EacuteFEacute
RE
NC
E
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
1
2
3
4
5
Sensibilisation et communication
Politiques plans et proceacutedures Outils et automatisation Compeacutetences et expertise Responsabiliteacute opeacuterationnelle et
responsabiliteacute finale Deacutefinition des objectifs et
meacutetriques On commence agrave Lrsquoapproche par processus et les Il peut exister certains outils la On nrsquoa pas identifieacute quelles Les responsabiliteacutes opeacuterationnelles et Les objectifs ne sont pas clairs et rien reconnaicirctre la pratiques sont envisageacutees au cas par pratique se base sur les outils de compeacutetences eacutetaient neacutecessaires les responsabiliteacutes finales ne sont pas nrsquoest mesureacute neacutecessiteacute des cas bureautique standards au fonctionnement du processus deacutefinies Les gens srsquoattribuent la processus
Les processus et les politiques ne Il nrsquoy a pas drsquoapproche planifieacutee de Il nrsquoexiste pas de plan de formation proprieacuteteacute des problegravemes agrave reacutesoudre de leur propre initiative en fonction
On communique de sont pas deacutefinis lrsquoutilisation des outils et aucune formation nrsquoest des situations temps en temps sur officiellement organiseacutee ces questions On a conscience du On commence agrave utiliser des Il existe des approches communes de On a identifieacute les compeacutetences Une personne assume ses On fixe certains objectifs on mesure besoin drsquoagir processus semblables mais ils sont certains outils mais elles sont baseacutees minimales requises pour les responsabiliteacutes et en est certains flux financiers mais seul le
largement intuitifs car baseacutes sur sur des solutions deacuteveloppeacutees par domaines strateacutegiques habituellement tenue pour management est au courant On Le management lrsquoexpertise individuelle des individus cleacutes responsable (garante) mecircme si cela surveille certains secteurs isoleacutes mais communique sur les On fournit une formation en cas de nrsquoa pas eacuteteacute formellement convenu pas de faccedilon organiseacutee questions geacuteneacuterales Certains aspects des processus sont Des outils ont pu ecirctre acheteacutes chez besoin plutocirct que selon un plan Lorsque des problegravemes surviennent
reproductibles gracircce agrave lrsquoexpertise des fournisseurs mais ils ne sont approuveacute et certaines formations on ne sait plus qui est responsable et individuelle et il peut exister une sans doute pas utiliseacutes correctement informelles ont lieu ldquosur le tasrdquo une culture du blacircme a tendance agrave forme de documentation et de et sont peutshyecirctre mecircme des produits srsquoinstaller compreacutehension informelle de la imparfaitement adapteacutes politique et des proceacutedures F
igu
re 15 T
ableau
des attrib
uts d
e matu
riteacute
On a compris le besoin drsquoagir
Le management communique de faccedilon plus formelle et plus rigoureuse
On commence agrave utiliser les bonnes pratiques
On a deacutefini et documenteacute les processus les politiques et les proceacutedures pour toutes les activiteacutes cleacutes
On a deacutefini un plan drsquoutilisation et de standardisation des outils pour automatiser les processus
Les outils sont utiliseacutes pour leurs fonctions de base mais ne correspondent peutshyecirctre pas tous au plan adopteacute et ne sont peutshyecirctre pas capables de fonctionner les uns avec les autres
On a deacutefini et documenteacute les besoins en compeacutetences pour tous les secteurs
On a eacutelaboreacute un plan de formation officiel mais la formation reste baseacutee sur des initiatives individuelles
Les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et les proprieacutetaires de processus sont identifieacutes Le proprieacutetaire de processus nrsquoa vraisemblablement pas toute autoriteacute pour exercer ses responsabiliteacutes
On fixe certains objectifs drsquoefficaciteacute et on mesure cette efficaciteacute mais on ne communique pas dessus ces objectifs sont clairement relieacutes aux objectifs meacutetiers Des processus de mesures commencent agrave ecirctre utiliseacutes mais pas de faccedilon systeacutematique On adopte les ideacutees du tableau de bord eacutequilibreacute informatique et on utilise parfois lrsquoanalyse causale de maniegravere intuitive
On a pleinement compris les impeacuteratifs
On utilise des techniques abouties et des outils standards pour communiquer
Les processus sont sains et complets on applique les meilleures pratiques internes
Tous les aspects des processus sont documenteacutes et reproductibles Les politiques ont eacuteteacute approuveacutees et avaliseacutees par le management On a adopteacute des standards pour le deacuteveloppement et la gestion des processus et des proceacutedures et on les applique
Les outils sont mis en place selon un plan standardiseacute et certains fonctionnent avec drsquoautres outils dans le mecircme environnement
On utilise certains outils dans les domaines principaux pour automatiser la gestion des processus et pour surveiller les activiteacutes et les controcircles critiques
Les besoins en compeacutetences sont reacuteguliegraverement reacuteajusteacutes pour tous les secteurs on apporte des compeacutetences speacutecialiseacutees agrave tous les secteurs critiques et on encourage la certification
On applique des techniques de formation eacuteprouveacutees conformes au plan de formation et on encourage le partage des connaissances On implique tous les experts des domaines internes et on eacutevalue lrsquoefficaciteacute du plan de formation
Les responsabiliteacutes opeacuterationnelles et finales des processus sont accepteacutees et fonctionnent drsquoune faccedilon qui permet au proprieacutetaire de processus de sacquitter pleinement de ses responsabiliteacutes Il existe une culture de la reacutecompense qui motive un engagement positif dans lrsquoaction
On mesure lrsquoefficaciteacute et lrsquoefficience on communique sur ces questions qursquoon lie aux objectifs meacutetiers et au plan informatique strateacutegique On met en œuvre le tableau de bord eacutequilibreacute informatique dans certains secteurs sauf dans certains cas connus du management et on est en train de standardiser lrsquoanalyse causale Lrsquoameacutelioration continue commence agrave exister
On comprend tout agrave On applique les meilleures pratiques On utilise des progiciels standardiseacutes Lrsquoentreprise encourage Les proprieacutetaires de processus ont le Il existe un systegraveme de mesure de la fait les impeacuteratifs et on et standards externes dans lrsquoensemble de lrsquoentreprise formellement lrsquoameacutelioration pouvoir de prendre des deacutecisions et performance inteacutegreacute qui lie la anticipe sur les continue des compeacutetences selon drsquoagir Le fait drsquoaccepter des performance de lrsquoinformatique aux eacutevolutions La documentation des processus a
eacutevolueacute en workflow automatiseacute On a Les outils sont pleinement inteacutegreacutes entre eux pour supporter le
des objectifs personnels et drsquoentreprise clairement deacutefinis
responsabiliteacutes a eacuteteacute deacuteployeacute de faccedilon coheacuterente agrave tous les eacutechelons
objectifs meacutetiers par lrsquoapplication geacuteneacuterale du tableau de bord eacutequilibreacute
Il existe une standardiseacute et inteacutegreacute les processus processus de bout en bout de lrsquoentreprise informatique Le management prend communication proactive sur les tendances du moment on applique des techniques eacuteprouveacutees
les politiques et les proceacutedures pour permettre une gestion et des ameacuteliorations de tous les maillons de la chaicircne
On utilise des outils pour favoriser lrsquoameacutelioration des processus et pour deacutetecter automatiquement les cas drsquoexception au controcircle
La formation et lrsquoenseignement sappuient sur les meilleures pratiques externes et utilisent des concepts et des techniques de pointe Le partage des
systeacutematiquement note des exceptions et on applique lrsquoanalyse causale Lameacutelioration continue fait deacutesormais partie de la culture drsquoentreprise
et des outils inteacutegreacutes connaissances est une culture pour la communication drsquoentreprise et on deacuteploie des
systegravemes agrave base de connaissances On srsquoappuie sur lrsquoexpeacuterience drsquoexperts externes et drsquoentreprises leaders de la branche
21
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar un accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Nombre d incidentsqui ont mis
l entreprise en difficulteacute vis agrave vis
des tiers
Nombre d incidentsinformatiques reacuteels
qui ont eu un impactsur l activiteacute
de l entreprise
ndash rsquo
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Figure 16 ndash Exemple de relation entre les objectifs
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Maintenirla reacuteputation
et le leadershipde l entreprise
Comprendreles exigencesde seacutecuriteacute
les vulneacuterabiliteacuteset les menaces
ndash
COBIT41 Les objectifs sont deacutefinis dans le sens descendant en ce sens que les objectifs meacutetiers deacutetermineront un certain nombre dobjectifs informatiques pour favoriser leur reacutealisation Un objectif informatique est atteint par un processus ou par linteraction de diffeacuterents processus Par conseacutequent les objectifs informatiques aident agrave deacutefinir les diffeacuterents objectifs de processus Dautre part chaque objectif de processus requiert un certain nombre dactiviteacutes eacutetablissant ainsi les objectifs de lactiviteacute La figure 16 fournit des exemples de liens entre les objectifs meacutetiers informatiques des processus et de lactiviteacute
Figure 16 Exemple de relation entre les objectifs
OOObbbjjjeeeccctttiiifff mmmeacuteeacuteeacutetttiiieeerrr
Maintenir la reacuteputation
et le leadership de lrsquorsquorsquorsquoentreprise
Srsquorsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves
non autoriseacutes
OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
OOObbbjjjeeeccctttiiifff aaaccctttiiivvviiittteacuteeacuteeacute
Les termes ICO (indicateurs cleacutes dobjectif) et ICP (indicateurs cleacutes de performance) utiliseacutes dans les preacuteceacutedentes versions de COBIT ont eacuteteacute remplaceacutes par deux types de meacutetriques bull Les mesures de reacutesultats (anciens ICO) indiquent si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees quapregraves le reacutesultat et sont
correspondent donc agrave des indicateurs a posteriori bull Les indicateurs de performance (anciens ICP) indiquent si les objectifs ont des chances decirctre atteints Ils peuvent ecirctre mesureacutes avant la
manifestation du reacutesultat et correspondent donc agrave des indicateurs a priori
La figure 17 fournit des mesures de reacutesultats ou dobjectifs possibles pour lexemple utiliseacute
Figure 17 Mesures de reacutesultats possibles pour l exemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
Nombre drsquorsquorsquoincidents qui ont mis
lrsquorsquorsquoentreprise en difficulteacute vis---agrave---vis
des tiers
MMeessuurree ddee rreacuteeacutessuullttaatt
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Comprendre les exigences de seacutecuriteacute
les vulneacuterabiliteacutes et les menaces
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
OObbjjeeccttiiff aaccttiivviitteacuteeacute
Nombre drsquorsquorsquoincidents informatiques reacuteels
qui ont eu un impact sur lrsquorsquorsquoactiviteacute
de lrsquorsquorsquoentreprise
MMeessuurree ddee rreacuteeacutessuullttaatt
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par un accegraves non autoriseacute
MMeessuurree ddee rreacuteeacutessuullttaatt
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee rreacuteeacutessuullttaatt
Les mesures de reacutesultats du niveau infeacuterieur deviennent les indicateurs de performance du niveau supeacuterieur Comme lillustre lexemple de la figure 16 une mesure de reacutesultat indiquant que la deacutetection et la reacutesolution dun accegraves non autoriseacute sont en bonne voie reacutevegravele eacutegalement que les services informatiques seront tregraves probablement capables de reacutesister aux attaques Ainsi la mesure de reacutesultat est devenue un indicateur de performance pour lobjectif de niveau supeacuterieur La figure 18 montre comment les mesures de reacutesultats deviennent des mesures de performance dans lexemple employeacute
Les mesures de reacutesultats deacutefinissent des indicateurs qui apregraves les faits reacutevegravelent agrave la direction si une activiteacute un processus ou une fonction informatique a atteint ses objectifs Les mesures de reacutesultats des fonctions informatiques sont souvent exprimeacutees en termes de critegraveres dinformation bull Disponibiliteacute des informations requises pour reacutepondre aux besoins meacutetiers de lentreprise bull Absence de risques vis-agrave-vis de linteacutegriteacute et la confidentialiteacute bull Rentabiliteacute des processus et des opeacuterations bull Confirmation de la fiabiliteacute de lefficaciteacute et de la conformiteacute
Les indicateurs de performance deacutefinissent les mesures qui deacuteterminent agrave quel point la performance de lactiviteacute de la fonction informatique ou du processus informatique lui donne des chances datteindre les objectifs Ce sont des indicateurs essentiels pour savoir si un objectif a des chances decirctre atteint ou non conditionnant ainsi les objectifs du niveau supeacuterieur Ils mesurent geacuteneacuteralement la disponibiliteacute des capaciteacutes des pratiques et des compeacutetences approprieacutees et le reacutesultat des activiteacutes sous-jacentes Par exemple un service fourni par les SI est un objectif pour les SI mais un indicateur de performance et une compeacutetence pour lentreprise Cest la raison pour laquelle les indicateurs de performance sont parfois deacutesigneacutes sous le nom dinducteurs de performance notamment dans les tableaux de bord eacutequilibreacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 22
Maintenirla reacuteputation
et le leadershipde l entreprise
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Deacutetecter et reacutesoudreles problegravemes d accegraves
non autoriseacutes
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
Nombre d incidentsreacuteels geacuteneacutereacutespar des accegravesnon autoriseacute
Freacutequencedes revues des types
d eacuteveacutenements de seacutecuriteacute agrave surveiller
S assurer que les services informatiques
sont capables de reacutesister agrave des attaques et d en surmonter les effets
Nombre d incidentsinformatiques reacuteels
ayant desconseacutequences
pour l entreprise
ndash
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave l infrastructure
Nombre d incidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
Freacutequence des analyses du type d incidents de seacutecuriteacute agrave surveiller
Srsquoassurer que les services informatiques sont capables de reacutesister agrave des attaques et drsquoen surmonter les effets
Nombre drsquoincidents informatiques reacuteels qui ont eu un impact sur lrsquoactiviteacute de lrsquoentreprise
Maintenir la reacuteputation et le leadership de lrsquoentreprise
Nombre drsquoincidents qui ont mis lrsquoentreprise en
difficulteacute vis agrave vis des tiers
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
rsquo
rsquo
rsquo
rsquo rsquo
rsquo
rsquo rsquo
ndash
CADRE DE REacuteFEacuteRENCE Figure 18 Inducteurs de performance possibles pour lrsquoexemple de la figure 16
OObbjjeeccttiiff mmeacuteeacutettiieerr
Maintenir la reacuteputation
et le leadership de lrsquorsquoentreprise
OObbjjeeccttiiff iinnffoorrmmaattiiqquuee
Srsquorsquorsquoassurer que les services informatiques
sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets
OObbjjeeccttiiff pprroocceessssuuss
Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves
non autoriseacutes
Nombre drsquorsquorsquoincidents informatiques reacuteels
ayant des conseacutequences
pour lrsquorsquorsquoentreprise
MMeessuurree ddee ppeerrffoorrmmaannccee
Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par des accegraves non autoriseacute
Freacutequence des revues des types
drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller
MMeessuurree ddee ppeerrffoorrmmaannccee MMeessuurree ddee ppeerrffoorrmmaannccee
iiinnnddduuuiiittt
iiinnnddduuuiiittt
iiinnnddduuuiiittt
Par conseacutequent les meacutetriques fournies constituent une mesure des reacutesultats de la fonction informatique du processus informatique ou de lobjectif dactiviteacute quelles eacutevaluent ainsi quun indicateur de performance induisant lobjectif de niveau supeacuterieur en matiegravere de fonction informatique de processus informatique ou dactiviteacute
La figure 19 illustre les relations entre les objectifs meacutetiers informatiques des processus et de lactiviteacute et les diffeacuterentes meacutetriques La deacuteclinaison des objectifs est illustreacutee den haut agrave gauche agrave en haut agrave droite Sous chaque objectif apparaicirct la mesure de reacutesultat de lobjectif La petite flegraveche indique que la mecircme meacutetrique est un indicateur de performance pour lobjectif de niveau supeacuterieur
Figure 19 Relations entre processus objectifs et meacutetriques (DS5)
Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications
et agrave lrsquorsquoinfrastructure
eesstt mmeessuurreacuteeacute ppaarr
Nombre drsquorsquoincidentsreacuteels geacuteneacutereacutes par un accegraves non
autoriseacute
oobbjjeeccttiiff pprroocceessssuuss
Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance
Comprendre les exigences de seacutecuriteacute les
vulneacuterabiliteacutes et les menaces
eesstt mmeessuurreacuteeacute ppaarr
Freacutequence des analyses du type drsquorsquoincidents de seacutecuriteacute agrave surveiller
oobbjjeeccttiiff aaccttiivviitteacuteeacute
S assurer que les services informatiques sont capables de reacutesister agrave des attaques et d en surmonter les effets
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents informatiques reacuteels qui ont eu un impact sur l activiteacute de l entreprise
oobbjjeeccttiiff iinnffoorrmmaattiiqquuee
Maintenir la reacuteputation et le leadership de l entreprise
eesstt mmeessuurreacuteeacute ppaarr
Nombre d incidents qui ont mis l entreprise en
difficulteacute vis agrave vis des tiers
oobbjjeeccttiiff mmeacuteeacutettiieerr
Mesure des reacutesultats Meacutetrique Processus Indicateur de performance
Mesure des reacutesultats Meacutetrique informatique Indicateur de performance
Deacutefinir les objectifs
Induire la performance
Ameacuteliorer e
t reacutealigner
Mesurer la reacutealisation
Lexemple fourni est tireacute de DS5 Assurer la seacutecuriteacute des systegravemes COBIT fournit uniquement des meacutetriques jusquau reacutesultat des objectifs informatiques comme lindique la deacutelimitation en pointilleacutes Mecircme sil sagit eacutegalement dindicateurs de performance pour les objectifs meacutetiers des SI COBIT ne fournit pas de mesures de reacutesultat des objectifs meacutetiers
Les objectifs meacutetiers et les objectifs informatiques utiliseacutes dans la section des objectifs et meacutetriques de COBIT ainsi que les relations entre eux sont fournis en Annexe I Pour chaque processus informatique de COBIT les objectifs et les meacutetriques sont preacutesenteacutes comme lillustre la figure 20
Les meacutetriques ont eacuteteacute mises au point en tenant compte des caracteacuteristiques suivantes bull un ratio perspicaciteacuteeffort eacuteleveacute (c-agrave-d vision de la performance et du succegraves des objectifs par rapport agrave leffort pour les atteindre) bull comparables en interne (par ex pourcentage par rapport agrave une base ou agrave des chiffres dans le temps) bull comparables en externe quels que soient la taille ou le secteur dactiviteacute bull quelques bonnes meacutetriques (eacuteventuellement mecircme une seule tregraves bonne sur laquelle agissent plusieurs paramegravetres) sont preacutefeacuterables agrave une
longue liste de mauvaises meacutetriques bull des mesures faciles agrave effectuer qui ne doivent pas ecirctre confondues avec les cibles agrave atteindre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 23
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
Objectifs meacutetiersCritegraveres
drsquoinformation
Ressourcesinformatiques
Processusinformatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesuresde reacutesultat
rsquo
COBIT41 Figure 20 ndash Preacutesentation des objectifs et des meacutetriques
Informatique
Ob
ject
ifs
Processus Activiteacutes
Meacutet
riq
ues
ddeacuteeacuteffiinniitt ddeacuteeacuteffiinniitt
mmeessuurree mmeessuurree mmeessuurree
iinndduuiitt
iinndduuiitt
Le modegravele du cadre de reacutefeacuterence COBIT
Le cadre de reacutefeacuterence COBIT par conseacutequent lie les exigences dinformation et de gouvernance meacutetiers aux objectifs de linformatique Le modegravele de processus COBIT permet aux activiteacutes informatiques et aux ressources quelles utilisent decirctre correctement geacutereacutees et controcircleacutees sur la base des objectifs de controcircle de COBIT et decirctre aligneacutees et surveilleacutees en utilisant les objectifs et meacutetriques de COBIT comme lillustre la figure 21
Figure 21 ndash COBIT Gestion Controcircle Alignement et Surveillance
Objectifs meacutetiers Critegraveres
d information
Ressources informatiques
Processus informatiques
Description
des processus
Indicateurs de performance
Inducteurs gouvernance
Reacutesultats meacutetiers
Objectifs informatiques
Processus informatiques
App
licat
ion
s
Info
rmat
ion
s
Infr
astr
uct
ure
s
Per
son
nes
Mesures de reacutesultat
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 24
ndash
Fiabiliteacute
Efficac
iteacute
Efficience
Confidentia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
DOMAINES
ACTIVITEacuteS
PROCESSUS
CADRE DE REacuteFEacuteRENCE En reacutesumeacute les ressources informatiques sont geacutereacutees par des processus informatiques pour atteindre les objectifs informatiques qui reacutepondent aux exigences meacutetiers Cest le principe de base du cadre de reacutefeacuterence COBIT comme lillustre le cube COBIT (figure 22)
Figure 22 Le cube COBIT
Efficac
iteacute
Efficience
Confiden
DOMAINES
ACTIVITEacuteSPPrroocceessssuuss iinnffoorrmm
aattiiqquueess
PROCESSUS
Fiabiliteacutetia
liteacute
Inteacutegriteacute
Disponibilit
eacute
Conformiteacute
App
licat
ions
Info
rmat
ions
Infr
astr
uctu
res
Per
sonn
es
RReessssoouurrcceess iinnffoorrmmaattiiqquueess
EExxiiggeenncceess mmeacuteeacutettiieerrss
On peut repreacutesenter plus en deacutetail le cadre de reacutefeacuterence geacuteneacuteral de COBIT par le graphique de la figure 23 le modegravele COBIT eacutetant diviseacute en 4 domaines et en 34 processus geacuteneacuteriques qui gegraverent les ressources informatiques pour fournir linformation agrave lentreprise en fonction des exigences meacutetiers et de celles de la gouvernance
Pourquoi COBIT est largement reconnu
COBIT se base sur lanalyse et lharmonisation des standards informatiques existants comme sur les bonnes pratiques et se conforme aux principes de gouvernance geacuteneacuteralement accepteacutes Il considegravere les exigences meacutetiers au niveau le plus geacuteneacuteral et couvre lensemble des activiteacutes informatiques en se concentrant sur ce qui doit ecirctre accompli plutocirct que sur la faccedilon de reacuteussir une gouvernance une gestion et un controcircle efficaces des activiteacutes Il agit donc comme un inteacutegrateur des pratiques de gouvernance des SI et sadresse aux directions geacuteneacuterales au management des meacutetiers et de linformatique aux professionnels de la gouvernance de lassurance et de la seacutecuriteacute comme agrave ceux de laudit et du controcircle informatique Il est conccedilu pour ecirctre compleacutementaire dautres standards et des bonnes pratiques et pour ecirctre utiliseacute conjointement avec eux
La mise en place des bonnes pratiques doit ecirctre coheacuterente avec la gouvernance de lentreprise et avec le cadre de controcircle approprieacutee agrave lentreprise et inteacutegreacutee aux autres meacutethodes et pratiques utiliseacutees Les standards et les bonnes pratiques ne sont pas la panaceacutee Leur efficaciteacute deacutepend de la faccedilon dont ils ont eacuteteacute mis en œuvre et dont ils sont tenus agrave jour Ils sont plus utiles lorsquon les applique comme un ensemble de principes et comme point de deacutepart pour leacutelaboration de proceacutedures speacutecifiques sur mesure Pour eacuteviter que les pratiques restent au niveau des bonnes intentions le management et le personnel doivent comprendre quoi faire comment le faire et pourquoi cest important
Pour reacuteussir lalignement des bonnes pratiques sur les exigences meacutetiers il est recommandeacute dutiliser COBIT au niveau le plus geacuteneacuteral ce qui fournira un cadre de controcircle global baseacute sur un modegravele de processus informatiques geacuteneacuteriques qui convient habituellement agrave toutes les entreprises Les pratiques speacutecifiques et les standards qui inteacuteressent des domaines particuliers peuvent ecirctre mis en regard du cadre de reacutefeacuterence COBIT fournissant ainsi un ensemble hieacuterarchiseacute de guides
COBIT concerne diffeacuterents types dutilisateurs bull les directions geacuteneacuterales pour que linvestissement informatique produise de la valeur et pour trouver le bon eacutequilibre entre risques et
investissements en controcircles dans un environnement informatique souvent impreacutevisible bull les directions meacutetiers pour obtenir des assurances sur la gestion et le controcircle des services informatiques fournis en interne ou par des
tiers bull les directions informatiques pour fournir les services informatiques dont les meacutetiers ont besoin pour reacutepondre agrave la strateacutegie de
lentreprise et pour controcircler et bien geacuterer ces services bull les auditeurs pour justifier leurs opinions etou donner des conseils au management sur les dispositifs de controcircle interne
COBIT a eacuteteacute deacuteveloppeacute et est maintenu agrave jour par un institut indeacutependant et sans but lucratif puisant dans lexpertise des membres de ses associations affilieacutees des experts du monde des affaires et des professionnels du controcircle et de la seacutecuriteacute Son contenu est baseacute sur une recherche permanente des bonnes pratiques de linformatique et il est continuellement mis agrave jour offrant ainsi un objectif et des ressources pratiques agrave tous les types dutilisateurs
COBIT est axeacute sur les objectifs et sur la perspective de la gouvernance des SI Il sassure que son cadre de reacutefeacuterence en englobe bien tous les aspects en accord avec les principes de la gouvernance dentreprise et par conseacutequent quil peut ecirctre accepteacute par les administrateurs dirigeants auditeurs et reacutegulateurs Dans lAnnexe II un tableau montre comment les objectifs de controcircle de COBIT se relient aux cinq domaines de la gouvernance des SI et aux activiteacutes de controcircle du COSO
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 25
ndash
Mesure de la performance
Gestion des ressources
Gestiondes risques
Apportde valeur
Alignementstrateacutegique
Modegravelesde maturiteacute
PratiquesMeacutetriquesObjectifs
ndash
bullbullbullbull
ApplicationsInformationsInfrastructuresPersonnes
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SE 2 Surve er et eacuteva uer e controcirc e nterneSE 3 S assurer de a conform teacute aux ob gat ons externesSE 4 Mettre en p ace une gouvernance des SI
SE 1 Surve er et eacuteva uer a performance des SI
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
RESSOURCESINFORMATIQUES
bull Efficience
bull Inteacutegriteacutebull Disponibiliteacutebull Conformiteacutebull Fiabiliteacute
Confidentialiteacutebull
Efficaciteacutebull
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRESDrsquoINFORMATION
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
DS1 Deacutef n r et geacuterer es n veaux de serv ce
DS3 Geacuterer a performance et a capac teacute
DS5 Assurer a seacutecur teacute des systegravemes
DS7 Instru re et former es ut sateurs
DS9 Geacuterer a conf gurat on
DS11 Geacuterer es donneacutees
DS13 Geacuterer exp o tat on
DS2 Geacuterer es serv ces t ers
DS4 Assurer un serv ce cont nu
DS6 Ident f er et mputer es coucircts
DS8 Geacuterer e serv ce d ass stance c ent et es nc dents
DS10 Geacuterer es prob egravemes
DS12 Geacuterer env ronnement phys que
AI 1 Trouver des so ut ons nformat ques
AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance
AI 7 Insta er et va der es so ut ons et es mod f cat ons
AI 4 Fac ter e fonct onnement et ut sat on
AI 6 Geacuterer es changements
AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance
AI 5 Acqueacuter r des ressources nformat ques
PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que
PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets
PO 8 Geacuterer a qua teacute
SURVEILLER ETEVALUER
PLANIFIER ETORGANISER
DEacuteLIVRER ETSUPPORTER
ACQUEacuteRIR ETIMPLEacuteMENTER
COBIT
CRITEgraveRESDrsquoINFORMATIONrsquo
COBIT41 Figure 23 Le Cadre de reacutefeacuterence geacuteneacuteral de COBIT
bullbull bullbull bullbull bullbull
AAAppppppllliiicccaaatttiiiooonnnsss IIInnnfffooorrrmmmaaatttiiiooonnnsss IIInnnfffrrraaassstttrrruuuccctttuuurrreeesss PPPeeerrrsssooonnnnnneeesss
DS 1 Deacutefiiiiniiiir et geacuterer lllles niiiiveaux de serviiiice
DS 3 Geacuterer lllla performance et lllla capaciiiiteacute
DS 5 Assurer lllla seacutecuriiiiteacute des systegravemes
DS 7 Instruiiiire et former lllles utiiiilllliiiisateurs
DS 9 Geacuterer lllla confiiiiguratiiiion
DS 11 Geacuterer lllles donneacutees
DS 13 Geacuterer llllrsquorsquorsquorsquoexplllloiiiitatiiiion
DS 2 Geacuterer lllles serviiiices tiiiiers
DS 4 Assurer un serviiiice contiiiinu
DS 6 Identiiiifiiiier et iiiimputer lllles coucircts
DS 8 Geacuterer lllle serviiiice drsquorsquorsquorsquoassiiiistance clllliiiient et lllles iiiinciiiidents
DS 10 Geacuterer lllles probllllegravemes
DS 12 Geacuterer llllrsquorsquorsquorsquoenviiiironnement physiiiique
AI 1 Trouver des solllutiiions iiinformatiiiques
AI 3 Acqueacuteriiir une iiinfrastructure techniiique et en assurer llla maiiintenance
AI 7 Installllller et vallliiider llles solllutiiions et llles modiiifiiicatiiions
AI 4 Faciiillliiiter llle fonctiiionnement et lllrsquorsquorsquoutiiillliiisatiiion
AI 6 Geacuterer llles changements
AI 2 Acqueacuteriiir des appllliiicatiiions et en assurer llla maiiintenance
AI 5 Acqueacuteriiir des ressources iiinformatiiiques
PO 1 Deacutefiiiniiir un plllan iiinformatiiique strateacutegiiique PO 2 Deacutefiiiniiir lllrsquorsquorsquoarchiiitecture de lllrsquorsquorsquoiiinformatiiion PO 3 Deacutetermiiiner lllrsquorsquorsquooriiientatiiion technolllogiiique PO 4 Deacutefiiiniiir llles processus lllrsquorsquorsquoorganiiisatiiion et llles relllatiiions de travaiiilll PO 5 Geacuterer llles iiinvestiiissements iiinformatiiiques PO 6 Faiiire connaicirctre llles buts et llles oriiientatiiions du management PO 7 Geacuterer llles ressources humaiiines de lllrsquorsquorsquoiiinformatiiique
PO 9 Eacutevallluer et geacuterer llles riiisques PO 10 Geacuterer llles projjjets
PO 8 Geacuterer llla quallliiiteacute
SE 2 Surveiillller et eacutevalluer lle controcirclle iinterne SE 3 Srsquorsquoassurer de lla conformiiteacute aux oblliigatiions externes SE 4 Mettre en pllace une gouvernance des SI
SE 1 Surveiillller et eacutevalluer lla performance des SI
SURVEILLER ET EVALUER
PLANIFIER ET ORGANISER
DEacuteLIVRER ET SUPPORTER
ACQUEacuteRIR ET IMPLEacuteMENTER
RESSOURCES INFORMATIQUES
bullbullbull EEEffffffiiiccciiieeennnccceee
bullbullbull IIInnnttteacuteeacuteeacutegggrrriiittteacuteeacuteeacute bullbullbull DDDiiissspppooonnniiibbbiiillliiittteacuteeacuteeacute bullbullbull CCCooonnnfffooorrrmmmiiittteacuteeacuteeacute bullbullbull FFFiiiaaabbbiiillliiittteacuteeacuteeacute
Cbullbullbull CCooonnnfffiiidddeeennntttiiiaaallliiittteacuteeacuteeacute
Ebullbullbull EEffffffiiicccaaaccciiittteacuteeacuteeacute
COBIT
OBJECTIFS METIERS
OBJECTIFS DE GOUVERNANCE
CRITEgraveRES D INFORMATION
La figure 24 preacutesente les relations entre les diffeacuterents eacuteleacutements du cadre de reacutefeacuterence de COBIT et les domaines daction de la gouvernance des SI
Figure 24 Cadre de reacutefeacuterence COBIT et domaines de gouvernance des SI
SSPPPPMesure de la performance
PPPPSSGestion des ressources
SSPPSSGestion des risques
PPSSPPApport de valeur
PPPPAlignement strateacutegique
Modegraveles de maturiteacute
PratiquesMeacutetriquesObjectifs
PP == iinndduucctteeuurr PPrriimmaaiirree SS == iinndduucctteeuurr SSeeccoonnddaaiirree
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 26
ndash
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
CADRE DE REacuteFEacuteRENCE
COMMENT UTILISER CE LIVRE
Navigation dans le cadre de reacutefeacuterence COBIT On trouvera une description de chacun des processus informatiques de COBIT ainsi que des objectifs cleacutes et des meacutetriques dans cette preacutesentation en cascade (figure 25)
Figure 25 Navigation dans COBIT
Pour chaque processus informatique les objectifs de controcircle sont preacutesenteacutes comme les actions geacuteneacuteriques des bonnes pratiques de gestion minimum neacutecessaires pour que le processus soit sous controcircle
Le controcircle du processus informatique
nom du processus
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
liste des principaux objectifs meacutetiers
en se concentrant sur
liste des principaux objectifs du processus
atteint son objectif gracircce agrave
des objectifs lieacutes agrave lrsquoactiviteacute
et est mesureacute par
des meacutetriques cleacutes
EEffffiiccaa
cciitteacuteeacute
IInntteacuteeacute
ggrriitteacuteeacute
CCoonnffiidd
eennttiiaa
lliitteacuteeacute
EEffffiicciieennccee
DDiissppoonn
iibbiilliitt
eacuteeacute
CCoonnffoo
rrmmiitteacuteeacute
FFiiaabb
iilliitteacuteeacute
AApppplliiccaattiioo
nnss
PPeerrssoonnnneess
IInnffoorrmmaattiioo
nnss
IInnffrraassttrr
uuccttuurreess
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SSSeeecccooonnndddaaaiiirrreeePPPrrriiimmmaaaiiirrreee
Preacutesentation des composants essentiels de COBIT
Le cadre de reacutefeacuterence COBIT est constitueacute dun certain nombre de composants principaux que lon retrouve dans le reste de cette publication et qui sont organiseacutes en 34 processus offrant ainsi une image complegravete de la faccedilon de controcircler de geacuterer et de mesurer chacun dentre eux Chaque processus est deacutetailleacute en quatre sections et chaque section occupe le plus souvent une page bull La section 1 (figure 25) contient une description du processus qui reacutesume ses objectifs la description du processus eacutetant preacutesenteacutee en
eacuteleacutements successivement deacutecaleacutes (en cascade) Cette page montre aussi sous forme scheacutematique quels sont les critegraveres dinformation les ressources informatiques et les domaines de la gouvernance des SI qui concernent ce processus avec la preacutecision P pour primaire ou S pour secondaire
bull La section 2 contient les objectifs de controcircle pour ce processus bull La section 3 contient un tableau des eacuteleacutements en entreacutee (entreacutees) et un autre des eacuteleacutements en sortie (sorties) du processus le tableau RACI
et un dernier tableau qui rapproche les objectifs et les meacutetriques bull La section 4 contient le modegravele de maturiteacute pour ce processus
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 27
COBIT41 On peut preacutesenter ainsi les eacuteleacutements qui conditionnent la performance du processus bull Les entreacutees du processus sont ce dont le proprieacutetaire du processus a besoin que les autres lui fournissent bull La description du processus et les objectifs de controcircle deacutetailleacutes preacutesentent ce que le proprieacutetaire du processus doit faire bull Les sorties du processus sont ce que le proprieacutetaire du processus doit livrer bull La partie objectifs et meacutetriques montre comment il faut mesurer le processus bull Le tableau RACI preacutecise ce qui doit ecirctre deacuteleacutegueacute et agrave qui bull Le modegravele de maturiteacute montre ce quil faut faire pour progresser
Les rocircles dans le tableau RACI sont deacutesigneacutes pour tous les processus par les expressions bull Directeur geacuteneacuteral (DG) bull Directeur financier (DF) bull Direction meacutetier bull Directeur informatique (DSI) bull Proprieacutetaire de processus meacutetier bull Responsable de lexploitation bull Responsable de larchitecture bull Responsable des deacuteveloppements bull Responsable administratif de linformatique (dans les grandes entreprises le responsable de fonctions telles que ressources humaines
budget ou controcircle interne) bull Responsable de la gestion des projets (PMO Project Management Officer) ou fonction de gestion de projet bull Conformiteacute audit risque et seacutecuriteacute (personnes qui ont des responsabiliteacutes de controcircle mais pas de responsabiliteacutes opeacuterationnelles
informatiques)
Certains processus speacutecifiques ont un rocircle speacutecialiseacute suppleacutementaire propre au processus par ex Responsable service gestion des incidents pour le processus DS8
Il faut bien noter que mecircme si le preacutesent contenu a eacuteteacute collecteacute aupregraves de centaines dexperts selon des recherches et des veacuterifications rigoureuses les entreacutees sorties responsabiliteacutes mesures et objectifs sont des exemples et ne preacutetendent constituer ni des prescriptions ni une liste exhaustive Ils proposent une base de connaissance et dexpertise dans laquelle chaque entreprise doit seacutelectionner ce qui sera efficace et efficient pour son activiteacute en fonction de sa strateacutegie de ses objectifs et de ses politiques
Utilisateurs des composants de COBIT
Les dirigeants peuvent utiliser les supports COBIT pour eacutevaluer les processus informatiques agrave laide des objectifs meacutetier et des objectifs informatiques deacutecrits en Annexe I afin de clarifier les objectifs des processus informatiques et les modegraveles de maturiteacute des processus pour eacutevaluer les performances reacuteelles
Les responsables de la mise en œuvre et les auditeurs peuvent identifier les exigences de controcircle applicables agrave partir des objectifs de controcircle et les responsabiliteacutes agrave partir des activiteacutes et des tableaux RACI associeacutes
Tous les utilisateurs potentiels peuvent tirer parti du contenu COBIT et lutiliser dans le cadre dune meacutethode globale de gestion et de gouvernance des SI conjointement agrave dautres normes plus deacutetailleacutees telles que bull ITIL pour la prestation de services bull CMM pour la fourniture de solutions bull ISO 17799 pour la seacutecuriteacute de linformation bull PMBOK ou PRINCE2 pour la gestion de projets
Annexes
On trouvera agrave la fin du livre les sections de reacutefeacuterence suppleacutementaires suivantes I Tableaux eacutetablissant les liens entre les objectifs et les processus (3 tableaux) II Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT III Modegravele de maturiteacute pour le controcircle interne IV Documents de reacutefeacuterence de COBIT 41 V Correspondance entre COBIT 3e eacutedition et COBIT 41 VI Approche recherche et deacuteveloppement VII Glossaire VIII COBIT et produits de la famille COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 28
PLANIFIER ET ORGANISER
PO1 Deacutefinir un plan informatique strateacutegique PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation PO3 Deacuteterminer lrsquoorientation technologique PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail PO5 Geacuterer les investissements informatiques PO6 Faire connaicirctre les buts et les orientations du management PO7 Geacuterer les ressources humaines de lrsquoinformatique PO8 Geacuterer la qualiteacute PO9 Eacutevaluer et geacuterer les risques PO10 Geacuterer les projets
PL
AN
IFIE
R E
T
OR
GA
NIS
ER
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
DESCRIPTION DU PROCESSUS
PO1 Deacutefinir un plan informatique strateacutegique
Un plan de strateacutegie informatique est neacutecessaire pour geacuterer et orienter toutes les ressources informatiques vers les prioriteacutes strateacutegiques de lrsquoentreprise La DSI et les parties prenantes de lrsquoentreprise ont la responsabiliteacute de srsquoassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services Le plan strateacutegique doit permettre aux principales parties prenantes drsquoameacuteliorer leur compreacutehension des potentialiteacutes et des limites des technologies de lrsquoinformation (TI) drsquoeacutevaluer la performance actuelle drsquoidentifier les besoins en capaciteacute et en ressources humaines et de les eacuteclairer sur le niveau drsquoinvestissement neacutecessaire La strateacutegie et les prioriteacutes de lrsquoentreprise doivent se refleacuteter dans les portefeuilles de projets et doivent ecirctre mises en œuvre par le(s) plan(s) tactique(s) des SI qui preacutecise(nt) succintement les objectifs les plans et les tacircches et qui sont compris et accepteacutes agrave la fois par les meacutetiers et lrsquoinformatique
Le controcircle du processus informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Deacutefinir un plan informatique strateacutegique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices des coucircts et des risques
en se concentrant sur
la convergence du management de lrsquoentreprise et du management de lrsquoinformatique dans la traduction des exigences des meacutetiers en offres de services et sur le deacuteveloppement de strateacutegies pour fournir ces services en toute transparence et efficaciteacute
atteint son objectif en
bull travaillant avec les meacutetiers et la direction geacuteneacuterale pour aligner la planification strateacutegique des SI avec les besoins actuels et futurs de lrsquoentreprise
bull ayant un bonne connaissance des capaciteacutes actuelles des technologies de lrsquoinformation bull fournissant un scheacutema des prioriteacutes agrave appliquer aux objectifs des meacutetiers qui quantifie les exigences
des meacutetiers
et est mesureacute par
bull le pourcentage des objectifs informatiques du plan informatique strateacutegique qui apporte un soutien au plan strateacutegique des meacutetiers
bull le pourcentage de projets informatiques dans le portefeuille de projets qui deacutecoule directement du plan tactique des SI
bull le deacutelai entre les mises agrave jour du plan strateacutegique des SI et celles du plan tactique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 29
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
OBJECTIFS DE CONTROcircLE
PO1 Deacutefinir un plan informatique strateacutegique
PO11 Gestion de la valeur des SI Travailler avec les meacutetiers pour srsquoassurer que le portefeuille drsquoinvestissements informatiques de lrsquoentreprise contient des programmes ou projets dont les analyses de rentabiliteacute sont solides Reconnaicirctre qursquoil y a des investissements obligatoires indispensables et discreacutetionnaires qui diffegraverent en complexiteacute et en degreacute de liberteacute pour ce qui est de lrsquoattribution des creacutedits Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes au plus tocirct pour tout eacutecart par rapport au plan par exemple en ce qui concerne les coucircts les deacutelais et les fonctionnaliteacutes susceptible drsquoavoir des conseacutequences sur les reacutesultats attendus des programmes Les services informatiques doivent ecirctre rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) eacutequitables et applicables La responsabiliteacute finale de lrsquoobtention des beacuteneacutefices et du controcircle des coucircts est clairement assigneacutee et superviseacutee Eacutetablir une eacutevaluation juste transparente reproductible et comparable des analyses de rentabiliteacute qui tient compte de la valeur financiegravere du risque de ne pas fournir une capaciteacute et de ne pas reacutealiser les beacuteneacutefices attendus
PO12 Alignement meacutetiers-informatique Instaurer des processus de formation bi-directionnelle et drsquoengagement reacuteciproque dans le plan strateacutegique pour arriver agrave un alignement et une inteacutegration de lrsquoinformatique et des meacutetiers Trouver un compromis entre les impeacuteratifs meacutetiers et ceux de lrsquoinformatique de faccedilon agrave ce que les prioriteacutes fassent lrsquoobjet drsquoun agreacutement mutuel
PO13 Eacutevaluation de la capaciteacute et de la performance actuelle Eacutevaluer la capaciteacute et la performance actuelle de la configuration et le servi fourni de faccedilon agrave constituer une base drsquoeacutevaluation de besoins agrave venir Deacutefinir la performance en termes de contribution de lrsquoinformatique aux objectifs des meacutetiers de fonctionnaliteacutes de stabiliteacute de complexiteacute de coucircts de forces et de faiblesses
PO14 Plan informatique strateacutegique Creacuteer un plan strateacutegique qui deacutefinit en coopeacuteration avec les parties prenantes comment les objectifs de lrsquoinformatique vont contribuer aux objectifs strateacutegiques de lrsquoentreprise et aux coucircts et aux risques qui leur sont lieacutes Il doit inclure les programmes drsquoinvestissements informatiques les services et les actifs informatiques Il doit deacutefinir comment les objectifs seront atteints les meacutetriques agrave retenir et les proceacutedures permettant drsquoobtenir un aval formel des parties prenantes Le plan informatique strateacutegique doit couvrir les budgets drsquoinvestissement et de fonctionnement les sources de financement la strateacutegie de fourniture la strateacutegie drsquoachat et les exigences leacutegales et reacuteglementaires Le plan strateacutegique doit ecirctre suffisamment deacutetailleacute pour permettre de deacutefinir des plans informatiques tactiques
PO15 Plans informatiques tactiques Creacuteer un portefeuille de plans informatiques tactiques qui deacutecoule du plan informatique strateacutegique Ces plans tactiques doivent contenir les programmes drsquoinvestissements informatiques les services et les actifs informatiques Ces plans tactiques doivent deacutecrire les initiatives informatiques neacutecessaires des besoins en ressources et comment lrsquoutilisation des ressources et la reacutealisation de beacuteneacutefices seront surveilleacutees et geacutereacutees Les plans tactiques doivent ecirctre suffisamment deacutetailleacutes pour permettre de deacutefinir des plans de projets Geacuterer activement les plans tactiques informatiques et les initiatives au moyen de lrsquoanalyse de projets et des portefeuilles de services
PO16 Gestion du portefeuille informatique Geacuterer activement avec les meacutetiers le portefeuille des programmes dinvestissements informatiques qui sont neacutecessaires pour atteindre les objectifs meacutetiers strateacutegiques speacutecifiques cela consiste agrave identifier deacutefinir eacutevaluer seacutelectionner initier et controcircler ces programmes et agrave eacutetablir leurs prioriteacutes respectives Cela inclut de clarifier les reacutesultats meacutetiers deacutesireacutes de srsquoassurer que les objectifs des programmes favorisent lrsquoobtention de ces reacutesultats de comprendre lrsquoampleur des efforts neacutecessaires pour les obtenir drsquoaffecter clairement la responsabiliteacute finale et de deacutefinir les mesures de soutien de deacutefinir les projets qui font partie des programmes drsquoallouer les ressources et les financements de deacuteleacuteguer lrsquoautoriteacute et de commander les projets neacutecessaires au moment du lancement des programmes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 30
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1
GUIDE DE MANAGEMENT
PO1 Deacutefinir un plan informatique strateacutegique
De Entreacutees PO5 Rapports coucirctsbeacuteneacutefices PO9 Eacutevaluation des risques PO10 Portefeuille actualiseacute des projets DS1 Besoins de services nouveauxactualiseacutes
portefeuille actualiseacute des services
Strateacutegie drsquoentreprise et prioriteacutes Portefeuille de programmes SE1 Entreacutee de la performance dans le planning SI SE4 Etat de situation de la gouvernance des SI
orientation strateacutegique de lrsquoentreprise pour les SI
Sorties Vers Plan informatique strateacutegique PO2hellipPO6 PO8 PO9 AI1 DS1 Plan informatique tactique PO2hellipPO6 PO9 AI1 DS1 Portefeuille de projets PO5 PO6 PO10 AI6 Portefeuille de services PO5 PO6 PO9 DS1 Strateacutegie de fourniture DS2 Strateacutegie drsquoachats AI5
Entreacutees externes agrave COBIT
Lier objectifs meacutetiers et objectifs informatiques C I AR R C
Identifier les deacutependances critiques et les performances actuelles C C R AR C C C C C C
Construire un plan informatique strateacutegique A C C R I C C C C I C
Eacutelaborer des plans informatiques tactiques C I A C C C C C R I
Analyser les portefeuilles de programmes et geacuterer les portefeuilles de projets et de services C I I A R R C R C C I
FonctionsDG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration
induit
induit
Meacutetriq
ues
bull Degreacute drsquoapprobation des plans informatiques strateacutegiquestactiques par les proprieacutetaires meacutetiers bull Degreacute de conformiteacute avec les exigences des meacutetiers et de gouvernance bull Niveau de satisfaction de lrsquoentreprise sur lrsquoeacutetat en cours du portefeuille drsquoapplications et de projets (nombre ampleur etc)
bull Pourcentage drsquoobjectifs informatiques dans le plan strateacutegique SI qui soutiennent le plan strateacutegique meacutetiers bull Pourcentage drsquoinitiatives informatiques dans le plan tactique SI qui soutiennent le plan tactique meacutetiers bull Pourcentage de projets informatiques dans le portefeuille de projets qursquoon peut directement relier au plan tactique SI
bull Deacutelai de mise agrave jour entre plan strateacutegique et tactique drsquoentreprise et plan strateacutegique et tactique SI bull Pourcentage de reacuteunions sur la planification strateacutegiquetactique SI ougrave des repreacutesentants meacutetiers ont activement participeacute bull Deacutelai entre la mise agrave jour du plan strateacutegique SI et la mise agrave jour des plans tactiques SI bull Pourcentage de plans tactiques SI qui se conforment aux structurescontenus preacutedeacutefinis de ces plans bull Pourcentage drsquoinitiativesprojets SI deacutefendus par les proprieacutetaires meacutetiers
Processus
bull Deacutefinir comment les exigences des meacutetiers se traduisent en offres de services bull Deacutefinir la strateacutegie pour fournir les offres de services bull Contribuer agrave la gestion du portefeuille des investissements de lrsquoentreprise agrave composantes informatiques bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique
Activiteacutes
bull Srsquoimpliquer avec les directions opeacuterationnelles et geacuteneacuterales dans lrsquoalignement des plans strateacutegiques informatiques avec les exigences des meacutetiers actuelles et futures bull Comprendre les capaciteacutes actuelles des TI bull Traduire les plans de strateacutegie informatique en plans tactiques bull Proposer un scheacutema de prioriteacutes pour les objectifs meacutetiers qui quantifie les exigences des meacutetiers
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 31
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique
MODEgraveLE DE MATURITEacute
PO1 Deacutefinir un plan informatique strateacutegique
La gestion du processus Deacutefinir un plan informatique strateacutegique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices coucircts et risques est
0 Inexistante quand
Il ny a pas de planification informatique strateacutegique Le management na pas conscience quun plan informatique strateacutegique est neacutecessaire agrave la reacutealisation des objectifs de lentreprise
1 Initialiseacutee au cas par cas quand
Le management connaicirct le besoin drsquoun plan informatique strateacutegique La planification informatique srsquoeffectue au cas par cas en reacuteponse agrave des exigences meacutetiers speacutecifiques La planification informatique strateacutegique fait lrsquoobjet de discussions occasionnelles aux reacuteunions de la DSI Lalignement des exigences meacutetiers des applications et de lrsquoinformatique se fait dune faccedilon reacuteactive plus que par une strateacutegie geacuteneacuterale de lentreprise La position strateacutegique par rapport au risque est deacutetermineacutee de faccedilon informelle projet par projet
2 Reproductible mais intuitive quand
Le plan strateacutegique informatique nest partageacute avec la direction de lentreprise quen reacuteponse agrave des besoins speacutecifiques On met agrave jour les plans informatiques en reacuteponse agrave des demandes du management On prend les deacutecisions projet par projet sans coheacuterence avec une strateacutegie globale drsquoentreprise On connaicirct intuitivement les risques et les avantages des principales deacutecisions strateacutegiques pour les utilisateurs
3 Deacutefinie quand
Une politique deacutefinit quand et comment reacutealiser le plan informatique strateacutegique Ce dernier adopte une approche structureacutee qui est documenteacutee et connue de tout le personnel Le processus de planification informatique est raisonnablement conccedilu et garantit une bonne probabiliteacute de reacutealisation dun plan approprieacute Toutefois la mise en œuvre du processus est laisseacutee agrave linitiative de responsables individuels et aucune proceacutedure dexamen de ce processus nest preacutevue La strateacutegie informatique globale inclut une deacutefinition coheacuterente des risques accepteacutes par lentreprise et preacutecise si elle se voit en position dinnovateur ou de suiveur Les strateacutegies informatiques en matiegravere de finances de techniques et de ressources humaines influencent de plus en plus lacquisition de nouveaux produits et de nouvelles technologies La planification informatique strateacutegique fait lrsquoobjet de discussions aux reacuteunions de la direction de lrsquoentreprise
4 Geacutereacutee et mesurable quand
La planification informatique strateacutegique est une pratique standard et le management signale les anomalies Elle correspond agrave une fonction de management comportant des responsabiliteacutes de cadre supeacuterieur Le management est capable de surveiller le processus de planification informatique strateacutegique de prendre des deacutecisions eacutetayeacutees en se basant sur lui et de mesurer son efficaciteacute Il existe agrave la fois des plans informatiques agrave court et long terme qui sont diffuseacutes agrave tous les eacutechelons de lentreprise avec des mises agrave jour lorsque cest neacutecessaire La strateacutegie informatique et la strateacutegie globale de lentreprise sont de mieux en mieux coordonneacutees gracircce agrave lutilisation de processus meacutetiers et de capaciteacutes qui ajoutent de la valeur et gracircce agrave la mise en œuvre dapplications et de technologies qui induisent la reacute-ingeacutenierie des processus meacutetiers Il existe un processus bien deacutefini assurant une bonne reacutepartition entre les ressources internes et externes neacutecessaires au deacuteveloppement et agrave lexploitation des systegravemes
5 Optimiseacutee quand
Le plan informatique strateacutegique est un processus documenteacute et vivant toujours pris en compte dans la deacutefinition des objectifs meacutetiers la valeur apporteacutee par les investissements informatiques est patente Les consideacuterations risquevaleur ajouteacutee sont continuellement actualiseacutees dans le processus de planification informatique strateacutegique On deacuteveloppe et on actualise en permanence des plans informatiques agrave long terme reacutealistes pour refleacuteter leacutevolution des technologies et des activiteacutes de lentreprise On utilise des tests comparatifs avec les normes reconnues et fiables des meacutetiers et on les integravegre au processus drsquoeacutelaboration de la strateacutegie Le plan informatique strateacutegique tient compte de la faccedilon dont lrsquoeacutevolution des nouvelles technologies peut induire de nouvelles capaciteacutes meacutetiers et ameacuteliorer lrsquoavantage compeacutetitif de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 32
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
DESCRIPTION DU PROCESSUS
PO2 Deacutefinir larchitecture de lrsquoinformation
Les responsables des systegravemes informatiques doivent creacuteer et mettre reacuteguliegraverement agrave jour un modegravele drsquoinformation de lrsquoentreprise et deacuteterminer quels sont les systegravemes approprieacutes susceptibles drsquooptimiser lrsquoutilisation de cette information Cela comprend lrsquoeacutelaboration drsquoun dictionnaire des donneacutees de lrsquoentreprise des regravegles de syntaxe de donneacutees propres agrave lrsquoentreprise drsquoun systegraveme de classification des donneacutees et de niveaux de seacutecuriteacute En assurant une information fiable et sucircre ce processus ameacuteliore la gestion de la prise de deacutecision et permet de rationaliser les ressources informatiques pour ecirctre en phase avec les strateacutegies de lrsquoentreprise Ce processus informatique est aussi neacutecessaire pour eacutetendre le champ de la responsabiliteacute de lrsquointeacutegriteacute et de la seacutecuriteacute des donneacutees et pour ameacuteliorer lrsquoefficaciteacute et le controcircle du partage de lrsquoinformation entre les applications et les diffeacuterents deacutepartements de lrsquoentreprise
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PS PS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacutefinir larchitecture de lrsquoinformation
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers
en se concentrant sur
la constitution drsquoun modegravele de donneacutees de lrsquoentreprise inteacutegrant un systegraveme de classification des informations pour assurer lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees
atteint son objectif en
bull garantissant lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull attribuant la proprieacuteteacute des donneacutees bull classant lrsquoinformation selon un systegraveme de classification approuveacute
et est mesureacute par
bull le pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes bull le pourcentage drsquoapplications qui ne se conforment pas agrave la meacutethodologie drsquoarchitecture
de lrsquoinformation de lrsquoentreprise bull la freacutequence des activiteacutes de validation des donneacutees
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 33
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
OBJECTIFS DE CONTROcircLE
PO2 Deacutefinir larchitecture de lrsquoinformation
PO21 Modegravele darchitecture de linformation de lrsquoentreprise Eacutetablir et tenir agrave jour un modegravele drsquoinformation de lrsquoentreprise pour faciliter le deacuteveloppement drsquoapplications et les activiteacutes drsquoaide agrave la deacutecision conforme aux plans informatiques deacutecrits dans PO1 Ce modegravele doit permettre drsquooptimiser la creacuteation lrsquoutilisation et le partage de lrsquoinformation dans lrsquoentreprise et drsquoen maintenir lrsquointeacutegriteacute la flexibiliteacute la fonctionnaliteacute la rentabiliteacute la disponibiliteacute en temps opportun la seacutecuriteacute et la reacutesistance aux pannes
PO22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise Maintenir opeacuterationnel un dictionnaire des donneacutees qui utilise les regravegles de syntaxe des donneacutees de lentreprise Ce dictionnaire doit faciliter le partage drsquoeacuteleacutements de donneacutees par les applications et les systegravemes favoriser la compreacutehension commune des donneacutees entre lrsquoinformatique et les utilisateurs meacutetiers et eacuteviter la creacuteation drsquoeacuteleacutements de donneacutees incompatibles
PO23 Systegraveme de classification des donneacutees Eacutetablir un systegraveme de classification baseacute sur les dimensions critiques et sensibles des donneacutees (par ex publiques confidentielles secregravetes) qui srsquoapplique agrave toute lrsquoentreprise Ce systegraveme doit comprendre les deacutetails sur la proprieacuteteacute des donneacutees la deacutefinition des niveaux de seacutecuriteacute et des controcircles de protection approprieacutes une bregraveve description des regravegles de conservation et de destruction des donneacutees et de leurs dimensions critiques et sensibles Il doit ecirctre utiliseacute comme base pour les controcircles comme les controcircles drsquoaccegraves drsquoarchivage ou de cryptage
PO24 Gestion de lrsquointeacutegriteacute Deacutefinir et mettre en place des proceacutedures qui assurent lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees conserveacutees sous forme eacutelectronique comme les bases de donneacutees les entrepocircts de donneacutees et les archives de donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 34
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2
GUIDE DE MANAGEMENT
PO2 Deacutefinir larchitecture de lrsquoinformation
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
AI1 Eacutetude de faisabiliteacute shy exigences des meacutetiers
AI7 Revue postshydeacutemarrage
DS3 Informations sur la performance et la capaciteacute
SE1 Entreacutee de la performance dans le planning SI
Sorties Vers Systegraveme de classification de donneacutees AI2 Plan optimiseacute des systegravemes meacutetiers PO3 AI2 Dictionnaire de donneacutees AI2 DS11 Architecture de linformation PO3 DS5 Classifications attribueacutees aux donneacutees DS1 DS4 DS5 DS11 DS12 Proceacutedures et outils de classification Sorties externes agrave CobiT
Creacuteer et maintenir le modegravele drsquoinformation de lrsquoentreprise ou du groupe C I A C R C C C
Creacuteer et maintenir le(s) dictionnaire(s) de donneacutees de lrsquoentreprise ou du groupe I C AR R C
Eacutelaborer et maintenir le systegraveme de classification de donneacutees I C A C C I C C R
Fournir aux proprieacutetaires de donneacutees les proceacutedures et les outils neacutecessaires aux systegravemes de classification des donneacutees
I C A C C I C C R
Utiliser le modegravele drsquoinformation le dictionnaire de donneacutees et le systegraveme de classification pour planifier des systegravemes informatiques meacutetiers optimiseacutes
C C I A C R C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Assurer une inteacutegration en douceur des applications dans les processus meacutetiers bull Reacuteagir aux exigences des meacutetiers en fonction de la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Eacutetablir un modegravele des donneacutees de lrsquoentreprise bull Reacuteduire la redondance des donneacutees bull Soutenir une gestion efficace de lrsquoinformation
deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de satisfaction des utilisateurs du modegravele drsquoinformation (par ex le dictionnaire de donneacutees est-il facile agrave utiliser ) bull Pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes
bull Pourcentage drsquoeacuteleacutements de donneacutees qui ne font pas partie du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements non conformes au systegraveme de classification des donneacutees bull Pourcentage drsquoapplications non conformes aux architectures de lrsquoinformation
bull Freacutequence drsquoactualisation du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements de donneacutees qui nrsquoont pas de proprieacutetaire bull Freacutequence des activiteacutes de validation des donneacutees bull Niveau de participation des utilisateurs
Activiteacutes
bull Assurer lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull Attribuer la proprieacuteteacute des donneacutees bull Classer lrsquoinformation selon un systegraveme de classification approuveacute bull Assurer la coheacuterence entre les composants de lrsquoinfrastructure informatique (par ex architecture de lrsquoinformation dictionnaires de donneacutees applications systegravemes de classification et niveaux de seacutecuriteacute) bull Maintenir lrsquointeacutegriteacute des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 35
Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
MODEgraveLE DE MATURITEacute
PO2 Deacutefinir larchitecture de lrsquoinformation
La gestion du processus Deacutefinir lrsquoarchitecture de lrsquoinformation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance de larchitecture de linformation pour lentreprise Les connaissances les compeacutetences et les responsabiliteacutes neacutecessaires pour mettre en place cette architecture nexistent pas dans lentreprise
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune architecture de lrsquoinformation Lrsquoeacutelaboration de certains composants drsquoune architecture de lrsquoinformation a lieu au cas par cas Les deacutefinitions concernent les donneacutees plutocirct que les informations et viennent des logiciels applicatifs disponibles sur le marcheacute La communication sur le besoin dune architecture de linformation se fait au hasard sans coheacuterence
2 Reproductible mais intuitive quand
Un processus drsquoarchitecture de lrsquoinformation se fait jour et diffeacuterentes personnes dans lentreprise suivent des proceacutedures semblables bien qursquoinformelles et intuitives Les personnels acquiegraverent leurs compeacutetences en architecture de lrsquoinformation par la pratique et par la mise en œuvre de techniques reacutepeacutetitives La neacutecessiteacute tactique est agrave lorigine de la creacuteation de certains composants dune architecture de linformation
3 Deacutefinie quand
Limportance de larchitecture de linformation est comprise et accepteacutee et lrsquoon sait clairement qui est responsable de sa mise en place On a standardiseacute et documenteacute des proceacutedures outils et techniques lieacutes agrave cette architecture ils sont encore simples et font partie dactiviteacutes de formation informelles On a deacutefini certaines politiques de base sur cette question en fonction de certaines neacutecessiteacutes strateacutegiques mais la conformiteacute avec les politiques standards et outils nrsquoest pas systeacutematiquement respecteacutee On trouve une fonction dadministration des donneacutees formellement deacutefinie qui met en place des standards agrave leacutechelle de lentreprise et qui commence agrave faire des rapports sur la mise agrave disposition et lutilisation de larchitecture de linformation On commence agrave employer des outils automatiseacutes mais les processus et les regravegles utiliseacutes sont deacutefinis par les offres commerciales de logiciels de bases de donneacutees Un plan de formation formel a eacuteteacute eacutelaboreacute mais les formations formelles sont encore baseacutees sur lrsquoinitiative individuelle
4 Geacutereacutee et mesurable quand
Des meacutethodes et des techniques preacutecises soutiennent pleinement le deacuteveloppement et la mise en œuvre de larchitecture de linformation On rend compte des performances du processus de deacuteveloppement de larchitecture de linformation et on mesure ses reacutesultats Des outils automatiques dassistance sont largement reacutepandus mais pas encore inteacutegreacutes On a identifieacute les principaux eacuteleacutements agrave mesurer et un systegraveme de mesure est en place Le processus de deacutefinition de larchitecture de linformation est proactif et conccedilu pour faire face aux besoins futurs de lentreprise Le personnel chargeacute de ladministration des donneacutees simplique activement dans tous les efforts de deacuteveloppement des applications pour en assurer la coheacuterence Un reacutefeacuterentiel central automatiseacute est pleinement opeacuterationnel On utilise des modegraveles de donneacutees plus complexes pour beacuteneacuteficier des informations contenues des bases de donneacutees Les systegravemes dinformation agrave lusage du management (EIS) et les systegravemes daide agrave la deacutecision utilisent pleinement les informations disponibles
5 Optimiseacutee quand
Lrsquoarchitecture de lrsquoinformation est systeacutematiquement utiliseacutee agrave tous les niveaux On met en permanence lrsquoaccent sur la valeur de lrsquoarchitecture de lrsquoinformation pour lrsquoentreprise Les informaticiens ont les connaissances et les compeacutetences neacutecessaires pour deacutevelopper et assurer la maintenance dune architecture de linformation robuste et reacuteactive qui srsquointeacuteresse agrave tous les besoins de lentreprise On utilise systeacutematiquement et abondamment linformation fournie On utilise largement les meilleures pratiques de la profession en matiegravere de deacuteveloppement et de maintenance de larchitecture de linformation y compris un processus dameacutelioration permanente On a deacutefini une strateacutegie de mobilisation des informations en utilisant les technologies dentrepocircts de donneacutees et doutils dexploration des donneacutees (data mining) Larchitecture de linformation sameacuteliore sans cesse et elle prend en compte les informations non traditionnelles sur les processus les organisations et les systegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 36
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
DESCRIPTION DU PROCESSUS
PO3 Deacuteterminer lorientation technologique
Le SI deacutetermine lrsquoorientation technologique susceptible de favoriser lrsquoactiviteacute de lrsquoentreprise Cela exige la creacuteation et la maintenance dun plan dinfrastructure technologique et drsquoun comiteacute architecture des TI qui fixe et gegravere les attentes clairement exprimeacutees et reacutealistes de ce que la technologie peut offrir en termes de produits services et meacutecanismes de livraison Ce plan est reacuteguliegraverement actualiseacute et comprend des aspects comme lrsquoarchitecture lrsquoorientation technologique les plans drsquoacquisition les standards les strateacutegies de migration et les impreacutevus Cela permet de reacuteagir en temps utile aux modifications de lrsquoenvironnement concurrentiel cela permet aussi des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Deacuteterminer lorientation technologique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise
en se concentrant sur
la deacutefinition et la mise en place drsquoun plan drsquoinfrastructure informatique drsquoune architecture et de standards qui savent identifier et mettre agrave profit les opportuniteacutes technologiques
atteint son objectif en
bull mettant en place un forum destineacute agrave conseiller lrsquoarchitecture et agrave veacuterifier la conformiteacute bull mettant en place un plan drsquoinfrastructure technologique qui trouve le bon eacutequilibre entre coucircts
risques et besoins bull deacutefinissant les standards drsquoinfrastructure technologique en fonction des besoins de lrsquoarchitecture
informatique
et est mesureacute par
bull le nombre et le type drsquoeacutecarts par rapport au plan drsquoinfrastructure technologique bull la freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technologique bull le nombre de plates-formes technologiques par service dans lrsquoentreprise
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 37
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
OBJECTIFS DE CONTROcircLE
PO3 Deacuteterminer lorientation technologique
PO31 Planification de lrsquoorientation technologique Analyser les technologies existantes et eacutemergentes et deacutecider quelle orientation technologique sera la plus favorable pour reacutepondre agrave la strateacutegie informatique et pour lrsquoarchitecture des systegravemes de lrsquoentreprise Deacutesigner aussi dans le plan les technologies qui permettront de creacuteer des opportuniteacutes pour lrsquoactiviteacute de lrsquoentreprise Entre autres composantes de lrsquoinfrastructure le plan doit prendre en compte lrsquoarchitecture des systegravemes lrsquoorientation technologique les strateacutegies de migration et les impreacutevus
PO32 Plan dinfrastructure technologique Creacuteer et maintenir un plan drsquoinfrastructure technologique en phase avec les plans strateacutegiques et tactiques des SI Ce plan doit se baser sur les orientations technologiques et comporter une gestion des impreacutevus et des orientations pour lrsquoacquisition de ressources informatiques Il doit prendre en compte les modifications de lrsquoenvironnement concurrentiel des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications
PO33 Surveillance de lrsquoeacutevolution des tendances et de la reacuteglementation Mettre en place un processus pour surveiller les tendances de lrsquoenvironnement du secteur drsquoactiviteacute de la profession de lrsquoenvironnement informatique leacutegal et reacuteglementaire Introduire les conseacutequences de ces tendances dans le deacuteveloppement du plan drsquoinfrastructure technologique des SI
PO34 Standards informatiques Pour proposer des solutions informatiques efficaces et sucircres agrave lrsquoensemble de lrsquoentreprise constituer un forum informatique pour donner des lignes directrices en technologie de lrsquoinformation des avis sur les produits drsquoinfrastructure et des conseils sur le choix technologique mesurer la conformiteacute par rapport agrave ces standards et agrave ces lignes directrices Ce forum doit piloter les standards et les pratiques informatiques en fonction de leur pertinence vis-agrave-vis de lrsquoactiviteacute de lrsquoentreprise des risques et de leur conformiteacute aux exigences externes
PO35 Comiteacute drsquoarchitecture technologique Creacuteer un comiteacute architecture des TI pour fournir les lignes directrices de cette architecture et les conseils pour leur application et pour en veacuterifier la conformiteacute Ce comiteacute doit piloter la conception de lrsquoarchitecture des TI en srsquoassurant qursquoelle favorise la strateacutegie de lrsquoentreprise et qursquoelle prend en compte les impeacuteratifs de conformiteacute et de continuiteacute Ceci est relieacute au processus PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 38
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3
GUIDE DE MANAGEMENT
PO3 Deacuteterminer lorientation technologique
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques
PO2 Plan optimiseacute des systegravemes meacutetiers architecture de linformation
AI3 Mises agrave jour des standards techniques
DS3 Information sur la performance et la capaciteacute
Sorties Vers Opportuniteacutes technologiques AI3 Standards techniques AI1 AI3 AI7 DS5 Mises agrave niveau reacuteguliegraveres de lrsquoeacutetat de la technologie AI1 AI2 AI3 Plan dinfrastructure technique AI3 Besoins en infrastructure PO5
Creacuteer et maintenir agrave niveau un plan drsquoinfrastructure technique I I A C R C C C
Creacuteer et maintenir agrave niveau des standards techniques A C R C I I I
Publier les standards techniques I I A I R I I I I
Surveiller lrsquoeacutevolution de la technologie I I A C R C C C
Deacutefinir lrsquoutilisation (future) (strateacutegique) des nouvelles technologies C C A C R C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Informatique Activiteacutes
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
deacutefinit deacutefinit
bull Deacutefinir les standards drsquoinfrastructure technique en fonction des besoins de lrsquoarchitecture informatique bull Mettre en place un plan drsquoinfrastructure technique qui trouve le bon eacutequilibre entre coucircts risques et besoins bull Mettre en place un forum destineacute agrave conseiller sur lrsquoarchitecture et agrave veacuterifier la conformiteacute
mesure induit mesure
induit mesure
bull Pourcentage drsquoeacuteleacutements non conformes aux standards techniques bull Nb de plates-formes techniques diffeacuterentes par service dans lrsquoentreprise
bull Freacutequence des reacuteunions du forum sur la technologie bull Freacutequence des reacuteunions du comiteacute drsquoarchitecture technique bull Freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technique
Meacutetriq
ues
bull Nb et type drsquoeacutecarts par rapport au plan drsquoinfrastructure technique
Processus
bull Identifier et mettre agrave profit les opportuniteacutes technologiques bull Deacutevelopper et mettre en place un plan dinfrastructure technique bull Deacutefinir les standards drsquoarchitecture et de technologie pour lrsquoinfrastructure informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 39
Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique
MODEgraveLE DE MATURITEacute
PO3 Deacuteterminer lorientation technologique
La gestion du processus Deacuteterminer lorientation technologique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance dun plan dinfrastructure technique pour lentreprise Les connaissances et compeacutetences neacutecessaires pour deacutevelopper un tel plan nexistent pas Personne ne reacutealise quil est essentiel de preacutevoir des changements technologiques pour affecter les ressources de maniegravere efficace
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de planifier lrsquoarchitecture technique Le deacuteveloppement de composants informatiques et la mise en place de nouvelles technologies se font isoleacutement au cas par cas Lapproche de la planification de lrsquoinfrastructure est reacuteactive et pousseacutee par les besoins opeacuterationnels Les choix techniques sont dicteacutes par les plans produits souvent contradictoires des fournisseurs de mateacuteriels de systegravemes et de progiciels Il y a peu de communication sur limpact potentiel des changements technologiques
2 Reproductible mais intuitive quand
On communique sur le besoin et lrsquoimportance drsquoune planification technologique La planification reste tactique et orienteacutee vers la recherche de solutions techniques agrave des problegravemes techniques plutocirct que vers lutilisation de lrsquoinformatique pour reacutepondre aux besoins de lentreprise Leacutevaluation des changements technologiques est laisseacutee agrave des personnes diffeacuterentes qui suivent des processus intuitifs mais similaires Les personnels acquiegraverent leurs compeacutetences en planification technologique par la pratique et par la mise en œuvre reacutepeacutetitive de techniques On voit eacutemerger des techniques et des normes communes pour le deacuteveloppement de composants dinfrastructure
3 Deacutefinie quand
Le management a conscience de limportance du plan dinfrastructure technique Le processus de son deacuteveloppement est raisonnablement sain et en coheacuterence avec le plan strateacutegique informatique Il existe un plan dinfrastructure technique deacutefini documenteacute et bien diffuseacute mais il nest pas toujours respecteacute Les orientations de ce plan montrent quels sont les domaines technologiques ougrave lentreprise souhaite ecirctre en pointe et ceux qui ont une moindre prioriteacute en fonction des risques et de la strateacutegie geacuteneacuterale de lrsquoentreprise Les fournisseurs principaux sont choisis en fonction de ladeacutequation de leurs projets deacutevolution technologiques et de leurs politiques produits agrave long terme avec les orientations de lentreprise Il existe un programme formel de formation et de reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Le management assure le deacuteveloppement et la maintenance du plan dinfrastructure technique Leacutequipe informatique a les connaissances et les compeacutetences neacutecessaires pour deacutevelopper un plan dinfrastructure technique Limpact potentiel de leacutevolution des technologies et des technologies nouvelles est pris en compte Le management peut mettre en eacutevidence les eacutecarts par rapport au plan et anticiper les problegravemes On a deacutesigneacute des responsables du deacuteveloppement et de la maintenance dun plan dinfrastructure technique Le processus de deacuteveloppement du plan drsquoinfrastructure technique est eacutelaboreacute et reacuteactif aux changements Les bonnes pratiques internes ont eacuteteacute inteacutegreacutees au processus La strateacutegie des ressources humaines est en adeacutequation avec les orientations technologiques pour faire en sorte que les informaticiens soient en mesure de faire face aux changements technologiques On a deacutefini des plans de migration pour lintroduction de nouvelles technologies Lexternalisation et le partenariat sont mis en œuvre pour acceacuteder aux connaissances et compeacutetences neacutecessaires Le management a analyseacute lrsquoacceptation du risque vis-agrave-vis de lutilisation audacieuse ou au contraire prudente des technologies lorsquil sagit de creacuteer de nouvelles opportuniteacutes professionnelles ou dameacuteliorer lefficaciteacute opeacuterationnelle
5 Optimiseacutee quand
Une eacutequipe de recherche eacutevalue les technologies nouvelles ou en eacutevolution et compare les pratiques de lentreprise aux normes de la profession Les orientations du plan drsquoinfrastructure technique sont deacutefinies par rapport aux standards et deacuteveloppements internationaux et ceux de la branche et non en fonction des technologies proposeacutees par les fournisseurs Les conseacutequences potentielles de changements technologiques sont analyseacutees au niveau du management Les dirigeants approuvent formellement les orientations technologiques nouvelles et les eacutevolutions Lrsquoentreprise a un plan dinfrastructure technique qui correspond agrave ses besoins qui est robuste reacuteactif et susceptible de sadapter agrave des modifications de lenvironnement des meacutetiers On applique un processus continu drsquoameacutelioration du plan drsquoinfrastructure technique Les orientations technologiques sont largement inspireacutees des meilleures pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 40
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP S
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
DESCRIPTION DU PROCESSUS
PO4 Deacutefinir les processus lorganisation et les relations de travail
On deacutefinit lrsquoorganisation de lrsquoinformatique en prenant en compte les besoins en personnel et en compeacutetences en preacutevoyant les fonctions les rocircles et les responsabiliteacutes la supervision lrsquoautoriteacute et en sachant qui rend des comptes agrave qui Cette organisation fait partie drsquoun cadre de reacutefeacuterence de processus informatiques qui assure la transparence et le controcircle ainsi que lrsquoimplication de la direction geacuteneacuterale et de la direction opeacuterationnelle Un comiteacute Strateacutegie assure la supervision des SI pour le compte du Conseil drsquoAdministration (CA) et un ou plusieurs comiteacute(s) de pilotage auxquel(s) participent les responsables des meacutetiers et les responsables de lrsquoinformatique deacuteterminent les prioriteacutes relatives aux ressources informatiques en fonction des besoins des meacutetiers Les processus les politiques et les proceacutedures administratives sont en place pour toutes les fonctions en apportant une attention particuliegravere au controcircle agrave lrsquoassurance qualiteacute agrave la gestion du risque agrave la proprieacuteteacute des donneacutees et des systegravemes et agrave la seacuteparation des tacircches Pour assurer leur soutien aux exigences des meacutetiers en temps voulu lrsquoinformatique doit ecirctre impliqueacutee dans les processus de deacutecisions en cause
Le controcircle du processus informatique
Deacutefinir les processus lrsquoorganisation et les relations de travail
qui reacutepondent agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents
en se concentrant sur
des structures organisationnelles informatiques transparentes flexibles et reacuteactives des processus informatiques attribueacutes agrave des proprieacutetaires avec des rocircles et des responsabiliteacutes inteacutegreacutes aux processus meacutetiers et aux processus de deacutecision
atteint son objectif en
bull deacutefinissant un cadre de reacutefeacuterence de processus informatiques bull mettant en place les entiteacutes et les structures organisationnelles approprieacutees bull deacutefinissant les rocircles et les responsabiliteacutes
et est mesureacute par
bull le pourcentage de rocircles dont la position et lrsquoautoriteacute sont deacutecrits en deacutetail bull le nombre drsquouniteacutes meacutetiersprocessus qui ne sont pas pris en compte par lrsquoorganisation
informatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull le nombre dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation informatique
et qui ne sont pas approuveacutees ou pas conformes aux standards organisationnels deacutefinis par lrsquoinformatique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 41
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
OBJECTIFS DE CONTROcircLE
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO41 Cadre de reacutefeacuterence des processus informatiques Deacutefinir un cadre de reacutefeacuterence des processus pour mettre en œuvre le plan strateacutegique des SI Ce cadre doit deacutefinir la structure des processus informatiques et leurs liens (ex geacuterer les lacunes et les recouvrements entre processus) la proprieacuteteacute la maturiteacute la mesure de la performance lrsquoameacutelioration la conformiteacute les objectifs qualiteacute et les plans pour les faire aboutir Il doit organiser lrsquointeacutegration des processus speacutecifiques aux SI la gestion du portefeuille de lrsquoentreprise les processus meacutetiers et les processus de modification de lrsquoactiviteacute de lrsquoentreprise Le cadre de reacutefeacuterence des processus informatiques doit ecirctre inteacutegreacute agrave un systegraveme de gestion de la qualiteacute et au cadre de controcircle interne
PO42 Comiteacute strateacutegique informatique Mettre en place un Comiteacute strateacutegique informatique au niveau du conseil drsquoadministration Ce comiteacute doit srsquoassurer que la gouvernance des SI eacuteleacutement de la gouvernance drsquoentreprise est bien traiteacutee donne des avis sur les orientations strateacutegiques et passe en revue les investissements majeurs pour le compte du conseil drsquoadministration
PO43 Comiteacute de pilotage informatique Mettre en place un comiteacute de pilotage informatique (ou eacutequivalent) composeacute de cadres exeacutecutifs meacutetiers et informatiques pour bull Deacuteterminer les prioriteacutes des programmes drsquoinvestissements informatiques en accord avec la strateacutegie et les prioriteacutes des meacutetiers de
lrsquoentreprise bull Assurer un suivi des projets et reacutesoudre les conflits de ressources bull Surveiller les niveaux et lrsquoameacutelioration des services
PO44 Position de la fonction informatique au sein de lentreprise Positionner la fonction informatique dans la structure globale de lrsquoentreprise selon un modegravele lieacute agrave lrsquoimportance des technologies de lrsquoinformation dans lrsquoentreprise en tenant en particulier compte de leur dimension critique pour la strateacutegie des meacutetiers et du niveau de deacutependance opeacuterationnelle vis-agrave-vis drsquoelles Le niveau hieacuterarchique du DSI doit ecirctre proportionnel agrave lrsquoimportance des SI dans lrsquoentreprise
PO45 Structure du service informatique Mettre en place une structure interne et externe drsquoorganisation de lrsquoinformatique qui reflegravete les exigences des meacutetiers En outre mettre en place un processus pour reacuteviser peacuteriodiquement la structure organisationnelle des SI de faccedilon agrave ajuster les besoins en personnel et les strateacutegies de recrutement pour faire face aux objectifs des meacutetiers deacutefinis et aux changements qui se produisent
PO46 Eacutetablissement des rocircles et responsabiliteacutes Eacutetablir et communiquer les rocircles et les responsabiliteacutes du personnel de lrsquoinformatique et des utilisateurs finaux Ils deacutefinissent lautoriteacute le niveau de responsabiliteacute et drsquoapprobation de chacun pour reacutepondre aux besoins de lrsquoentreprise
PO47 Responsabiliteacute de lassurance qualiteacute informatique Attribuer la responsabiliteacute de la performance de la fonction assurance qualiteacute et doter la fonction assurance qualiteacute des systegravemes drsquoassurance qualiteacute des compeacutetences en controcircle et en communication approprieacutes La position au sein de lrsquoentreprise les responsabiliteacutes et la dimension du groupe assurance qualiteacute doivent reacutepondre aux besoins de lentreprise
PO48 Responsabiliteacute des risques de la seacutecuriteacute et de la conformiteacute Situer la proprieacuteteacute et la responsabiliteacute des risques lieacutes aux SI dans lrsquoentreprise au niveau de management approprieacute Deacutefinir et attribuer les rocircles cruciaux de gestion des risques informatiques en y incluant les responsabiliteacutes speacutecifiques de la seacutecuriteacute de lrsquoinformation de la seacutecuriteacute physique et de la conformiteacute Situer la responsabiliteacute de la gestion de la seacutecuriteacute au niveau de lrsquoentreprise de faccedilon agrave ce qursquoelle soit concerneacutee par les questions qui touchent lrsquoensemble de lrsquoentreprise On peut avoir besoin drsquoattribuer des responsabiliteacutes suppleacutementaires de gestion de la seacutecuriteacute agrave certains niveaux des SI pour faire face agrave des problegravemes de seacutecuriteacute speacutecifiques Obtenir des orientations de la part du management sur lrsquoappeacutetence pour le risque et sur lrsquoapprobation de tout risque informatique reacutesiduel
PO49 Proprieacuteteacute des donneacutees et du systegraveme Doter lrsquoentreprise de proceacutedures et drsquooutils qui lui permettent de faire face agrave ses responsabiliteacutes de proprieacutetaire des donneacutees et des systegravemes drsquoinformation Les proprieacutetaires doivent prendre les deacutecisions concernant la classification de lrsquoinformation et la protection de cette information en fonction de cette classification
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 42
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
PO410 Supervision Mettre en place des pratiques adeacutequates de supervision dans la fonction informatique pour srsquoassurer que les rocircles et les responsabiliteacutes sont bien exerceacutes pour eacutevaluer si le personnel possegravede suffisamment dautoriteacute et de ressources pour accomplir ses tacircches et responsabiliteacutes et pour proceacuteder de maniegravere geacuteneacuterale agrave la reacutevision des indicateurs cleacutes de performance
PO411 Seacuteparation des tacircches Mettre en place une seacuteparation des rocircles et des responsabiliteacutes qui reacuteduisent la possibiliteacute quun seul individu puisse deacutetourner un processus critique Le management doit srsquoassurer que le personnel nrsquoeffectue que les tacircches autoriseacutees relevant de sa fonction et de ses attributions
PO412 Recrutement informatique Eacutevaluer reacuteguliegraverement les besoins en personnel ou agrave lrsquooccasion de changements majeurs au sein de lrsquoentreprise au niveau meacutetiers ou informatique pour srsquoassurer que la fonction informatique a un nombre suffisant de collaborateurs pour apporter le support adeacutequat et approprieacute aux attentes et objectifs des meacutetiers
PO413 Personnel informatique cleacute Recenser et identifier les personnels cleacutes (par ex les remplaccedilants ou les renforts) et limiter la deacutependance vis-agrave-vis de personnes uniques en charge drsquoune fonction critique
PO414 Proceacutedures et regravegles applicables au personnel sous contrat Srsquoassurer que les consultants et le personnel sous contrat qui travaillent agrave la direction informatique connaissent les regravegles de protection de lrsquoinformation de lrsquoentreprise et srsquoy conforment et ce pour que les termes des contrats passeacutes avec eux soient respecteacutes
PO415 Relations Mettre en place et maintenir opeacuterationnelle une structure de coordination de communication et de liaison optimale entre la fonction informatique et divers autres professionnels agrave lrsquointeacuterieur et agrave lrsquoexteacuterieur de cette fonction comme le conseil drsquoadministration la direction geacuteneacuterale les uniteacutes opeacuterationnelles certains utilisateurs les fournisseurs les responsables de la seacutecuriteacute les responsables de la gestion des risques le groupe responsable de la conformiteacute dans lrsquoentreprise et les responsables chargeacutes des prestations externes (externalisation et sousshytraitance)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 43
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 44
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4
GUIDE DE MANAGEMENT
PO4 Deacutefinir les processus lorganisation et les relations de travail
De Entreacutees
PO1 Plans strateacutegiques et tactiques
PO7 Politiques et proceacutedures RH des SI tableau des compeacutetences SI descriptions des postes
PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques SI
SE1 Plans drsquoactions correctives
SE2 Rapport sur lrsquoefficaciteacute des controcircles SI
SE3 Recueil des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
SE4 Ameacuteliorations du reacutefeacuterentiel des processus
Sorties Vers Reacutefeacuterentiel des processus informatiques SE4 Documentation sur les proprieacutetaires de systegravemes AI7 DS6 Organisation et relations de travail de lrsquoinformatique PO7 Reacutefeacuterentiel des processus informatiques documentation des rocircles et responsabiliteacutes
Tous
Mettre en place une organisation des SI comprenant des comiteacutes et des liens vers les parties prenantes et les fournisseurs
C C C A C C C R C I
Eacutelaborer le reacutefeacuterentiel des processus informatiques C C C A C C C R C C
Identifier les proprieacutetaires des systegravemes C C A C R I I I I I
Identifier les proprieacutetaires des donneacutees I A C C I R I I I C
Mettre en place les rocircles et les responsabiliteacutes des SI en incluant supervision et seacuteparation des tacircches I I A I C C C R C C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit
bull Mettre en place des structures organisationnelles et des relations souples et reacuteactives pour les SI bull Deacutefinir clairement les proprieacutetaires les rocircles et les responsabiliteacutes pour tous les processus informatiques et pour les relations avec les parties prenantes
deacutefinit
induit
induit
Meacutetriq
ues
bull Satisfaction des parties prenantes (enquecirctes) bull Nb drsquoinitiatives meacutetiers retardeacutees du fait de linertie de lrsquoorganisation informatique ou de labsence des compeacutetences neacutecessaires bull Nb de processus meacutetiers non supporteacutes par lrsquoinformatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull Nb dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation des SI et qui ne sont pas approuveacutees ou pas conformes aux standards deacutefinis par lrsquoorganisation des SI
bull Nb de responsabiliteacutes en conflit vis-agrave-vis de la seacuteparation des tacircches bull Nb de points escaladeacutes ou de problegravemes non reacutesolus dus agrave une absence drsquoattribution de responsabiliteacute ou agrave son insuffisance
bull Pourcentage de rocircles ayant une description de leur position et de leur autoriteacute bull Pourcentage de fonctionsprocessus opeacuterationnels informatiques lieacutes aux structures opeacuterationnelles meacutetiers bull Freacutequence des reacuteunions des comiteacutes de strateacutegie et de pilotage
Activiteacutes
bull Deacutefinir un cadre de reacutefeacuterence pour les processus informatiques bull Mettre en place les entiteacutes et les structures organisationnelles approprieacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 45
Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail
MODEgraveLE DE MATURITEacute
PO4 Deacutefinir les processus lorganisation et les relations de travail
La gestion du processus Deacutefinir les processus lorganisation et les relations de travail qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents est
0 Inexistante quand
Lrsquoorganisation de lrsquoinformatique nrsquoest pas conccedilue de maniegravere efficace pour contribuer au succegraves des objectifs des meacutetiers
1 Initialiseacutee au cas par cas quand
Les activiteacutes et fonctions informatiques viennent dinitiatives au cas par cas et sont mises en place sans coheacuterence Les SI ne sont impliqueacutes dans les processus meacutetiers que dans les derniegraveres eacutetapes La fonction informatique est consideacutereacutee comme une fonction de support qui ne prend pas en compte lrsquoorganisation globale de lentreprise Le besoin dune organisation informatique est implicitement compris mais les rocircles et les responsabiliteacutes ne sont ni formaliseacutes ni appliqueacutes
2 Reproductible mais intuitive quand
La fonction informatique est organiseacutee pour offrir des solutions tactiques aux besoins des clients et aux relations avec les fournisseurs mais sans coheacuterence On communique sur le besoin dune organisation structureacutee et dune gestion des fournisseurs mais les deacutecisions deacutependent encore des connaissances et des compeacutetences dindividus cleacutes On voit eacutemerger des techniques communes de gestion de lorganisation informatique et des relations avec les fournisseurs
3 Deacutefinie quand
On a deacutefini les rocircles et les responsabiliteacutes de lrsquoinformatique et des tiers Lorganisation informatique a eacuteteacute deacuteveloppeacutee documenteacutee communiqueacutee et aligneacutee sur la strateacutegie informatique Lrsquoenvironnement de controcircle interne est deacutefini On a formaliseacute les relations avec les tiers y compris les comiteacutes de pilotage laudit interne et la gestion des fournisseurs Lrsquoorganisation informatique possegravede toutes les fonctions neacutecessaires Les fonctions agrave la charge du SI et celles agrave la charge des utilisateurs sont bien deacutefinies Les besoins essentiels en personnel et en compeacutetences informatiques sont satisfaits Les relations avec les utilisateurs et les tiers sont formellement deacutefinies On a deacutefini et mis en place la reacutepartition des rocircles et des responsabiliteacutes
4 Geacutereacutee et mesurable quand
Lrsquoinformatique anticipe les changements et dispose de tous les rocircles neacutecessaires agrave la satisfaction des exigences des meacutetiers La direction des SI la proprieacuteteacute des processus et les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et eacutequilibreacutees Les bonnes pratiques internes sont mises en pratique dans lorganisation des fonctions du SI La direction des SI a lrsquoexpertise et les compeacutetences requises pour deacutefinir mettre en œuvre et surveiller le type dorganisation et de relations retenu On a standardiseacute les meacutetriques agrave lrsquoappui des objectifs des meacutetiers ainsi que les facteurs cleacutes de succegraves deacutefinis par les utilisateurs On dispose dun inventaire des compeacutetences pour soutenir la constitution deacutequipes de projets et le deacuteveloppement professionnel La proportion de compeacutetences et de ressources internes et de celles que lon recherchera agrave lexteacuterieur est preacuteciseacutee et appliqueacutee La structure organisationnelle de lrsquoinformatique est un bon reflet des besoins de lentreprise car elle fournit des services plus en ligne avec les processus meacutetiers strateacutegiques quavec des technologies isoleacutees
5 Optimiseacutee quand
La structure organisationnelle de lrsquoinformatique est souple et capable de sadapter On a mis en place les meilleures pratiques de la profession Lrsquoinformatique est abondamment mise agrave contribution pour assurer la surveillance de la performance de lrsquoorganisation des SI et des processus Les technologies servent de levier pour srsquoaligner et supporter la complexiteacute et la reacutepartition geacuteographique de lrsquoentreprise Un processus dameacutelioration continu est en place
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 46
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
SPP SS
Planifier et Organiser Geacuterer les investissements informatiques PO5
DESCRIPTION DU PROCESSUS
PO5 Geacuterer les investissements informatiques
Mettre en place et maintenir opeacuterationnel pour les programmes drsquoinvestissements informatiques un cadre de reacutefeacuterence qui couvre les coucircts les beacuteneacutefices les prioriteacutes budgeacutetaires un processus de budgeacutetisation formaliseacute et une gestion conforme au budget Travailler avec les parties prenantes pour identifier et controcircler les coucircts et beacuteneacutefices totaux dans le contexte des plans strateacutegiques et tactiques informatiques et initier des mesures correctives lorsque crsquoest neacutecessaire Le processus favorise le partenariat entre lrsquoinformatique et les parties prenantes des meacutetiers facilite lrsquoutilisation efficace et efficiente des ressources informatiques et apporte transparence et responsabiliteacute dans le coucirct total de proprieacuteteacute la reacutealisation de beacuteneacutefices pour lrsquoentreprise et le retour sur investissement des investissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les investissements informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux
en se concentrant sur
des deacutecisions drsquoinvestissement et de gestion de portefeuille informatique efficaces et efficientes et sur lrsquoeacutetablissement et le suivi de budgets informatiques en ligne avec la strateacutegie et les deacutecisions drsquoinvestissement informatique
atteint son objectif en
bull preacutevoyant et en attribuant des budgets bull deacutefinissant des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette
actuelle) bull mesurant et en eacutevaluant la valeur pour lrsquoentreprise par rapport aux preacutevisions
et est mesureacute par
bull la reacuteduction du coucirct unitaire des services informatiques fournis bull le pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull le pourcentage des deacutepenses informatiques exprimeacutees en inducteurs de valeur meacutetiers (ex
augmentation des ventesservices gracircce agrave une plus grande connectiviteacute)
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 47
Planifier et Organiser PO5 Geacuterer les investissements informatiques
OBJECTIFS DE CONTROcircLE
PO5 Geacuterer les investissements informatiques
PO51 Reacutefeacuterentiel de gestion financiegravere Mettre en place un reacutefeacuterentiel de gestion financiegravere pour geacuterer les investissements et les coucircts des actifs et services informatiques agrave lrsquoaide de portefeuilles de programmes drsquoinvestissements drsquoanalyse de rentabiliteacute et de budgets
PO52 Deacutefinition des prioriteacutes dans le budget informatique Mettre en place un processus de prise de deacutecision pour deacutefinir les prioriteacutes dans lrsquoattribution des ressources informatiques pour lrsquoexploitation les projets et la maintenance dans le but de maximiser la contribution des SI agrave lrsquooptimisation du retour sur investissement du portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et des autres services et actifs informatiques
PO53 Budget informatique Deacutefinir et mettre en place des pratiques drsquoeacutelaboration drsquoun budget qui reflegravete les prioriteacutes eacutetablies par le portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et qui prend en compte les coucircts reacutecurrents de fonctionnement et de maintenance de lrsquoinfrastructure actuelle Ces pratiques doivent favoriser le deacuteveloppement drsquoun budget global informatique ainsi que celui de budgets de programmes individuels avec une attention particuliegravere pour les composantes informatiques de ces programmes Ces pratiques doivent preacutevoir des reacutevisions et des reacuteajustements reacuteguliers et lrsquoapprobation du budget global et des budgets des programmes individuels
PO54 Gestion des coucircts Mettre en place un processus de gestion des coucircts qui compare les coucircts reacuteels aux deacutepenses budgeacuteteacutees Les coucircts doivent ecirctre suivis et communiqueacutes dans un rapport Lorsqursquoil y a des eacutecarts il faut les mettre en eacutevidence en temps voulu eacutevaluer leurs conseacutequences sur les programmes et avec le responsable meacutetier de ces programmes prendre des mesures pour y remeacutedier si neacutecessaire il faut aussi reacuteeacutevaluer lrsquoanalyse de rentabiliteacute du programme
PO55 Gestion des beacuteneacutefices Mettre en place un processus de surveillance des beacuteneacutefices attendus de la fourniture et du maintien de capaciteacutes informatiques approprieacutes La contribution de lrsquoinformatique aux meacutetiers soit en tant que composante des programmes drsquoinvestissements agrave composantes informatiques soit en tant que soutien opeacuterationnel habituel doit ecirctre identifieacutee eacutetayeacutee par une analyse de rentabiliteacute approuveacutee surveilleacutee et faire lrsquoobjet de rapports Il faut faire une analyse critique des rapports et srsquoil est possible drsquoameacuteliorer la contribution des SI il faut deacuteterminer des actions agrave entreprendre et agir Lorsque des changements dans la contribution des SI ont des conseacutequences sur un programme ou lorsque ces conseacutequences viennent de modifications drsquoautres projets lrsquoanalyse de rentabiliteacute du programme doit ecirctre reacuteeacutevalueacutee
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 48
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les investissements informatiques PO5
GUIDE DE MANAGEMENT
PO5 Geacuterer les investissements informatiques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO3 Besoins en infrastructures
PO10 Portefeuille de projets informatiques actualiseacute
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
DS3 Plan performance et capaciteacute (exigences)
DS6 Donneacutees financiegraveres informatiques
SE4 Reacutesultats attendus des investissements informatiques des meacutetiers
Sorties Vers Rapports coucirctsbeacuteneacutefices PO1 AI2 DS6 SE1 SE4 Budgets informatiques DS6 Portefeuille actualiseacute des services SI DS1 Portefeuille actualiseacute des projets SI PO10
Tenir agrave jour le portefeuille de programmes A R R R C I I
Tenir agrave jour le portefeuille de projets I C AR AR C C C C I
Tenir agrave jour le portefeuille de services I C AR AR C C C I
Mettre en place et tenir agrave jour le processus de budgeacutetisation informatique I C C A C C C R C
Identifier communiquer et surveiller les investissements les coucircts et la valeur des SI pour lrsquoentreprise I C C AR C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage des investissements informatiques qui apportent ou deacutepassent les beacuteneacutefices preacutedeacutefinis pour lrsquoentreprise bull Pourcentage drsquoinducteurs valeur des SI mis en rapport avec les inducteurs de valeur meacutetiers bull Pourcentage de la deacutepense informatique exprimeacutee en inducteurs de valeur meacutetiers (ex augmentation des ventes gracircce agrave une plus grande connectiviteacute)
bull Nb drsquoeacutecarts par rapport au budget bull Pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull Pourcentage de reacuteduction du coucirct unitaire des services informatiques fournis bull Pourcentage drsquoinvestissements informatiques qui apportent les beacuteneacutefices preacutedeacutefinis
bull Pourcentage de projets dont les beacuteneacutefices sont deacutefinis sans eacutequivoque bull Pourcentage de services informatiques dont le coucirct est eacutevalueacute bull Pourcentage de projets qui ont fait lrsquoobjet drsquoun bilan a posteriori bull Freacutequence du reportage sur les beacuteneacutefices bull Pourcentage de projets pour lesquels on dispose de lrsquoinformation sur la performance (par ex performance coucirct deacutelai et profil de risque)
Processus
bull Faciliter les deacutecisions drsquoinvestissements informatiques et de portefeuilles bull Eacutetablir et suivre les budgets informatiques en ligne avec la strateacutegie en SI et les deacutecisions drsquoinvestissement en SI bull Optimiser les coucircts et maximiser les beacuteneacutefices informatiques
Activiteacutes
bull Deacutefinir des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette actuelle) bull Preacutevoir et attribuer des budgets bull Mesurer et eacutevaluer la valeur pour lrsquoentreprise par rapport aux preacutevisions
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 49
Planifier et Organiser PO5 Geacuterer les investissements informatiques
MODEgraveLE DE MATURITEacute
PO5 Geacuterer les investissements informatiques
La gestion du processus Geacuterer les investissements informatiques qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance du choix des investissements informatiques et de leur budgeacutetisation Il nrsquoy a ni suivi ni surveillance des investissements et des deacutepenses informatiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de geacuterer les investissements informatiques mais ce besoin nrsquoest pas reacuteguliegraverement communiqueacute Lrsquoattribution de la responsabiliteacute du choix des investissements et de lrsquoeacutelaboration du budget informatique se fait au cas par cas On trouve isoleacutement des choix dinvestissements et des budgets informatiques documenteacutes de faccedilon informelle Les investissements informatiques sont justifieacutes au cas par cas Certaines deacutecisions budgeacutetaires sont prises de faccedilon circonstancielle pour reacutepondre agrave des besoins opeacuterationnels
2 Reproductible mais intuitive quand
Le besoin de faire des choix drsquoinvestissements et drsquoeacutetablir un budget informatique est implicitement compris On communique sur le besoin drsquoun processus de choix et de gestion budgeacutetaire La conformiteacute deacutepend drsquoinitiatives individuelles On voit eacutemerger des techniques communes pour deacutevelopper des composantes du budget informatique On prend des deacutecisions budgeacutetaires au coup par coup
3 Deacutefinie quand
Les politiques et les processus drsquoinvestissements et de gestion budgeacutetaire sont deacutefinis documenteacutes et communiqueacutes et prennent en compte les aspects meacutetiers et technologiques essentiels Le budget informatique est en ligne avec le plan strateacutegique informatique et avec celui de lentreprise Les processus deacutetablissement du budget et de choix des investissements informatiques sont formaliseacutes documenteacutes et communiqueacutes Une formation formelle est mise en place mais elle reste principalement baseacutee sur des initiatives individuelles On formalise lapprobation des choix budgeacutetaires et dinvestissements informatiques Le personnel informatique a les connaissances et les compeacutetences neacutecessaires pour eacutetablir le budget informatique et recommander les investissements approprieacutes
4 Geacutereacutee et mesurable quand
La responsabiliteacute fonctionnelle et la responsabiliteacute finale des choix dinvestissements et du budget est confieacutee agrave une personne preacutecise On relegraveve les eacutecarts par rapport au budget et on y remeacutedie Une analyse formelle est effectueacutee et rend compte des coucircts directs et indirects des opeacuterations en cours aussi bien que des investissements proposeacutes elle prend en compte tous les coucircts du cycle de vie On utilise un processus de gestion budgeacutetaire normaliseacutee et capable danticiper On constate dans les plans drsquoinvestissement un glissement des coucircts de deacuteveloppement et dexploitation des des mateacuteriels et logiciels au profit de lrsquointeacutegration des systegravemes et des ressources humaines informatiques On calcule les beacuteneacutefices et autres avantages en termes agrave la fois financiers et non financiers
5 Optimiseacutee quand
On utilise les meilleures pratiques de la profession pour eacutetalonner les coucircts et susciter des approches susceptibles dameacuteliorer lrsquoefficaciteacute des investissements On analyse les nouveauteacutes technologiques pour opeacuterer les choix dinvestissements et eacutetablir les budgets Le processus de gestion des investissements est continuellement ameacutelioreacute en fonction de lrsquoanalyse des performances reacuteelles des investissements Les deacutecisions drsquoinvestissement tiennent compte des tendances agrave lrsquoameacutelioration du rapport prixperformance On cherche et on eacutevalue meacutethodiquement des alternatives de financement dans le contexte existant de la structure du capital de lentreprise en utilisant des meacutethodes deacutevaluation formelles On indentifie les variations de faccedilon proactive On tient compte dans les deacutecisions dinvestissements dune analyse agrave long terme des coucircts et des beacuteneacutefices pour un cycle de vie complet
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 50
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
P S
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
DESCRIPTION DU PROCESSUS
PO6 Faire connaicirctre les buts et orientations du management
Le management deacuteveloppe un cadre de controcircle des SI pour lrsquoentreprise deacutefinit et communique les politiques Il met en place un programme de communication permanent approuveacute et soutenu par le management pour articuler la mission les objectifs de fourniture de services les politiques et les proceacutedures etc Cette communication apporte son soutien aux objectifs informatiques et srsquoassure qursquoon est attentif aux risques aux objectifs et aux orientations meacutetiers et informatique et qursquoon les comprend Ce processus srsquoassure de la conformiteacute aux lois et regraveglements qui srsquoappliquent agrave lui
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Faire connaicirctre les buts et les orientations du management
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes
en se concentrant sur
la fourniture aux parties prenantes de politiques proceacutedures lignes directrices et autres eacuteleacutements drsquoinformation compreacutehensibles et approuveacutes agrave lrsquointeacuterieur drsquoun cadre de controcircle des SI
atteint son objectif en
bull deacutefinissant un cadre de controcircle pour les processus informatiques bull deacuteveloppant et deacuteployant des politiques informatiques bull appliquant les politiques informatiques
et est mesureacute par
bull le nombre de perturbations des activiteacutes du fait de perturbations des services informatiques
bull le pourcentage de parties prenantes qui comprennent le cadre de controcircle des SI de lrsquoentreprise
bull le pourcentage de parties prenantes qui ne se conforment pas agrave la politique
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 51
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
OBJECTIFS DE CONTROcircLE
PO6 Faire connaicirctre les buts et orientations du management
PO61 Politique informatique et environnement de controcircle Deacutefinir les eacuteleacutements drsquoun environnement de controcircle des SI en ligne avec la philosophie de management et le style de fonctionnement de lrsquoentreprise Parmi ces eacuteleacutements on doit trouver les attentesexigences drsquoapport de valeur des investissements informatiques lrsquoappeacutetence pour le risque lrsquointeacutegriteacute les valeurs eacutethiques la compeacutetence du personnel les responsabiliteacutes opeacuterationnelles et finales Lrsquoenvironnement de controcircle est baseacute sur une culture dont les principes sont lrsquoapport de valeur tout en geacuterant les risques significatifs lrsquoencouragement agrave la coopeacuteration entre services et au travail drsquoeacutequipe la promotion de la conformiteacute et de lrsquoameacutelioration permanente des processus et la bonne prise en main des anomalies de fonctionnement (ou des eacutechecs) des processus
PO62 Risque informatique pour lrsquoentreprise et cadre de controcircle Deacutevelopper et maintenir agrave jour un cadre de reacutefeacuterence qui deacutefinit lrsquoapproche globale de lrsquoentreprise vis-agrave-vis du risque informatique et de son controcircle Ce cadre est aligneacute sur la politique informatique et son environnement de controcircle ainsi que sur le reacutefeacuterentiel de risque et de controcircle de lrsquoentreprise
PO63 Gestion des politiques informatiques Deacutevelopper et tenir agrave jour un ensemble de politiques agrave lrsquoappui de la strateacutegie SI Ces politiques doivent preacuteciser leurs objectifs comporter des rocircles et responsabiliteacutes des processus de gestion des exceptions une approche conformiteacute et des reacutefeacuterences aux proceacutedures aux standards et aux lignes directrices Leur pertinence doit ecirctre reacuteguliegraverement confirmeacutee et approuveacutee
PO64 Deacuteploiement des politiques des standards et des proceacutedures Deacuteployer et faire respecter par tout le personnel concerneacute des politiques informatiques Elles font partie inteacutegrante du fonctionnement de lrsquoentreprise
PO65 Communication des objectifs et des orientations informatiques Sensibiliser et faire comprendre les objectifs et les orientations informatiques aux parties prenantes et utilisateurs concerneacutes dans lrsquoensemble de lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 52
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6
GUIDE DE MANAGEMENT
PO6 Faire connaicirctre les buts et orientations du management
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services
PO9 Guide de gestion des risques lieacutes aux SI
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
Sorties Vers Reacutefeacuterentiel de controcircle des SI de lrsquoentreprise Tous Politiques informatiques Tous
Mettre en place et maintenir opeacuterationnels un environnement et un reacutefeacuterentiel de controcircle informatique I C I AR I C C C C
Deacutevelopper et actualiser les politiques informatiques I I I AR C C C R C
Communiquer le reacutefeacuterentiel de controcircle les objectifs et les orientations des SI I I I AR R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Srsquoassurer que linformation sensible et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoa qursquoun impact minimum sur les meacutetiers bull Srsquoassurer drsquoune bonne utilisation et de la bonne performance des applications et des technologies bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
bull Deacutefinir le reacutefeacuterentiel de controcircle des SI bull Deacutevelopper et deacuteployer des politiques informatiques bull Faire appliquer les politiques informatiques bull Deacutefinir et maintenir agrave jour un plan de communication
induit
induit
Meacutetriq
ues
bull Nb drsquooccasions ougrave des informations confidentielles ont eacuteteacute compromises bull Nb de perturbations meacutetiers dues agrave des perturbations de services informatiques bull Niveau de compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services informatiques
bull Pourcentage de parties prenantes qui comprennent la politique informatique bull Pourcentage de parties prenantes qui comprennent le reacutefeacuterentiel de controcircle des SI de lrsquoentreprise bull Pourcentage de parties concerneacutees qui ne se conforment pas agrave la politique
bull Freacutequence des reacutevisionsmises agrave jour des politiques bull Caractegravere opportun et freacutequence de la communication aux utilisateurs bull Freacutequence de reacutevisionmise agrave jour du reacutefeacuterentiel de controcircle des SI
Processus
bull Deacutevelopper un reacutefeacuterentiel de controcircle des SI commun et exhaustif bull Deacutevelopper un ensemble commun et exhaustif de politiques informatiques bull Communiquer la strateacutegie informatique les politiques et le reacutefeacuterentiel de controcircle
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 53
Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management
MODEgraveLE DE MATURITEacute
PO6 Faire connaicirctre les buts et orientations du management
La gestion du processus Faire connaicirctre les buts et orientations du management qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes est
0 Inexistante quand
Le management na pas mis en place un environnement de controcircle de linformatique positif On ne reconnaicirct pas encore le besoin deacutetablir un ensemble de processus de mise en œuvre des politiques des plans et proceacutedures et de la mise en conformiteacute
1 Initialiseacutee au cas par cas quand
Le management ne prend en compte les exigences dun environnement de controcircle de linformation qursquoen reacuteaction aux circonstances On eacutetablit et on communique les politiques les proceacutedures et les standards selon les besoins au fur et agrave mesure quils se font jour Les processus de deacuteveloppement de communication et de mise en conformiteacute sont informels et incoheacuterents
2 Reproductible mais intuitive quand
Le management comprend implicitement les besoins et les exigences dun environnement de controcircle de linformation efficace mais les pratiques restent largement informelles Le management a fait connaicirctre le besoin de politiques de plans et de proceacutedures de controcircle mais leur deacuteveloppement est laisseacute agrave linitiative de chaque responsable et de certaines entiteacutes de lrsquoentreprise On reconnaicirct quune politique de qualiteacute est philosophiquement souhaitable mais les pratiques sont laisseacutees agrave la discreacutetion de chaque responsable La formation elle aussi se fait sur la base de besoins identifieacutes de faccedilon individuelle
3 Deacutefinie quand
Le management deacuteveloppe documente et communique un environnement complet du controcircle de lrsquoinformation et de la gestion de la qualiteacute qui inclut un cadre de reacutefeacuterence pour les politiques les plans et proceacutedures Le processus de deacuteveloppement des politiques est structureacute tenu agrave jour et connu du personnel et les politiques plans et proceacutedures existants sont raisonnablement fiables et sappliquent aux questions essentielles Le management met laccent sur limportance de la sensibilisation agrave la seacutecuriteacute des SI et a lanceacute des programmes de sensibilisation sur ce thegraveme Une formation formelle pour soutenir lenvironnement de controcircle de linformation existe mais elle nest pas mise en œuvre de faccedilon rigoureuse Lorsqursquoil existe un cadre de reacutefeacuterence geacuteneacuteral pour le deacuteveloppement de politiques et de proceacutedures de controcircle la surveillance de la conformiteacute agrave ces politiques et agrave ces proceacutedures nrsquoest pas reacuteguliegravere Il existe un cadre de reacutefeacuterence geacuteneacuteral de deacuteveloppement On a formaliseacute et standardiseacute des techniques pour promouvoir la sensibilisation agrave la seacutecuriteacute
4 Geacutereacutee et mesurable quand
Le management accepte la responsabiliteacute de communiquer les politiques de controcircle interne deacutelegravegue les responsabiliteacutes et attribue suffisamment de ressources pour que lenvironnement puisse sadapter agrave des changements importants On a creacuteeacute un environnement de controcircle de linformation positif et proactif et on sest engageacute sur la voie de la sensibilisation aux questions de qualiteacute et de seacutecuriteacute de linformation On deacuteveloppe tient agrave jour et communique un ensemble complet de politiques de plans et proceacutedures constitueacute des bonnes pratiques internes On eacutetablit un cadre de deacuteploiement qui comporte les veacuterifications de conformiteacute neacutecessaires
5 Optimiseacutee quand
Lenvironnement de controcircle de linformation est en ligne avec la vision strateacutegique geacuteneacuterale et avec le cadre de gestion de cette strateacutegie il est freacutequemment reacuteviseacute mis agrave jour et constamment ameacutelioreacute Des experts internes et externes sont deacutesigneacutes pour sassurer quon utilise les meilleures pratiques de la profession en ce qui concerne la conduite du controcircle et les techniques de communication Les processus de surveillance dauto eacutevaluation et de veacuterification de la conformiteacute ont peacuteneacutetreacute toute lentreprise On utilise linformatique pour tenir agrave jour les bases de connaissances sur les politiques et sur la sensibilisation et pour optimiser la communication gracircce agrave la bureautique et aux outils de formation sur ordinateur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 54
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7
DESCRIPTION DU PROCESSUS
PO7 Geacuterer les ressources humaines de lrsquoinformatique
Engager et conserver des collaborateurs compeacutetents pour la creacuteation et la fourniture de services informatiques agrave lrsquoentreprise Pour y arriver il faut suivre des pratiques deacutefinies et approuveacutees en matiegravere de recrutement de formation drsquoeacutevaluation de promotion et de deacutepart Ce processus est critique car les personnes constituent un actif important et la gouvernance et lrsquoenvironnement de controcircle interne deacutependent eacutenormeacutement de la motivation et de la compeacutetence du personnel
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer les ressources humaines de lrsquoinformatique
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques
en se concentrant sur
lrsquoembauche et la formation du personnel sa motivation par des plans de carriegraveres clairs lrsquoattribution de rocircles qui correspondent agrave sa compeacutetence lrsquoeacutetablissement drsquoun processus drsquoeacutevaluation deacutefini la creacuteation de fiches de postes et la surveillance agrave ne pas deacutependre de personnes cleacutes
atteint son objectif en
bull eacutevaluant les performances du personnel bull embauchant et en formant du personnel informatique pour faire avancer les plans tactiques bull minimisant les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes
et est mesureacute par
bull le niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique
bull le taux de turnover du personnel informatique bull le pourcentage drsquoinformaticiens dont les diplocircmes sont en adeacutequation avec les besoins des
diffeacuterents postes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 55
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
OBJECTIFS DE CONTROcircLE
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO71 Recrutement et maintien du personnel Aligner les processus de recrutement du personnel informatique sur les politiques et les proceacutedures globales de lrsquoentreprise (ex embauche environnement de travail favorable orientation) Mettre en place des processus pour srsquoassurer que le personnel informatique est deacuteployeacute comme il convient dans lrsquoentreprise et qursquoil a les compeacutetences neacutecessaires pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO72 Compeacutetences du personnel Veacuterifier reacuteguliegraverement que le personnel a les compeacutetences neacutecessaires pour remplir son rocircle en fonction de son instruction formation etou expeacuterience Deacutefinir les besoins en compeacutetences informatiques fondamentales et veacuterifier qursquoils sont satisfaits en utilisant des programmes de qualification et de certification si crsquoest utile
PO73 Affectation des rocircles Deacutefinir surveiller et superviser des reacutefeacuterentiels pour les rocircles les responsabiliteacutes et la reacutemuneacuteration du personnel en incluant lrsquoobligation dadheacuterer aux proceacutedures et politiques de lentreprise agrave son code deacutethique et agrave ses pratiques professionnelles Le niveau de supervision doit ecirctre fonction de lrsquoimportance du poste et de lrsquoeacutetendue des responsabiliteacutes attribueacutees
PO74 Formation Bien orienter les employeacutes des SI agrave lrsquoembauche et leur dispenser la formation permanente neacutecessaire pour tenir agrave jour leurs connaissances compeacutetences capaciteacutes et leur sensibilisation au controcircle interne et agrave la seacutecuriteacute au niveau neacutecessaire pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs
PO75 Deacutependance agrave lrsquoeacutegard drsquoindividus Deacutependre le moins possible drsquoindividus cleacutes dans les secteurs essentiels gracircce agrave lrsquoacquisition de connaissances (documentation) au partage des connaissances aux plans drsquoeacutevolution de carriegravere et aux personnels de remplacement
PO76 Proceacutedures de seacutecuriteacute concernant le personnel Inclure des veacuterifications drsquoanteacuteceacutedents dans le processus de recrutement du personnel informatique Lrsquoeacutetendue et la freacutequence de ces veacuterifications doivent ecirctre fonction du niveau de criticiteacute etou de sensibiliteacute de la fonction et srsquoappliquer aux employeacutes aux contractuels et aux fournisseurs
PO77 Eacutevaluation des performances Exiger des eacutevaluations approprieacutees et reacuteguliegraveres par rapport agrave des objectifs individuels eacutetablis drsquoapregraves les objectifs de lrsquoentreprise les standards en vigueur et les responsabiliteacutes speacutecifiques du poste Les performances et le comportement des employeacutes doivent ecirctre activement stimuleacutes par lrsquoaccompagnement lorsque crsquoest approprieacute
PO7 8 Changements de postes et deacuteparts Agir avec deacutetermination en ce qui concerne les mouvements de personnels en particulier les deacuteparts Il faut organiser le transfert des connaissances reacuteattribuer les responsabiliteacutes et supprimer les droits drsquoaccegraves de faccedilon agrave minimiser les risques et agrave garantir la continuiteacute de la fonction
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 56
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7 GUIDE DE MANAGEMENT
PO7 Geacuterer les ressources humaines de lrsquoinformatique
De Entreacutees
PO4 Documentation relative agrave lrsquoorganisation aux relations aux rocircles et responsabiliteacutes des SI
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
Sorties Vers Politiques et proceacutedures RH des SI PO4 Tableau des compeacutetences SI PO4 PO10 Fiches de poste PO4 Compeacutetences et connaissances des utilisateurs et formation individuelle
DS7
Besoins speacutecifiques de formation DS7 Rocircles et responsabiliteacutes Tous
Identifier les compeacutetences informatiques les fiches de postes lrsquoeacuteventail des salaires et les tests comparatifs de performance personnelle
C A C C C R C
Appliquer les politiques RH et les proceacutedures particuliegraveres aux SI (recrutement embauche approbation reacutemuneacuteration formation eacutevaluation promotion et licenciement)
A R R R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Se procurer et conserver les compeacutetences neacutecessaires agrave la strateacutegie informatique bull Donner de lrsquoagiliteacute aux SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique bull Turnover du personnel informatique bull Pourcentage du personnel informatique satisfait (meacutetrique composite)
bull Pourcentage du personnel informatique dont le profil de compeacutetences correspond aux postes deacutefinis par la strateacutegie bull Pourcentage de postes informatiques occupeacutes bull Pourcentage de journeacutees de travail perdues du fait drsquoabsences impreacutevues bull Pourcentage du personnel informatique qui va au bout de son programme de formation annuel bull Ratio reacuteel contractuelssalarieacutes compareacute au ratio preacutevu bull Pourcentage drsquoemployeacutes de lrsquoinformatique dont les anteacuteceacutedents ont eacuteteacute veacuterifieacutes bull Pourcentage de postes informatiques pourvus de remplaccedilants qualifieacutes
bull Pourcentage du personnel informatique qui a meneacute agrave terme un plan de formation professionnelle bull Pourcentage du personnel informatique dont lrsquoeacutevaluation des performances est valideacutee et documenteacutee en temps opportun bull Pourcentage de postes informatiques assortis drsquoune fiche et drsquoexigences de qualification bull Nb moyen de jours de formation et de deacuteveloppement personnel (y compris accompagnement) par personne et par an bull Taux de rotation du personnel informatique bull Pourcentage du personnel informatique dont les diplocircmes correspondent aux besoins du poste bull Nb moyen de jours pour pourvoir les postes informatiques disponibles
Processus
bull Eacutelaborer des pratiques professionnelles de management RH pour les SI bull Utiliser tout le personnel informatique efficacement tout en minimisant la deacutependance vis-agrave-vis de personnels cleacutes
Activiteacutes
bull Embaucher et former du personnel informatique pour faire avancer les plans tactiques bull Reacuteduire les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes bull Evaluer les performances du personnel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 57
Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique
MODEgraveLE DE MATURITEacute
PO7 Geacuterer les ressources humaines de lrsquoinformatique
La gestion du processus Geacuterer les ressources humaines de lrsquoinformatique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques est
0 Inexistante quand
Il ny a pas de prise de conscience de limportance quil y a pour lentreprise agrave mettre en coheacuterence la gestion des ressources humaines de lrsquoinformatique avec le processus de planification informatique Personne individuellement ou en groupe nest formellement responsable de la gestion des ressources humaines de lrsquoinformatique
1 Initialiseacutee au cas par cas quand
Le management admet le besoin de geacuterer les ressources humaines informatiques Le processus de gestion des ressources humaines de lrsquoinformatique est informel et deacutepend des circonstances Il est axeacute sur lrsquoactiviteacute drsquoembauche et de gestion du personnel informatique Il y a cependant une prise de conscience de limpact quont les modifications rapides de lrsquoentreprise et des technologies ainsi que la complexiteacute de plus en plus grande des solutions sur le besoin de nouvelles expertises et de compeacutetences
2 Reproductible mais intuitive quand
Il y a une approche tactique de lembauche et de la gestion du personnel informatique inspireacutee par les besoins de projets speacutecifiques plutocirct que par la recherche drsquoun bon eacutequilibre entre les compeacutetences internes et externes Le nouveau personnel beacuteneacuteficie dune formation informelle puis de formations adapteacutees aux circonstances
3 Deacutefinie quand
Il existe un processus deacutefini et documenteacute pour la gestion des ressources humaines de lrsquoinformatique Il existe un plan de gestion des ressources humaines de lrsquoinformatique Il y a une approche strateacutegique de lembauche et de la gestion du personnel informatique On a conccedilu un programme formel de formation pour faire face aux besoins des ressources humaines de lrsquoinformatique On a mis en place un plan de formation alterneacute destineacute agrave deacutevelopper aussi bien les compeacutetences meacutetiers que les compeacutetences techniques
4 Geacutereacutee et mesurable quand
On a confieacute speacutecifiquement agrave une personne ou agrave un groupe doteacute(e) de lexpeacuterience et des compeacutetences requises la responsabiliteacute de deacutevelopper et de maintenir opeacuterationnel le plan de gestion des ressources humaines de lrsquoinformatique Le processus de deacuteveloppement et de gestion du plan de gestion des ressources humaines de lrsquoinformatique est reacuteactif aux changements Lentreprise dispose de mesures standards qui lui permettent de faire ressortir les eacutecarts par rapport au plan de gestion des ressources humaines de lrsquoinformatique avec une attention particuliegravere pour la gestion de la croissance des effectifs et du turnover On met en place des analyses des reacutemuneacuterations et des compeacutetences et on les compare aux bonnes pratiques des autres DSI et des autres entreprises de la branche La gestion des ressources humaines est proactive et prend en compte les plans de deacuteveloppement de carriegravere
5 Optimiseacutee quand
Le plan de gestion des ressources humaines de lrsquoinformatique est continuellement actualiseacute pour faire face aux besoins drsquoeacutevolution de lrsquoentreprise La gestion des ressources humaines de lrsquoinformatique fait partie du plan informatique assurant le deacuteveloppement et lutilisation optimum des compeacutetences informatiques disponibles La gestion des ressources humaines de lrsquoinformatique fait partie des orientations strateacutegiques de lrsquoentreprise et reacuteagit agrave leur eacutevolution Les composantes de cette gestion telles que reacutemuneacuteration eacutevaluation des performances participation agrave des forums professionnels transfert de connaissances formation et suivi individuel sont conformes aux meilleures pratiques en vigueur dans la branche On met en place des programmes de formation avant tout deacuteploiement de nouveaux produits ou de nouvelles normes techniques dans lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 58
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Planifier et Organiser Geacuterer la qualiteacute PO8
DESCRIPTION DU PROCESSUS
PO8 Geacuterer la qualiteacute
Un systegraveme de gestion de la qualiteacute est deacuteveloppeacute et actualiseacute ce qui implique des processus et des standards de deacuteveloppement et drsquoachat eacuteprouveacutes Ceci est rendu possible par la planification la mise en place et lrsquoactualisation drsquoun systegraveme de gestion de la qualiteacute et par des exigences des proceacutedures et des politiques de qualiteacute clairement deacutefinies Les exigences de qualiteacute doivent ecirctre eacutenonceacutees et communiqueacutees au travers drsquoindicateurs quantifiables et reacutealistes Lrsquoameacutelioration permanente srsquoobtient par une surveillance continue lrsquoanalyse des eacutecarts et leur correction et la communication des reacutesultats aux parties prenantes La gestion de la qualiteacute est essentielle pour srsquoassurer que lrsquoinformatique apporte de la valeur agrave lrsquoentreprise une ameacutelioration continue et une transparence vis-agrave-vis des parties prenantes
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Geacuterer la qualiteacute
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis
en se concentrant sur
la deacutefinition drsquoun systegraveme de gestion de la qualiteacute (SGQ) la surveillance permanente de la performance compareacutee aux objectifs et la mise en place drsquoun programme drsquoameacutelioration permanente des services informatiques
atteint son objectif en
bull deacutefinissant des standards et des pratiques de qualiteacute bull surveillant et reacutevisant les performances internes et externes par rapport aux standards et pratiques de
qualiteacute deacutefinis bull ameacuteliorant le systegraveme de gestion de la qualiteacute de faccedilon permanente
et est mesureacute par
bull le pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
bull le pourcentage de processus informatiques formellement et peacuteriodiquement reacuteviseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et leurs objectifs qualiteacute
bull le pourcentage de processus qui font lrsquoobjet drsquoune revue drsquoassurance qualiteacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 59
Planifier et Organiser PO8 Geacuterer la qualiteacute
OBJECTIFS DE CONTROcircLE
PO8 Geacuterer la qualiteacute
PO81 Systegraveme de gestion de la qualiteacute (SGQ) Mettre en place et actualiser un SGQ qui offre une approche standard formelle et continue de la gestion qualiteacute en ligne avec les exigences des meacutetiers Le SGQ doit identifier les exigences et les critegraveres qualiteacute les processus informatiques cleacutes leur ordre de succession et leurs interactions les politiques critegraveres et meacutethodes pour deacutefinir deacutetecter corriger et preacutevenir les deacutefauts de conformiteacute Le SGQ doit deacutefinir lrsquoorganisation de la gestion qualiteacute avec ses rocircles ses tacircches et ses responsabiliteacutes Tous les domaines cleacutes deacuteveloppent leurs plans qualiteacute avec leurs critegraveres et leurs politiques en ligne avec les critegraveres et les politiques et enregistrent leurs donneacutees qualiteacute Surveiller et mesurer lrsquoefficaciteacute et lrsquoadoption du SGQ et lrsquoameacuteliorer lorsque crsquoest neacutecessaire
PO82 Standards informatiques et pratiques qualiteacute Identifier et actualiser les standards les proceacutedures et les pratiques pour les processus cleacutes pour guider lrsquoentreprise vers lrsquoobjectif du SGQ Utiliser les meilleures pratiques de la branche comme reacutefeacuterence lorsqursquoon adapte et qursquoon ameacuteliore les pratiques qualiteacute de lrsquoentreprise
PO83 Standards de deacuteveloppement et drsquoacquisition Adopter et actualiser les standards pour tous les deacuteveloppements et acquisitions qui suivent le cycle de vie du livrable deacutefinitif et qui exigent un aval agrave chaque eacutetape cleacute selon des critegraveres drsquoagreacutement convenus Prendre en compte les standards de codification des logiciels conventions de nommage formats de fichiers standards de conception de scheacutemas et de dictionnaires de donneacutees standards drsquointerfaces utilisateurs interopeacuterabiliteacute efficience des performances des systegravemes capaciteacute de mise agrave lrsquoeacutechelle standards de deacuteveloppement et de tests validation par rapport aux demandes plans de tests et tests unitaires de reacutegression et drsquointeacutegration
PO84 Orientation client Orienter la gestion qualiteacute vers les clients en deacuteterminant leurs besoins et en alignant ces derniers sur les standards et les pratiques informatiques Deacutefinir les rocircles et les responsabiliteacutes concernant la reacutesolution de conflits entre lrsquoutilisateurclient et lrsquoinformatique
PO85 Ameacutelioration continue Actualiser et communiquer reacuteguliegraverement un plan geacuteneacuteral qualiteacute qui promeut lrsquoameacutelioration continue de la qualiteacute
PO86 Mesure surveillance et revue qualiteacute Deacutefinir planifier et mettre en place un systegraveme de mesure pour surveiller en continu la conformiteacute au SGQ ainsi que la valeur apporteacutee par celui-ci Le proprieacutetaire du processus doit mesurer surveiller et enregistrer les informations pour pouvoir deacutecider des actions correctives et preacuteventives approprieacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 60
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer la qualiteacute PO8
GUIDE DE MANAGEMENT
PO8 Geacuterer la qualiteacute
De Entreacutees
PO1 Plan informatique strateacutegique
PO10 Plans deacutetailleacutes des projets
SE1 Plans drsquoactions correctives
Sorties Vers Standards drsquoacquisition AI1 AI2 AI3 AI5 DS2 Standards de deacuteveloppement PO10 AI1 AI2 AI3 AI7 Exigences de standards de qualiteacute et de meacutetriques Tous Actions pour lrsquoameacutelioration de la qualiteacute PO4 AI6
Deacutefinir un systegraveme de gestion qualiteacute (SGQ) C C AR I I I I I I C
Mettre en place et actualiser un SGQ I I I AR I C C C C C C
Bacirctir et communiquer des standards qualiteacute dans toute lrsquoentreprise I AR I C C C C C C
Bacirctir et geacuterer le plan qualiteacute pour lrsquoameacutelioration continue AR I C C C C C C
Mesurer surveiller et reacuteviser la conformiteacute avec les objectifs qualiteacute AR I C C C C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire les deacutefauts et la reacutefection de la fourniture de solutions et de services bull Livrer les projets dans les deacutelais et dans le budget en respectant les standards qualiteacute
deacutefinit deacutefinit
bull Deacutefinir des standards et des pratiques de qualiteacute bull Surveiller et reacuteviser les performances internes et externes par rapport aux standards et pratiques de qualiteacute deacutefinis
mesure induit mesure
induit mesure
bull Pourcentage de deacutefauts deacutecouverts avant mise en production bull Pourcentage de reacuteduction du nombre drsquoincidents graves par utilisateur et par mois bull Pourcentage de projets informatiques reacuteviseacutes et avaliseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et les objectifs qualiteacute bull Pourcentage de processus informatiques formellement et reacuteguliegraverement reacuteviseacutes par lrsquoassurance qualiteacute et qui atteignent leur cible et les objectifs qualiteacute
bull Pourcentage de projets faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage du personnel informatique sensibiliseacuteformeacute agrave la gestion de la qualiteacute bull Pourcentage de processus et de projets informatiques beacuteneacuteficiant drsquoune participation active des parties prenantes agrave lrsquoassurance qualiteacute bull Pourcentage de processus faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage des parties prenantes participant agrave des enquecirctes qualiteacute
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)
Processus
bull Eacutetablir des standards et une culture qualiteacute pour les processus informatiques bull Eacutetablir une fonction assurance qualiteacute informatique efficiente et efficace bull Surveiller lrsquoefficaciteacute des processus et des projets informatiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 61
Planifier et Organiser PO8 Geacuterer la qualiteacute
MODEgraveLE DE MATURITEacute
PO8 Geacuterer la qualiteacute
La gestion du processus Geacuterer la qualiteacute qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis est
0 Inexistante quand
Lrsquoentreprise ne dispose ni drsquoun processus de planification SGQ ni drsquoune meacutethodologie du de gestion du cycle de vie des systegravemes Le management et le personnel informatique ne pensent pas qursquoun programme qualiteacute soit neacutecessaire Les projets et les opeacuterations ne font jamais lrsquoobjet drsquoune revue dassurance qualiteacute
1 Initialiseacutee au cas par cas quand
Le management a conscience du besoin dun SGQ Lorsque le SGQ est mis en œuvre crsquoest isoleacutement Le management porte des jugements informels sur la qualiteacute
2 Reproductible mais intuitive quand
On a lanceacute un programme de deacutefinition et de surveillance des activiteacutes SGQ au sein du SI Lorsquelles se produisent les deacutemarches SGQ sont appliqueacutees aux projets et aux initiatives orienteacutes processus informatiques mais pas aux processus concernant lensemble de lentreprise
3 Deacutefinie quand
Un processus deacutefini de SGQ est communiqueacute par le management et il concerne agrave la fois la gestion par lrsquoinformatique et par les utilisateurs finaux Un programme denseignement et de formation voit le jour pour faire connaicirctre la deacutemarche qualiteacute agrave tous les niveaux de lentreprise Les exigences qualiteacute de base sont deacutefinies et adopteacutees pour les projets et au sein de lrsquoinformatique On voit eacutemerger des outils communs et des pratiques communes dans la gestion de la qualiteacute On preacutevoit des enquecirctes de satisfaction qualiteacute et on les fait agrave lrsquooccasion
4 Geacutereacutee et mesurable quand
Tous les processus font appel au SGQ y compris ceux qui sont confieacutes agrave des tiers On constitue une base de connaissances standardiseacutee sur la mesure de la qualiteacute On utilise les meacutethodes danalyse coucirctsbeacuteneacutefices pour justifier les initiatives SGQ On commence agrave faire des tests comparatifs pour se situer vis-agrave-vis de la concurrence et du marcheacute Un programme denseignement et de formation est creacuteeacute pour enseigner la deacutemarche qualiteacute agrave tous les niveaux de lentreprise On a standardiseacute les outils et les pratiques et on utilise peacuteriodiquement lanalyse causale On effectue reacuteguliegraverement des enquecirctes de satisfaction qualiteacute On a mis en place un programme standardiseacute et bien structureacute de mesure de la qualiteacute Le management informatique est en train de constituer une base de connaissances sur la mesure de la qualiteacute
5 Optimiseacutee quand
Le SGQ est inteacutegreacute et appliqueacute par toutes les activiteacutes informatiques Les processus dassurance qualiteacute sont souples et sadaptent aux modifications de lenvironnement informatique La base de connaissances des mesures de qualiteacute senrichit des meilleures pratiques constateacutees agrave lexteacuterieur Les comparaisons avec les standards externes font partie de la routine La surveillance de la satisfaction vis-agrave-vis de la qualiteacute est un processus continu qui conduit agrave lanalyse causale et agrave des actions drsquoameacutelioration Il existe une assurance formelle du niveau du processus de gestion de la qualiteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 62
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
SS PP P S S
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
DESCRIPTION DU PROCESSUS
PO9 Eacutevaluer et geacuterer les risques
Un reacutefeacuterentiel de gestion des risques est creacuteeacute et maintenu agrave niveau Ce reacutefeacuterentiel documente un niveau commun et agreacuteeacute de risques informatiques de strateacutegies pour les reacuteduire et de risques reacutesiduels Tout impact potentiel drsquoun eacuteveacutenement impreacutevu sur les objectifs de lrsquoentreprise est identifieacute analyseacute et eacutevalueacute Des strateacutegies de reacuteduction des risques sont adopteacutees pour ramener le risque reacutesiduel agrave un niveau acceptable Le reacutesultat de lrsquoeacutevaluation est compreacutehensible par les parties prenantes et exprimeacute en termes financiers pour permettre agrave ces parties de preacuteconiser le niveau de risque toleacuterable
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
SS PP P S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Eacutevaluer et geacuterer les risques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers
en se concentrant sur
le deacuteveloppement drsquoun cadre de reacutefeacuterence de gestion des risques inteacutegreacute agrave celui de la gestion des risques opeacuterationnels lrsquoeacutevaluation des risques leur reacuteduction et la communication des risques reacutesiduels
atteint son objectif en
bull srsquoassurant que la gestion des risques est pleinement inteacutegreacutee aux processus de management en interne et en externe et reacuteguliegraverement appliqueacutee
bull proceacutedant agrave lrsquoeacutevaluation des risques bull recommandant et en communiquant des plans drsquoaction pour les reacuteduire
et est mesureacute par
bull le pourcentage drsquoobjectifs informatiques critiques pris en compte dans lrsquoeacutevaluation des risques
bull le pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull le pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 63
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
OBJECTIFS DE CONTROcircLE
PO9 Eacutevaluer et geacuterer les risques
PO91 Reacutefeacuterentiel de gestion des risques informatiques Constituer un reacutefeacuterentiel de gestion des risques informatiques aligneacute sur le reacutefeacuterentiel de gestion des risques de lrsquoentreprise
PO92 Eacutetablissement du contexte du risque Eacutetablir le contexte dans lequel srsquoapplique le reacutefeacuterentiel drsquoeacutevaluation des risques pour srsquoassurer drsquoobtenir les reacutesultats approprieacutes Cela implique de deacuteterminer le contexte interne et externe de chaque eacutevaluation du risque le but de lrsquoeacutevaluation et les critegraveres de cette eacutevaluation
PO93 Identification des eacuteveacutenements Identifier les eacuteveacutenements (un nombre important de menaces reacutealistes susceptibles drsquoexploiter un nombre significatif de vulneacuterabiliteacutes potentielles) qui peuvent avoir un impact neacutegatif sur les objectifs ou les opeacuterations de lrsquoentreprise dont lrsquoactiviteacute les aspects reacuteglementaires et leacutegaux la technologie les partenaires commerciaux les ressources humaines et le caractegravere opeacuterationnel Deacuteterminer la nature des impacts et maintenir agrave jour cette information Eacutetablir une cartographie des risques actuels et la maintenir agrave jour
PO94 Eacutevaluation du risque Eacutevaluer reacuteguliegraverement la probabiliteacute et les conseacutequences de tous les risques identifieacutes en utilisant des meacutethodes qualitatives et quantitatives La probabiliteacute et les conseacutequences associeacutees aux risques inheacuterents et reacutesiduels doivent ecirctre deacutetermineacutees individuellement par cateacutegorie et par portefeuille
PO95 Reacuteponse au risque Deacutevelopper et tenir agrave jour un processus de reacuteponse au risque destineacute agrave srsquoassurer que des controcircles eacuteconomiquement rentables reacuteduisent en permanence lrsquoexposition au risque La reacuteponse au risque doit proposer des strateacutegies comme lrsquoeacutevitement la reacuteduction le partage et lrsquoacceptation Elle doit preacuteciser les responsabiliteacutes associeacutees et tenir compte du niveau drsquoappeacutetence aux risques
PO96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques Eacutetablir les prioriteacutes et planifier les activiteacutes de controcircle agrave tous les niveaux pour mettre en place les reacuteponses aux risques consideacutereacutees comme neacutecessaires sans oublier lrsquoeacutevaluation des coucircts et des beacuteneacutefices et la responsabiliteacute de leur mise en œuvre Rechercher lrsquoapprobation pour les actions recommandeacutees et lrsquoacceptation de tous les risques reacutesiduels et srsquoassurer que les proprieacutetaires des processus affecteacutes par le risque assument aussi la proprieacuteteacute des actions entreprises Surveiller lrsquoexeacutecution des plans et rapporter tout eacutecart au management
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 64
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Eacutevaluer et geacuterer les risques PO9
GUIDE DE MANAGEMENT
PO9 Eacutevaluer et geacuterer les risques
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de services informatiques
PO10 Plan de gestion des risques des projets
DS2 Risques fournisseurs
DS4 Reacutesultats des tests des plans de secours
DS5 Menaces et vulneacuterabiliteacutes de seacutecuriteacute
SE1 Historique des eacuteveacutenements de risque et des tendances
SE4 Appeacutetence de lrsquoentreprise pour le risque informatique
Sorties Vers Eacutevaluations des risques PO1 DS4 DS5 DS12 SE4 Rapports sur les risques SE4 Guides de gestion des risques informatiques PO6 Plans drsquoactionssolutions risques informatiques PO4 AI6
Tableau RACI
Activiteacutes Deacuteterminer lrsquoalignement pour la gestion des risques (ex eacutevaluer les risques) A RA C C RA I I
Identifier les objectifs meacutetiers strateacutegiques concerneacutes C C RA C C I
Identifier les objectifs processus meacutetiers concerneacutes C C RA I
Identifier les objectifs informatiques internes et eacutetablir leur contexte risque RA C C C I
Identifier les eacuteveacutenements associeacutes aux objectifs [certains eacuteveacutenements sont orienteacutes meacutetiers (meacutetier A) certains sont orienteacutes informatique (Informatique A meacutetier C)] I AC A R R R R C
Eacutevaluer les risques associeacutes aux eacuteveacutenements AC A R R R R C
Eacutevaluer les reacuteponses aux risques I I A AC A R R R R C
Planifier les activiteacutes de controcircle en tenant compte des prioriteacutes C C A A R R C C C C
Approuver les plans drsquoaction de traitement des risques et en assurer le financement A A R I I I I I
Tenir agrave jour et surveiller un plan drsquoaction de traitement des risques A C I R R C C C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Proteacuteger lrsquoatteinte des objectifs informatique bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage drsquoobjectifs informatique critiques pris en compte dans lrsquoeacutevaluation des risques bull Pourcentage drsquoeacutevaluations des risques inteacutegreacutees agrave lrsquoapproche drsquoeacutevaluation des risques informatiques
bull Pourcentage drsquoeacuteveacutenements informatiques critiques identifieacutes eacutevalueacutes bull Nb de risques informatiques nouveaux identifieacutes (par rapport agrave lrsquoexercice preacuteceacutedent) bull Nb drsquoincidents significatifs dus agrave des risques non identifieacutes par le processus drsquoeacutevaluation de risques bull Pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes
bull Pourcentage du budget informatique deacutepenseacute pour la gestion des risques (eacutevaluation et reacuteduction) bull Freacutequence de revue du processus de gestion des risques inormatiques bull Pourcentage drsquoeacutevaluations de risques approuveacutees bull Nb de rapports de surveillance du risque reacutealiseacutes selon la freacutequence preacutevue bull Pourcentage drsquoeacuteveacutenements informatiques identifieacutes utiliseacutes dans les eacutevaluations des risques bull Pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee
Processus
bull Eacutevaluer et reacuteduire la probabiliteacute et les conseacutequences des risques informatiques bull Mettre en place des plans drsquoaction rentables pour les risques informatiques critiques
Activiteacutes
bull Sassurer que la gestion des risques est pleinement inteacutegreacutee aux processus de management bull Effectuer des eacutevaluations des risques reacuteguliegraveres avec le management et le personnel cleacute bull Recommander et communiquer des plans drsquoaction pour les reacuteduire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 65
Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques
MODEgraveLE DE MATURITEacute
PO9 Eacutevaluer et geacuterer les risques
La gestion du processus Eacutevaluer et geacuterer les risques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers est
0 Inexistante quand
On ne fait pas deacutevaluation des risques lieacutes aux processus ou aux deacutecisions meacutetiers Lrsquoentreprise ne prend pas en compte les conseacutequences pour son activiteacute des faiblesses de sa seacutecuriteacute et des incertitudes lieacutees au deacuteveloppement de ses projets La gestion des risques nrsquoest pas identifieacutee comme pertinente dans lacquisition de solutions et la livraison de services informatiques
1 Initialiseacutee au cas par cas quand
Les risques informatiques sont traiteacutes au cas par cas On fait des eacutevaluations informelles des risques projet selon une approche speacutecifique agrave chaque projet Lrsquoeacutevaluation des risques est parfois incluse dans un plan de projet mais elle est rarement attribueacutee agrave des responsables speacutecifiques On prend en compte les risques speacutecifiques agrave linformatique comme la seacutecuriteacute la disponibiliteacute et linteacutegriteacute agrave loccasion de chaque projet On aborde peu souvent lors des reacuteunions de direction les risques informatiques lieacutes agrave lexploitation quotidienne Lorsque cest le cas la reacuteduction de ces risques nrsquoest pas coheacuterente On comprend de mieux en mieux lrsquoimportance des risques lieacutes agrave lrsquoinformatique et la neacutecessiteacute den tenir compte
2 Reproductible mais intuitive quand
On commence agrave deacutevelopper une approche encore embryonnaire de lrsquoeacutevaluation des risques et elle se met en place agrave lrsquoinitiative des chefs de projets La gestion des risques est geacuteneacuteralement mise en œuvre agrave un niveau eacuteleveacute et ne sapplique typiquement quaux projets majeurs ou lorsqursquoun problegraveme surgit Les processus de reacuteduction des risques commencent agrave ecirctre mis en place lorsque certains risques ont eacuteteacute identifieacutes
3 Deacutefinie quand
Une politique de gestion des risques deacutefinit agrave lrsquoeacutechelle de lrsquoentreprise quand et comment doivent avoir lieu les eacutevaluations La gestion des risques suit un processus deacutefini qui est documenteacute La formation agrave la gestion des risques est accessible agrave tout le personnel On laisse chacun libre de deacutecider de suivre la formation et de mettre le processus en œuvre La meacutethodologie drsquoeacutevaluation des risques est convaincante et solide et permet didentifier presque agrave coup sucircr les risques essentiels encourus par lentreprise On institue en geacuteneacuteral un processus de reacuteduction des risques lorsque ceux-ci sont identifieacutes Les fiches de poste prennent en compte les responsabiliteacutes de gestion des risques
4 Geacutereacutee et mesurable quand
Lrsquoeacutevaluation et la gestion des risques sont des proceacutedures standard On rapporte agrave la direction informatique les cas qui eacutechappent au processus de gestion des risques La gestion des risques informatiques est sous la responsabiliteacute drsquoun cadre supeacuterieur On eacutevalue et on reacuteduit les risques aussi bien au niveau de chaque projet que reacuteguliegraverement au niveau geacuteneacuteral de lexploitation informatique Le management est aviseacute des modifications de lrsquoenvironnement meacutetiers et informatique qui pourraient affecter de faccedilon significative les sceacutenarios de risques informatiques Le management est capable de surveiller lexposition au risque et de deacutecider en toute connaissance de cause du niveau de risque acceptable Tous les risques identifieacutes ont un proprieacutetaire deacutesigneacute et la direction geacuteneacuterale deacutetermine avec la direction des systegravemes drsquoinformation les niveaux de risques toleacuterables par lrsquoentreprise La DSI conccediloit des mesures standard pour eacutevaluer les risques et deacutefinir les ratios risquesbeacuteneacutefices Le management budgeacutetise un projet de gestion des risques opeacuterationnels pour reacuteeacutevaluer les risques de faccedilon reacuteguliegravere On a creacuteeacute une base de donneacutee deacutedieacutee agrave la gestion des risques et une partie des processus de gestion des risques commence agrave ecirctre automatiseacutee La DSI envisage des strateacutegies de reacuteduction des risques
5 Optimiseacutee quand
La gestion des risques a atteint le stade drsquoun processus structureacute bien appliqueacute et bien geacutereacute dans toute lrsquoentreprise On applique les bonnes pratiques dans lrsquoensemble de lrsquoentreprise La capture lanalyse et le reportage sur les informations de gestion des risques sont largement automatiseacutes On sinspire des leaders dans le domaine et lrsquoinformatique partage son expeacuterience avec ses pairs La gestion des risques est veacuteritablement inteacutegreacutee dans toutes les activiteacutes meacutetiers et informatique elle est bien accepteacutee et implique largement les utilisateurs des services informatiques Le management deacutetecte toute deacutecision opeacuterationnelle ou drsquoinvestissement majeure concernant lrsquoinformatique qui ne prend pas en compte le plan de gestion des risques et agit en conseacutequence Le management eacutevalue en permanence les strateacutegies de reacuteduction des risques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 66
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Planifier et Organiser
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEUR
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
PP
Planifier et Organiser Geacuterer les projets PO10
DESCRIPTION DU PROCESSUS
PO10 Geacuterer les projets
Un programme et un cadre de reacutefeacuterence de gestion de projets pour la gestion de tous les projets informatiques est en place Ce cadre permet de srsquoassurer que tous les projets sont correctement coordonneacutes et que les prioriteacutes sont eacutetablies Il preacutevoit un plan maicirctre lrsquoattribution de ressources la deacutefinition des livrables lrsquoapprobation par les utilisateurs une approche de livraison par eacutetapes une assurance qualiteacute un plan de tests formaliseacute des tests et une revue apregraves mise en place pour srsquoassurer que la gestion des risques et que lrsquoapport de valeur agrave lrsquoentreprise sont effectives Cette approche reacuteduit les risques de coucircts non preacutevus et drsquoannulation de projets ameacuteliore la communication en direction des meacutetiers et des utilisateurs finaux ainsi que leur implication permet drsquoecirctre sucircr de la valeur et de la qualiteacute des livrables du projet et maximise leur contribution aux programmes drsquoinvestissements informatiques
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Geacuterer les projets
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus
en se concentrant sur
un programme deacutefini et une approche de la gestion de projets qui srsquoappliquent aux projets informatiques et permettent aux parties prenantes de srsquoimpliquer et de surveiller les risques et lrsquoavancement des projets
atteint son objectif en
bull deacutefinissant et en appliquant des cadres et des approches pour les programmes et les projets bull diffusant des guides de gestion de projets bull utilisant la planification de projets pour chaque projet deacutetailleacute dans le portefeuille de projets
et est mesureacute par
bull le pourcentage de projets qui reacutepondent aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
bull le pourcentage de projets qui ont eacuteteacute reacuteviseacutes apregraves leur mise en place bull le pourcentage de projets qui respectent les standards et les pratiques de la gestion de
projet
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
ALIGNEMENT
STRATEGIQUE
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 67
Planifier et Organiser PO10 Geacuterer les projets
OBJECTIFS DE CONTROcircLE
PO10 Geacuterer les projets
PO101 Reacutefeacuterentiel de gestion de programme Tenir agrave jour le programme des projets en relation avec le portefeuille des programmes dinvestissements informatiques en identifiant deacutefinissant eacutevaluant seacutelectionnant initiant et controcirclant ces projets et en eacutetablissant leurs prioriteacutes respectives Srsquoassurer que les projets servent les objectifs du programme Coordonner les activiteacutes et lrsquointerdeacutependance de multiples projets geacuterer la contribution de tous les projets aux reacutesultats attendus au sein du programme et reacutesoudre les problegravemes et les conflits lieacutes aux ressources
PO102 Reacutefeacuterentiel de gestion de projet Mettre en place et tenir agrave jour un reacutefeacuterentiel de gestion de projets qui deacutefinit aussi bien leacutetendue et les limites de la gestion de projets que la meacutethode agrave adopter et agrave appliquer pour chaque projet entrepris Le reacutefeacuterentiel et les meacutethodologies qui lrsquoappuient doivent ecirctre inteacutegreacutes aux processus de gestion de programmes
PO103 Approche gestion de projet Eacutetablir une approche de gestion de projet en rapport avec la taille la complexiteacute et les exigences reacuteglementaires de chaque projet La structure de gouvernance des projets peut comporter les rocircles responsabiliteacutes opeacuterationnelles et finales du commanditaire du programme des commanditaires des projets du comiteacute de pilotage du bureau des projets et du chef de projet ainsi que les meacutecanismes gracircce auxquels ils peuvent faire face agrave ces responsabiliteacutes (comme le reporting et les revues drsquoeacutetapes) Veacuterifier que chaque projet informatique est doteacute drsquoun commanditaire assez haut placeacute pour ecirctre proprieacutetaire de la mise en œuvre du projet au sein du programme strateacutegique geacuteneacuteral
PO104 Implication des parties prenantes Obtenir lrsquoimplication et la participation de toutes les parties prenantes concerneacutees par la deacutefinition et la mise en œuvre du projet agrave lrsquointeacuterieur du programme global drsquoinvestissements informatiques
PO105 Eacutenonceacute du peacuterimegravetre du projet Deacutefinir et documenter la nature et lrsquoeacutetendue du projet pour confirmer et deacutevelopper parmi les parties prenantes une compreacutehension commune du peacuterimegravetre du projet et la faccedilon dont il est relieacute aux autres projets du programme global drsquoinvestissements informatiques Cette deacutefinition doit ecirctre formellement approuveacutee par les commanditaires du programme et du projet avant que ce dernier ne deacutemarre
PO106 Deacutemarrage drsquoune phase du projet Le deacutemarrage de chaque phase principale du projet est approuveacutee et communiqueacute agrave toutes les parties prenantes Fonder lrsquoapprobation de la phase de deacutemarrage sur les deacutecisions de la gouvernance des programmes Lrsquoapprobation des phases suivantes doit se baser sur les revues et lrsquoacceptation des livrables de la phase preacuteceacutedente ainsi que sur lrsquoapprobation drsquoune analyse de rentabiliteacute mise agrave jour lors de la prochaine revue majeure du programme Dans lrsquoeacuteventualiteacute ougrave des phases du projet se chevaucheraient les commanditaires du programme et de chaque projet devraient faire le point pour autoriser lrsquoavancement du projet
PO107 Plan projet inteacutegreacute Mettre en place un plan projet inteacutegreacute formaliseacute et approuveacute (couvrant les ressources meacutetiers et informatiques) pour guider la mise en œuvre et le controcircle du projet tout au long de son cycle de vie Les activiteacutes et les interdeacutependances de projets multiples dans un programme doivent ecirctre comprises et documenteacutees Le plan projet doit ecirctre tenu agrave jour durant toute la vie du projet Le plan projet et les modifications qui lui sont apporteacutes doivent ecirctre approuveacutes en ligne avec le cadre de gouvernance des programmes et des projets
PO108 Ressources du projet Deacutefinir les responsabiliteacutes les relations lrsquoautoriteacute et les critegraveres de performances des membres de lrsquoeacutequipe du projet et preacuteciser la base sur laquelle on engagera et affectera des membres compeacutetents etou des contractuels dans lrsquoeacutequipe du projet Lrsquoachat de produits et de services neacutecessaires agrave chaque projet doit ecirctre planifieacute et geacutereacute pour favoriser lrsquoatteinte des objectifs du projet en utilisant les pratiques drsquoachat de lrsquoentreprise
PO109 Gestion des risques du projet Eacuteliminer ou reacuteduire les risques speacutecifiques agrave chaque projet au moyen drsquoun processus systeacutematique de planification drsquoidentification drsquoanalyse drsquoactions de reacuteduction des risques de surveillance et de controcircle des domaines ou des eacuteveacutenements susceptibles de provoquer des changements non souhaiteacutes Les risques auxquels le processus de gestion de projet et les livrables sont exposeacutes doivent ecirctre identifieacutes et consolideacutes au niveau central
PO1010 Plan qualiteacute du projet Preacuteparer un plan de gestion qualiteacute qui deacutecrit le systegraveme qualiteacute du projet et comment il sera mis en place Le plan doit ecirctre formellement revu et accepteacute par toutes les parties prenantes puis incorporeacute au plan projet inteacutegreacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 68
Planifier et Organiser Geacuterer les projets PO10
PO1011 Controcircle des changements du projet Mettre en place un systegraveme de controcircle des changements pour chaque projet de faccedilon agrave ce que toutes les modifications de ses caracteacuteristiques de base (ex coucirct planning peacuterimegravetre et qualiteacute) soient ducircment analyseacutees approuveacutees et incorporeacutees au plan projet inteacutegreacute en ligne avec le cadre de gouvernance des programmes et des projets
PO1012 Planification du projet et meacutethodes dassurance Identifier les tacircches drsquoassurance destineacutees agrave appuyer la validation de systegravemes nouveaux ou modifieacutes pendant la planification du projet et les inclure dans le plan projet inteacutegreacute Les tacircches doivent fournir lrsquoassurance que les controcircles internes et les caracteacuteristiques de seacutecuriteacute satisfont les exigences preacutevues
PO1013 Meacutetrique reporting et surveillance de la performance du projet Mesurer la performance du projet par rapport agrave lrsquoensemble des critegraveres cleacutes de performance des projets peacuterimegravetre planning qualiteacute coucirct et risque Identifier tout eacutecart par rapport au plan Eacutevaluer les conseacutequences drsquoun eacutecart sur le projet et sur lrsquoensemble du programme et rapporter les reacutesultats aux parties prenantes cleacutes Recommander mettre en place et surveiller les actions correctrices lorsque crsquoest neacutecessaire en accord avec le cadre de gouvernance des programmes et des projets
PO1014 Clocircture du projet Exiger qursquoagrave la fin de chaque projet les parties prenantes deacuteterminent si le projet a fourni les reacutesultats et beacuteneacutefices preacutevus Identifier et communiquer toutes les activiteacutes exceptionnelles qui ont eacuteteacute neacutecessaires pour obtenir les reacutesultats du projet et les beacuteneacutefices du programme preacutevus et identifier et documenter les enseignements qui en ont eacuteteacute tireacutes et qui pourront ecirctre utiles agrave des projets ou des programmes futurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 69
Planifier et Organiser PO10 Geacuterer les projets
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 70
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Planifier et Organiser Geacuterer les projets PO10
GUIDE DE MANAGEMENT
PO10 Geacuterer les projets
De Entreacutees
PO1 Portefeuille projets
PO5 Portefeuille actualiseacute des projets informatiques
PO7 Tableau des compeacutetences informatiques
PO8 Standards de deacuteveloppement
AI7 Revue postshydeacutemarrage
Sorties Vers Rapports sur la performance des projets SE1 Plan de gestion des risques des projets PO9 Guides de gestion des projets AI1hellipAI7 Plans de projets deacutetailleacutes PO8 AI1hellipAI7 DS6 Portefeuille de projets informatiques agrave jour PO1 PO5
Tableau RACI
Activiteacutes Deacutefinir un cadre de gestion de programme etou de portefeuille pour les investissements informatiques C C A R C C
Mettre en place et maintenir un cadre de gestion des projets informatiques I I I AR I C C C C R C
Mettre en place et maintenir opeacuterationnel un systegraveme de surveillance de mesure et de gestion de gestion des projets informatiques I I I R C C C C AR C
Eacutelaborer des chartes plannings plans qualiteacute budgets et des plans de gestion de la communication et des risques pour les projets C C C C C C C AR C
Srsquoassurer de la participation et de lrsquoimplication des parties prenantes aux projets I A R C C
Assurer un controcircle efficace des projets et des changements qui leur sont apporteacutes C C C C C AR C
Deacutefinir et mettre en place des meacutethodes drsquoassurance et de revue pour les projets I C I AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Livrer les projets dans le respect des deacutelais des coucircts et de la qualiteacute attendus bull Reacutepondre aux exigences de la gouvernance en ligne avec les orientations du conseil drsquoadministration
deacutefinit deacutefinit
induit
induit
bull Pourcentage de projets respectant deacutelais et coucircts bull Pourcentage de projets reacutepondant aux attentes des parties prenantes
bull Pourcentage de projets respectant les standards et les pratiques de la gestion de projet bull Pourcentage de chefs de projets certifieacutes ou formeacutes bull Pourcentage de projets faisant lrsquoobjet drsquoune revue apregraves mise en place bull Pourcentage de parties prenantes participant aux projets (indice drsquoimplication)
Processus
bull Mettre en place un suivi de projet et des meacutecanismes de controcircle des cocircutstemps bull Rendre transparente la situation du projet bull Prendre agrave temps les deacutecisions de gestion de projet aux jalons critiques
Activiteacutes
bull Deacutefinir et appliquer des cadres et des approches pour les programmes et les projets bull Diffuser des guides de gestion de projets bull Reacutealiser la planification de chaque projet du portefeuille de projets
mesure mesure mesure
Meacutetriq
ues
bull Pourcentage de projets reacutepondant aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 71
Planifier et Organiser PO10 Geacuterer les projets
MODEgraveLE DE MATURITEacute
PO10 Geacuterer les projets
La gestion du processus Geacuterer les projets qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus est
0 Inexistante quand
On nutilise pas les techniques de gestion de projets et lentreprise ne prend pas en compte les conseacutequences pour son activiteacute dune mauvaise gestion des projets et des eacutechecs survenus au cours du deacuteveloppement des projets
1 Initialiseacutee au cas par cas quand
Lutilisation des techniques de gestion de projets et leur approche informatique est laisseacutee agrave linitiative individuelle des responsables informatiques Il y a un manque drsquoimplication de la part du management dans la proprieacuteteacute et la gestion des projets Les deacutecisions critiques concernant la gestion des projets sont prises participation des utilisateurs ni des clients Les clients et utilisateurs ne sont que peu impliqueacutes dans la deacutefinition des projets informatiques voire pas du tout Il nrsquoy a pas drsquoorganisation claire de la gestion des projets au sein de lrsquoinformatique Les rocircles et responsabiliteacutes en matiegravere de gestion des projets ne sont pas deacutefinis Les projets leur planning et leurs jalons sont mal deacutefinis On ne fait pas de releveacutes des temps ni des deacutepenses consacreacutes aux projets et donc on ne les confronte pas aux preacutevisions
2 Reproductible mais intuitive quand
La direction geacuteneacuterale sest convaincue du besoin de faire de la gestion des projets et communique sur ce thegraveme Lentreprise a deacutecideacute de deacutevelopper et drsquoutiliser certaines techniques et meacutethodes quelle commence agrave appliquer projet apregraves projet Les objectifs meacutetiers et techniques des projets informatiques sont deacutefinis de faccedilon informelle Limplication des parties prenantes dans la gestion des projets informatiques est faible On deacuteveloppe les premiers guides pour de nombreux aspects de la gestion des projets Lrsquoapplication des guides de gestion des projets est laisseacutee agrave lrsquoinitiative de chaque chef de projets
3 Deacutefinie quand
Le processus et la meacutethodologie de gestion des projets informatiques sont en place et on communique sur ces thegravemes On dote les projets informatiques drsquoobjectifs meacutetiers et techniques approprieacutes Le management de lrsquoinformatique et des meacutetiers commence agrave srsquoimpliquer dans la gestion des projets informatiques Un bureau de gestion des projets est mis en place agrave lrsquoinformatique et on en a deacutefini certains rocircles et certaines responsabiliteacutes On deacutefinit et actualise les jalons le planning le budget et les mesures de performance des projets et on les surveille La formation agrave la gestion des projets existe et reacutesulte encore drsquoinitiatives individuelles On deacutefinit des proceacutedures dassurance qualiteacute et des activiteacutes post-deacutemarrage cependant la direction des SI ne les applique pas systeacutematiquement Les projets commencent agrave ecirctre geacutereacutes en portefeuilles
4 Geacutereacutee et mesurable quand
Le management exige des meacutetriques projet standardiseacutees et formelles et une revue des enseignements agrave tirer agrave lrsquoeacutecheacuteance drsquoun projet La gestion des projets est mesureacutee et eacutevalueacutee non seulement au sein de lrsquoinformatique mais dans toute lentreprise On formalise et communique les ameacuteliorations aux processus de gestion des projets avec les membres des eacutequipes des projets formeacutees agrave ces ameacuteliorations La direction des SI met en place une structure dorganisation de projets attribue des rocirclesresponsabiliteacutes et des critegraveres de performance pour le personnel le tout ducircment documenteacute Des critegraveres drsquoeacutevaluation de succegraves de chaque jalon sont mis en place Valeur et risques sont mesureacutes et geacutereacutes avant pendant et apregraves lrsquoachegravevement des projets Les projets visent de plus en plus des objectifs de lrsquoentreprise plutocirct que des objectifs speacutecifiquement informatiques Les commanditaires de la direction geacuteneacuterale et les parties prenantes soutiennent fortement et activement les projets Une formation approprieacutee agrave la gestion des projets est preacutevue pour le personnel du bureau de gestion des projets et pour certains personnels de lrsquoinformatique
5 Optimiseacutee quand
On met en place et on applique une meacutethodologie de gestion des projets et des programmes qui prend en compte leur cycle de vie entier et cette meacutethodologie fait deacutesormais partie de la culture de toute lentreprise On met en place une initiative permanente pour identifier et institutionnaliser les meilleures pratiques de gestion des projets Lrsquoinformatique met en place une strateacutegie de recherche de collaborateurs pour les projets de deacuteveloppement et les projets techniques Une cellule inteacutegreacutee de gestion des projets est responsable des projets et des programmes de leur origine agrave leur achegravevement La planification des programmes et des projets agrave leacutechelle de lentreprise permet de sassurer que les ressources utilisateurs et informatiques sont utiliseacutees au mieux pour soutenir les initiatives strateacutegiques
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 72
ACQUEacuteRIR ET IMPLEacuteMENTER
AI1 Trouver des solutions informatiques AI2 Acqueacuterir des applications et en assurer la maintenance AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lrsquoutilisation AI5 Acqueacuterir des ressources informatiques AI6 Geacuterer les changements AI7 Installer et valider les solutions et les modifications
AC
QU
EacuteR
IR E
T
IMPL
EacuteM
EN
TE
R
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
DESCRIPTION DU PROCESSUS
AI1 Trouver des solutions informatiques
Le besoin drsquoune nouvelle application ou fonction impose une analyse avant achat ou creacuteation pour srsquoassurer que les exigences des meacutetiers seront satisfaites gracircce agrave une approche efficace et efficiente Ce processus recouvre la deacutefinition des besoins la prise en compte de sources alternatives lrsquoanalyse de la faisabiliteacute technique et eacuteconomique lrsquoanalyse des risques et du rapport coucirctsbeacuteneacutefices et la deacutecision finale qui tranchera entre faire ou acheter Toutes ces eacutetapes permettent aux entreprises de minimiser les coucircts drsquoachat et de mise en place de solutions et de srsquoassurer que celles-ci permettront agrave lrsquoentreprise drsquoatteindre ses objectifs
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
P S
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Trouver des solutions informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes
en se concentrant sur
lrsquoidentification de solutions techniquement faisables et rentables
atteint son objectif en
bull deacutefinissant les exigences des meacutetiers et les impeacuteratifs techniques bull entreprenant des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull approuvant (ou rejetant) les reacutesultats des eacutetudes des besoins et de faisabiliteacute
et est mesureacute par
bull le nombre de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de leur faisabiliteacute
bull le pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes livreacutees
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 73
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
OBJECTIFS DE CONTROcircLE
AI1 Trouver des solutions informatiques
AI11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles Identifier classer par prioriteacutes et agreacuteer les exigences meacutetiers techniques et fonctionnelles qui couvrent lrsquoeacutetendue complegravete de toutes les initiatives requises pour obtenir les reacutesultats escompteacutes du programme drsquoinvestissement informatique
AI12 Rapport danalyse de risques Identifier documenter et analyser les risques associeacutes aux processus meacutetiers en tant qursquoeacuteleacutements du processus drsquoentreprise pour lrsquoeacutelaboration des exigences
AI13 Eacutetude de faisabiliteacute et formulation drsquoalternatives Mener une eacutetude de faisabiliteacute qui examine la possibiliteacute de mettre en place les exigences Le management des meacutetiers assisteacute par lrsquoinformatique doit eacutevaluer la faisabiliteacute et les alternatives et faire des recommandations aux commanditaires meacutetiers
AI4 Deacutecision et approbation concernant les exigences et la faisabiliteacute Srsquoassurer que le processus impose que les commanditaires meacutetiers approuvent et avalisent les rapports sur les exigences des meacutetiers fonctionnelles et techniques et sur lrsquoeacutetude de faisabiliteacute agrave des eacutetapes cleacutes preacutedeacutetermineacutees La deacutecision finale quant au choix de la solution et de la proceacutedure drsquoacquisition doit appartenir aux commanditaires meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 74
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
it
Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1
GUIDE DE MANAGEMENT
AI1 Trouver des solutions informatiques
De Entreacutees PO1 Plans informatiques strateacutegiques et tactiques PO3 Mises agrave niveau reacuteguliegraveres de la technologie
standards technologiques
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes de gestion de projets et plans deacutetailleacutes des projets
AI6 Description du processus de changement
DS1 Contrats de services
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Eacutetude de faisabiliteacute des exigences des meacutetiers PO2 PO5 PO7 AI2 AI3 AI4 AI5
Tableau RACI
Activiteacutes Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques C C R C R R AR I
Mettre en place les processus pour les exigences drsquointeacutegriteacutedrsquoactualiteacute C C C AR C
Identifier documenter et analyser les risques des processus meacutetiers AR R R R C R R C
Conduire une eacutetude drsquoeacutevaluation faisabiliteacuteimpact pour la mise en place des exigences des meacutetiers proposeacutees AR R R C C C R C
Eacutevaluer les beacuteneacutefices informatiques des solutions proposeacutees I R AR R I I I R
Eacutevaluer les beacuteneacutefices pour les meacutetiers des solutions proposeacutees AR R C C C I R
Eacutelaborer un processus drsquoapprobation des exigences C A C C C R C
Approuver et avaliser les solutions proposeacutees C AR R R C C C I R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques
deacutefinit
Informatique
Objectifs
bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie des meacutetiers
mesure indu
ii
ndu t
Meacutetriq
ues
bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de la faisabiliteacute bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
deacutefinit
Processus
bull Identifier les solutions qui satisfont les exigences utilisateurs bull Identifier les solutions techniquement faisables et rentables bull Trancher entre acheter ou faire de faccedilon agrave optimiser la valeur et agrave minimiser les risques
bull Pourcentage de parties prenantes satisfaites de lrsquoexactitude de lrsquoeacutetude de faisabiliteacute bull Diffeacuterence drsquoeacutevaluation des beacuteneacutefices entre lrsquoeacutetude de faisabiliteacute et lrsquoimpleacutementation bull Pourcentage du portefeuille drsquoapplications incoheacuterent avec lrsquoarchitecture bull Pourcentage des eacutetudes de faisabiliteacute fournies dans les deacutelais et les coucircts
bull Pourcentage de projets du plan informatique annuel soumis agrave une eacutetude de faisabiliteacute bull Pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus
Activiteacutes
bull Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques bull Entreprendre des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull Prendre en compte tocirct les exigences de seacutecuriteacute et de controcircle bull Approuver (ou rejeter) les reacutesultats des eacutetudes des exigences et de la faisabiliteacute
mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 75
Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques
MODEgraveLE DE MATURITEacute
AI1 Trouver des solutions informatiques
La gestion du processus Trouver des solutions informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes est
0 Inexistante quand
Lentreprise ne se preacuteoccupe pas didentifier les besoins fonctionnels et opeacuterationnels pour le deacuteveloppement la mise en œuvre ou la modification de solutions telles que systegravemes services infrastructures logiciels ou donneacutees Lentreprise ne se tient pas au courant des solutions techniques disponibles qui pourraient concerner son activiteacute
1 Initialiseacutee au cas par cas quand
On prend conscience de la neacutecessiteacute de deacutefinir les besoins et de trouver des solutions techniques Des groupes se reacuteunissent pour discuter des besoins de maniegravere informelle et les exigences sont parfois documenteacutees Certaines personnes trouvent des solutions gracircce agrave une connaissance partielle des produits qui existent sur le marcheacute ou par lintermeacutediaire doffres commerciales Il existe un minimum de recherche et drsquoanalyse raisonneacutee de la technologie disponible
2 Reproductible mais intuitive quand
Il existe diffeacuterentes approches intuitives agrave travers lrsquoentreprise pour trouver des solutions informatiques On trouve des solutions informelles en fonction des connaissances et de lexpeacuterience accumuleacutees en interne agrave la DSI Le succegraves de chaque projet deacutepend de lrsquoexpertise de quelques individus cleacutes La qualiteacute de la documentation et de la prise de deacutecision varie consideacuterablement On utilise des approches non structureacutees pour deacutefinir les exigences et trouver des solutions techniques
3 Deacutefinie quand
Il existe des approches claires et structureacutees pour deacuteterminer des solutions informatiques Cette approche impose drsquoeacutevaluer les solutions alternatives en fonction des exigences meacutetiers ou utilisateurs des opportuniteacutes technologiques de la faisabiliteacute eacuteconomique de leacutevaluation des risques et drsquoautres facteurs Ce processus trouver des solutions informatiques est mis en œuvre pour certains projets qui deacutependent des deacutecisions que prend individuellement une personne impliqueacutee du temps qursquoy consacre le management de limportance et des prioriteacutes des exigences meacutetiers qui en sont agrave lrsquoorigine On utilise des approches structureacutees pour deacutefinir les exigences et trouver des solutions informatiques
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie pour identifier et eacutevaluer les solutions informatiques et on lrsquoutilise pour la plupart des projets La documentation des projets est de bonne qualiteacute et chaque eacutetape est ducircment approuveacutee Les exigences sont bien coordonneacutees et suivent des structures preacutedeacutefinies On examine diffeacuterentes hypothegraveses pour la solution choisie en tenant compte drsquoanalyses coucirctsbeacuteneacutefices La meacutethode est claire deacutefinie en geacuteneacuteral comprise et mesurable Il existe une interface clairement deacutefinie entre la direction des SI et les meacutetiers pour identifier et eacutevaluer les solutions informatiques
5 Optimiseacutee quand
La meacutethodologie pour trouver et eacutevaluer des solutions informatiques suit un processus drsquoameacutelioration continue La meacutethodologie drsquoacquisition et drsquoimpleacutementation est assez souple pour srsquoadapter agrave des projets de dimensions diverses Cette meacutethodologie sappuie sur des bases de connaissances internes et externes renfermant des reacutefeacuterences agrave des solutions techniques La meacutethodologie elle-mecircme produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces On deacutecouvre souvent de nouvelles occasions dutiliser lrsquoinformatique pour obtenir un avantage concurrentiel pour stimuler la reacute-ingeacutenierie des processus meacutetiers pour ameacuteliorer globalement lrsquoefficience Le management agit lorsqursquoil se rend compte que les solutions informatiques ont eacuteteacute approuveacutees sans que des exigences techniques et fonctionnelles alternatives aient eacuteteacute prises en compte
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 76
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
DESCRIPTION DU PROCESSUS
AI2 Acqueacuterir des applications et en assurer la maintenance
Les applications sont rendues disponibles en fonction des exigences des meacutetiers Ce processus recouvre la conception des applications les controcircles applicatifs et les exigences de seacutecuriteacute approprieacutes qursquoil faut y inclure ainsi que leur deacuteveloppement et leur configuration conformeacutement aux standards Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tacircches meacutetiers
Effica
citeacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibilit
eacute
Confo
rmiteacute
Fiab
iliteacute
PP SS
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des applications et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable
en se concentrant sur
un processus de deacuteveloppement respectueux des deacutelais et de la rentabiliteacute
atteint son objectif en
bull traduisant les exigences des meacutetiers en speacutecifications pour la conception bull adoptant des standards de deacuteveloppement pour toutes les modifications bull seacuteparant les activiteacutes de deacuteveloppement de tests et de production
et est mesureacute par
bull le nombre de problegravemes de production par application causant des retards perceptibles bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 77
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI2 Acqueacuterir des applications et en assurer la maintenance
AI21 Conception geacuteneacuterale Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales drsquoacquisition de logiciel en prenant en compte les orientations technologiques de lrsquoentreprise et lrsquoarchitecture de lrsquoinformation Faire approuver les speacutecifications de la conception par le management pour srsquoassurer que la conception geacuteneacuterale reacutepond aux exigences Reacuteeacutevaluer lorsque des anomalies techniques ou logicielles significatives se produisent pendant le deacuteveloppement ou la maintenance
AI22 Conception deacutetailleacutee Preacutesenter en deacutetail les speacutecifications et les impeacuteratifs techniques des applications logicielles Deacutefinir les critegraveres drsquoacceptation de ces impeacuteratifs Faire approuver ces impeacuteratifs pour ecirctre sucircr qursquoils correspondent agrave la conception geacuteneacuterale Effectuer une reacuteeacutevaluation lorsque des anomalies significatives techniques ou logicielles se produisent pendant le deacuteveloppement ou la maintenance
AI23 Controcircles applicatifs et auditabiliteacute Si neacutecessaire mettre en place des controcircles meacutetiers des controcircles programmeacutes de faccedilon agrave ce que le traitement soit reacutealiseacute avec exactitude complegravetement au bon moment et qursquoil soit autoriseacute et auditable
AI24 Seacutecuriteacute et disponibiliteacute des applications Reacutepondre aux exigences de seacutecuriteacute et de disponibiliteacute des applications en regard des risques identifieacutes et en ligne avec la classification des donneacutees lrsquoarchitecture de lrsquoinformation et de la seacutecuriteacute de lrsquoinformation de lrsquoappeacutetence au risque de lrsquoentreprise
AI25 Configuration et impleacutementation des logiciels applicatifs acquis Configurer et impleacutementer les progiciels de faccedilon agrave reacutepondre aux objectifs des meacutetiers
AI26 Mises agrave jour majeures des systegravemes existants Suivre un processus de deacuteveloppement similaire agrave celui du deacuteveloppement de nouveaux systegravemes dans lrsquoeacuteventualiteacute de modifications majeures des systegravemes existants qui ont pour conseacutequences des modifications significatives de conception etou des fonctionnaliteacutes actuelles
AI27 Deacuteveloppement drsquoapplications Srsquoassurer que les nouvelles fonctionnaliteacutes automatiseacutees se conforment aux speacutecifications de conception aux standards de deacuteveloppement et de documentation aux exigences de qualiteacute et aux normes de recette Srsquoassurer que tous les aspects leacutegaux et contractuels sont identifieacutes et pris en compte dans les applications deacuteveloppeacutees par des tiers
AI28 Assurance qualiteacute des logiciels Deacutevelopper un plan drsquoassurance qualiteacute le doter de ressources et le mettre en œuvre de faccedilon agrave obtenir la qualiteacute speacutecifieacutee dans la deacutefinition des exigences et dans les politiques et les proceacutedures qualiteacute de lrsquoentreprise
AI29 Gestion des exigences des applications Au cours de la conception du deacuteveloppement et de la mise en place effectuer un suivi individuel de chaque exigence (y compris de celles qui ont eacuteteacute rejeteacutees) et approuver les modifications apporteacutees agrave certaines exigences selon un processus eacutetabli de gestion des changements
AI210 Maintenance des applications Deacutevelopper un plan strateacutegique pour la maintenance des applications
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 78
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2
GUIDE DE MANAGEMENT
AI2 Acqueacuterir des applications et en assurer la maintenance
De Entreacutees
PO2 Dictionnaire de donneacutees scheacutema de classification des donneacutees plan optimiseacute des systegravemes meacutetiers
PO3 Mises agrave niveau reacuteguliegraveres de leacutetat de lart de la technologie
PO5 Comptesshyrendus coucirctsbeacuteneacutefices
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Guides de gestion des projets et plans de projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Description du processus de changement
Sorties Vers Speacutecification des controcircles de seacutecuriteacute des applications DS5 Connaissance des applications et des progiciels AI4 Deacutecisions drsquoacquisition AI5 Contrats de services initialement preacutevus DS1 Speacutecifications de disponibiliteacute continuiteacute et reprise DS3 DS4
Tableau RACI
Activiteacutes Traduire les exigences des meacutetiers en speacutecifications de conception geacuteneacuterale C C AR R C
Preacuteparer la conception deacutetailleacutee et les besoins techniques des applications I C C C AR R C
Speacutecifier les controcircles applicatifs dans la conception R C AR R R
Adapter et impleacutementer les fonctionnaliteacutes automatiseacutees acquises C C AR R C
Deacutevelopper des meacutethodologies les formaliser et des processus pour geacuterer le processus de deacuteveloppement des applications
C C C A C R C
Creacuteer un plan drsquoassurance qualiteacute pour le projet I C R AR C
Suivre et geacuterer les exigences des applications R AR
Deacutevelopper un plan pour la maintenance des applications C C AR C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Deacuteterminer comment traduire les besoins fonctionnels des meacutetiers et de controcircle en solutions automatiseacutees efficaces et efficientes bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes
induit
induit
Meacutetriq
ues
bull Pourcentage de projets qui fournissent les modifications meacutetiers dans les deacutelais demandeacutes bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoune mauvaise conception ou drsquoun mauvais deacuteveloppement de lrsquoapplication bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies
bull Pourcentage de projets reacutealiseacutes dans les deacutelais et les coucircts bull Pourcentage defforts de deacuteveloppement consacreacutes agrave la maintenance des applications existantes bull Nb de problegravemes de production entraicircnant des peacuteriodes drsquoimproductiviteacute visibles bull Nb de deacutefauts rapporteacutes par mois (par point de fonction)
bull Pourcentage de projets drsquoapplications pour lesquels on a deacuteveloppeacute et exeacutecuteacute un plan drsquoassurance qualiteacute logicielle bull Pourcentage de projets drsquoapplications qui ont subi les revues approprieacutees et dont on a approuveacute la conformiteacute aux standards de deacuteveloppement bull Deacutelai de livraison moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code bull Effort de programmation moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code
Processus
bull Acqueacuterir et assurer la maintenance des applications qui satisfont les exigences des meacutetiers deacutefinies de faccedilon rentable bull Acqueacuterir et assurer la maintenance des applications en accord avec la strateacutegie et lrsquoarchitecture informatique bull Srsquoassurer que le processus de deacuteveloppement est rentable et respectueux des deacutelais
Activiteacutes
bull Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales bull Adopter les standards de deacuteveloppement pour toutes les modifications bull Eacutetablir les prioriteacutes des exigences en fonction de leur importance pour les meacutetiers bull Seacuteparer les activiteacutes de deacuteveloppement de tests et drsquoexploitation bull Tirer profit des investissements dans la technologie existante
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 79
Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI2 Acqueacuterir des applications et en assurer la maintenance
La gestion du processus Acqueacuterir des applications et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable est
0 Inexistante quand
Il nexiste pas de processus pour concevoir des applications et en faire le cahier des charges Typiquement on achegravete les applications en se basant sur les offres des fournisseurs la reacuteputation dune marque ou les habitudes des informaticiens sans beaucoup tenir compte des veacuteritables besoins
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute davoir un processus dacquisition et de maintenance des applications Les faccedilons drsquoacheter et drsquoassurer la maintenance de logiciels applicatifs varient drsquoun projet agrave lrsquoautre On a sans doute acheteacute de faccedilon indeacutependante quelques solutions individuelles pour reacutepondre agrave certaines exigences des meacutetiers ce qui peacutenalise lrsquoefficaciteacute de la maintenance et du support
2 Reproductible mais intuitive quand
Il existe des processus diffeacuterents mais similaires pour lrsquoachat et la maintenance drsquoapplications et on se fie agrave lrsquoexpertise de la fonction informatique Le taux de succegraves des applications deacutepend largement des compeacutetences internes et du niveau dexpeacuterience de lrsquoinformatique La maintenance est en geacuteneacuteral probleacutematique et sa qualiteacute se deacutegrade lorsque des personnels qui ont accumuleacute des connaissances speacutecifiques quittent lentreprise On nrsquoa que peu pris en compte la seacutecuriteacute et la disponibiliteacute dans la conception ou lrsquoacquisition des logiciels applicatifs
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de logiciels applicatifs Ce processus est aligneacute sur les strateacutegies SI et meacutetiers On srsquoefforce de mettre en œuvre des processus documenteacutes et coheacuterents pour diffeacuterentes applications et diffeacuterents projets Les meacutethodologies sont en geacuteneacuteral rigides et difficiles agrave appliquer agrave tous les cas si bien quil peut arriver qursquoon en neacuteglige certaines eacutetapes Les activiteacutes de maintenance sont planifieacutees et coordonneacutees
4 Geacutereacutee et mesurable quand
Il existe une meacutethodologie formelle et bien comprise qui comporte un processus de conception et de speacutecifications des critegraveres drsquoachat un processus de tests et des exigences de documentation On srsquoest mis drsquoaccord sur des meacutecanismes dapprobation formels et documenteacutes pour sassurer que toutes les eacutetapes sont respecteacutees et que les cas particuliers sont geacutereacutes Les pratiques et les proceacutedures ont eacutevolueacute pour bien srsquoadapter agrave lrsquoentreprise elles sont utiliseacutees par tout le personnel et reacutepondent agrave la plupart des exigences des applications
5 Optimiseacutee quand
Les pratiques dacquisition et de maintenance des applications sont conformes aux processus deacutefinis Lapproche est modulaire favorisant des applications preacutedeacutefinies standardiseacutees et adapteacutees aux besoins de lentreprise Cette approche concerne lrsquoensemble de lrsquoentreprise La meacutethodologie dacquisition et de maintenance est bien avanceacutee et permet des deacuteploiements rapides une forte reacuteactiviteacute ainsi que suffisamment de souplesse pour reacutepondre agrave des exigences meacutetiers eacutevolutives La meacutethodologie dacquisition et de mise en place des applications connaicirct des ameacuteliorations permanentes et sappuie sur des bases de connaissances internes et externes donnant accegraves agrave des documents de reacutefeacuterence et aux bonnes pratiques La meacutethodologie produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 80
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
DESCRIPTION DU PROCESSUS
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
Une entreprise dispose de processus pour lrsquoacquisition la mise en place et la mise agrave niveau de son infrastructure technique Cela exige une approche planifieacutee de lrsquoacquisition de la maintenance et de la protection de lrsquoinfrastructure en accord avec les strateacutegies technologiques adopteacutees et de disposer drsquoenvironnements de deacuteveloppement et de tests On est ainsi sucircr de disposer drsquoun support technique permanent pour les applications meacutetiers
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Acqueacuterir une infrastructure technique et en assurer la maintenance
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee
en se concentrant sur
la mise agrave disposition de plates-formes approprieacutees pour les applications meacutetiers en accord avec les standards informatiques et drsquoarchitecture technique deacutefinis
atteint son objectif en
bull eacutelaborant un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull planifiant la maintenance de lrsquoinfrastructure bull mettant en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
et est mesureacute par
bull le pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis
bull le nombre de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
bull le nombre de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 81
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
OBJECTIFS DE CONTROcircLE
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI31 Plan drsquoacquisition drsquoune infrastructure technique Eacutelaborer un plan drsquoacquisition de mise en place et de maintenance de lrsquoinfrastructure technique qui reacuteponde aux besoins fonctionnels et techniques deacutefinis des meacutetiers et qui soit en accord avec les orientations technologiques de lrsquoentreprise
AI32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute au cours de la configuration de lrsquointeacutegration et de la maintenance du mateacuteriel et des logiciels systegraveme pour proteacuteger les ressources et assurer la disponibiliteacute et lrsquointeacutegriteacute Il faut que ceux qui deacuteveloppent et integravegrent les composants drsquoinfrastructure deacutefinissent clairement les responsabiliteacutes drsquoutilisation des composants sensibles Leur utilisation doit ecirctre suivie et eacutevalueacutee
AI33 Maintenance de lrsquoinfrastructure Deacutevelopper une strateacutegie et un plan pour la maintenance de lrsquoinfrastructure et srsquoassurer que les modifications sont controcircleacutees conformeacutement agrave la proceacutedure de gestion des changements de lrsquoentreprise Inclure une reacutevision peacuteriodique en fonction des besoins des meacutetiers de la gestion des correctifs et des strateacutegies de mise agrave niveau et en fonction de lrsquoeacutevaluation de la vulneacuterabiliteacute et des exigences de seacutecuriteacute
AI34 Environnement de test de faisabiliteacute Mettre en place des environnements de deacuteveloppement et de test pour srsquoassurer drsquoune faisabiliteacute et de tests drsquointeacutegration des composants de lrsquoinfrastructure efficaces et efficients
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 82
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3
GUIDE DE MANAGEMENT
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
De Entreacutees
PO3 Plan drsquoinfrastructure technique standards et opportuniteacutes mises agrave niveau techniques reacuteguliegraveres
PO8 Standards drsquoacquisition et de deacuteveloppement
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI6 Changer lrsquointituleacute des processus
DS3 Plan performance et capaciteacute (exigences)
Sorties Vers Deacutecisions drsquoacquisition AI5 Systegraveme configureacute agrave testerinstaller AI7 Exigences de lrsquoenvironnement physique DS12 Mises agrave jour des standards techniques PO3 Exigences de surveillance des systegravemes DS3 Connaissance de lrsquoinfrastructure AI4 CE preacutevus initialement DS1
Deacutefinir les proceacuteduresprocessus drsquoacquisition C A C C C R I
Examiner les besoins dinfrastructure avec les fournisseurs (agreacuteeacutes) CI A I R C C R I
Deacutefinir la strateacutegie et planifier la maintenance pour lrsquoinfrastructure A R R R C
Configurer les composants de lrsquoinfrastructure A R C I
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Donner de lrsquoagiliteacute agrave lrsquoinformatique
deacutefinit deacutefinit
induit
induit
bull Pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis bull Nb de plates-formes techniques par fonction dans lrsquoentreprise bull Pourcentage de composants drsquoinfrastructure acheteacutes en dehors du processus drsquoacquisition bull Nb de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct
bull Nb et type de modifications drsquourgence aux composants de lrsquoinfrastructure bull Nb de demandes drsquoacquisition exceptionnelles bull Dureacutee moyenne pour configurer les composants drsquoinfrastructure
Meacutetriq
ues
bull Nb de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre
Processus
bull Fournir les plates-formes approprieacutees aux applications meacutetiers conformes agrave lrsquoarchitecture technique deacutefinie et aux standards techniques bull Fournir une infrastructure technique fiable et seacutecuriseacutee
Activiteacutes
bull Eacutelaborer un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull Planifier la maintenance de lrsquoinfrastructure bull Fournir lrsquoinfrastructure drsquoenvironnement de deacuteveloppement et de test bull Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 83
Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
MODEgraveLE DE MATURITEacute
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
La gestion du processus Acqueacuterir une infrastructure technique et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agraveshyvis de lrsquoinformatique acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee est
0 Inexistante quand
On ne considegravere pas lrsquoinfrastructure technique comme une question suffisamment importante pour sen occuper
1 Initialiseacutee au cas par cas quand
On modifie linfrastructure pour chaque nouvelle application sans avoir de plan geacuteneacuteral Bien que lon ait conscience de limportance de linfrastructure technique il ny a pas dapproche globale coheacuterente Les activiteacutes de maintenance reacuteagissent aux besoins agrave court terme Lrsquoenvironnement de test est lrsquoenvironnement de production
2 Reproductible mais intuitive quand
Il y a une certaine coheacuterence dans les approches tactiques lors de lrsquoacquisition et de la maintenance drsquoune infrastructure technique Lrsquoacquisition et la maintenance drsquoune infrastructure technique ne sont pas baseacutees sur une strateacutegie deacutefinie et ne prennent pas en compte les besoins des applications meacutetiers qursquoil srsquoagit de supporter On comprend que lrsquoinfrastructure technique est importante et certaines pratiques formelles en tiennent compte On planifie une certaine maintenance mais incomplegravetement et sans coordination Dans certains cas de figure il existe un environnement de test speacutecifique
3 Deacutefinie quand
Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de lrsquoinfrastructure technique Ce processus reacutepond aux besoins des applications critiques de lentreprise et il est caleacute sur la strateacutegie des meacutetiers et sur la strateacutegie des SI mais il nrsquoest pas constamment mis en œuvre La maintenance est planifieacutee et coordonneacutee Les environnements de test et de production sont seacutepareacutes
4 Geacutereacutee et mesurable quand
Le processus dacquisition et de maintenance de linfrastructure technique sest deacuteveloppeacute au point de bien fonctionner dans la plupart des situations decirctre mis en œuvre avec constance et decirctre reacuteutilisable Lrsquoinfrastructure technique supporte comme il convient les applications meacutetiers Le processus est agrave la fois bien structureacute et proactif Le coucirct en temps et en argent pour atteindre le niveau souhaitable deacutevolutiviteacute compatibiliteacute souplesse et inteacutegration est partiellement optimiseacute
5 Optimiseacutee quand
Le processus dacquisition et de maintenance de linfrastructure technique est proactif et parfaitement aligneacute sur les applications meacutetiers cleacutes et sur lrsquoarchitecture technique On applique les bonnes pratiques pour ce qui est des solutions technologiques et lrsquoentreprise est au courant des derniers deacuteveloppements en matiegravere de plates-formes et drsquooutils de gestion On reacuteduit les coucircts par la rationalisation et la standardisation des composants drsquoinfrastructure et par lautomatisation Gracircce agrave un haut niveau de veille technologique on sait trouver les meilleurs moyens danticiper pour ameacuteliorer les performances y compris en externalisant Linfrastructure mateacuterielle et logicielle est vue comme le facteur essentiel pour geacuteneacuteraliser lutilisation de linformatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 84
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SS S S
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
DESCRIPTION DU PROCESSUS
AI4 Faciliter le fonctionnement et lrsquoutilisation
Les connaissances sur les nouveaux systegravemes sont rendues disponibles Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour lrsquoinformatique et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de lrsquoinfrastructure
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S S
Le controcircle du processus informatique
Surveiller et Evaluer
Faciliter le fonctionnement et lrsquoutilisation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers
en se concentrant sur
la fourniture de manuels utilisateurs de manuels opeacuterationnels et de supports de formation efficaces pour transfeacuterer la connaissance neacutecessaire au bon fonctionnement et agrave la bonne utilisation des systegravemes
atteint son objectif en
bull deacuteveloppant la documentation de transfert des connaissances et en la rendant disponible bull communiquant en direction des utilisateurs et des directions des meacutetiers du personnel en charge du
support et de la production et en les formant bull produisant des supports de formation
et est mesureacute par
bull le nombre dapplications ougrave des proceacutedures informatiseacutees sont inteacutegreacutees progressivement dans les processus meacutetiers
bull le pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents de support
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
bull le nombre dapplications pour lesquelles les utilisateurs et les agents du support beacuteneacuteficient dune formation adeacutequate
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 85
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
OBJECTIFS DE CONTROcircLE
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI41 Planification pour rendre les solutions exploitables Deacutevelopper un plan pour identifier et documenter tous les aspects techniques drsquoexploitation et drsquoutilisation de faccedilon agrave ce que tous ceux qui doivent exploiter utiliser et maintenir les solutions automatiseacutees puissent exercer leurs responsabiliteacutes
AI42 Transfert de connaissances aux meacutetiers Transfeacuterer les connaissances aux responsables des meacutetiers pour permettre agrave cette population drsquoassumer la proprieacuteteacute des systegravemes et des donneacutees et drsquoexercer la responsabiliteacute de la livraison de services et de la qualiteacute du controcircle interne et de lrsquoadministration des applications
AI43 Transfert de connaissances aux utilisateurs finaux Transfeacuterer les connaissances et le savoir-faire aux utilisateurs finaux pour leur permettre drsquoutiliser les applications avec efficaciteacute et efficience au beacuteneacutefice des processus meacutetiers
AI44 Transfert de connaissances aux eacutequipes drsquoexploitation et de support Transfeacuterer les connaissances et le savoir-faire aux eacutequipes drsquoexploitation et de support technique pour leur permettre de travailler de fournir lrsquoassistance et drsquoassurer la maintenance du systegraveme et de lrsquoinfrastructure associeacutee avec efficaciteacute et efficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 86
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Equipe de deacuteploiem
ent
Service formation
Equipe de deacuteploiem
ent
Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4
GUIDE DE MANAGEMENT
AI4 Faciliter le fonctionnement et lrsquoutilisation
De Entreacutees PO10 Principes geacuteneacuteraux gestion de projets et plans
projets deacutetailleacutes AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2 Connaissance de lrsquoapplication et de la suite logicielle
AI3 Connaissance de lrsquoinfrastructure
AI7 Erreurs connues et accepteacutees
DS7 Mises agrave jour de la documentation requise
Sorties Vers Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 DS4 DS8 DS9 DS11 DS13
Exigences de transfert de connaissances pour la mise en place dune solution
DS7
Supports de formation DS7
Deacutevelopper une strateacutegie pour rendre la solution exploitable A A R R I R C
Deacutevelopper une meacutethodologie de transfert de connaissances C A C R
Deacutevelopper des manuels de proceacutedure pour les utilisateurs finaux AR R C C
Deacutevelopper de la documentation de support technique pour le personnel de lrsquoexploitation et du support AR C C
Deacutevelopper et fournir la formation A A R R
Eacutevaluer les reacutesultats de la formation et ameacuteliorer la documentation lorsque crsquoest neacutecessaire A A R R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Equipe
dedeacuteploiem
ent
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Inteacutegrer progressivement des solutions informatiques aux processus meacutetiers bull Reacuteduire le nombre de deacutefauts et de remise en chantier de la fourniture de solutions et de services
deacutefinit deacutefinit
bull Deacutevelopper la documentation de transfert des connaissances et la rendre disponible bull Communiquer en direction des utilisateurs et des directions meacutetiers du personnel du support et du personnel drsquoexploitation et les former bull Produire des supports de formation
induit
induit
Meacutetriq
ues
bull Nb dapplications ougrave des proceacutedures informatiseacutees ont eacuteteacute progressivement inteacutegreacutees aux processus meacutetiers bull Pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents drsquoassistance
bull Nb drsquoincidents causeacutes par une documentation et une formation utilisateur et drsquoexploitation deacuteficientes bull Nb de seacuteances de formation faites par le service de support bull Indices de satisfaction concernant la formation et la documentation des proceacutedures utilisateurs et drsquoexploitation bull Coucirct reacuteduit de production et de maintenance de la documentation utilisateur des proceacutedures drsquoexploitation et des supports de formation
bull Taux de participation des utilisateurs et des exploitants aux formations pour chaque application bull Deacutelai entre les changements et les mises agrave jour de la formation des manuels de proceacutedure et de la documentation bull Disponibiliteacute exhaustiviteacute et exactitude de la documentation des utilisateurs et des exploitants bull Nb drsquoapplications qui beacuteneacuteficient de formationssupport destineacutes aux utilisateurs et aux exploitants
Processus
bull Fournir des manuels utilisateurs et drsquoexploitation et des supports de formation efficaces pour les applications et les solutions techniques bull Transfeacuterer les connaissances neacutecessaires au succegraves de lrsquoexploitation du systegraveme
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 87
Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation
MODEgraveLE DE MATURITEacute
AI4 Faciliter le fonctionnement et lrsquoutilisation
La gestion du processus Faciliter le fonctionnement et lrsquoutilisation qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers est
0 Inexistante quand
Il nexiste pas de processus de production de la documentation utilisateurs des manuels dexploitation ni des supports de formation Les seuls documents existants sont ceux qui sont fournis avec les produits acheteacutes
1 Initialiseacutee au cas par cas quand
On est conscient de la neacutecessiteacute de documenter les processus On produit certaines documentations et on les distribue irreacuteguliegraverement agrave des groupes limiteacutes Une grande partie de la documentation et de nombreuses proceacutedures sont peacuterimeacutees Les supports de formation ont tendance agrave ecirctre agrave usage unique et leur qualiteacute est inconstante Il nrsquoy a pratiquement aucune inteacutegration des proceacutedures dans les diffeacuterents services systegravemes et meacutetiers Les services meacutetiers ne sont pas impliqueacutes dans la conception des programmes de formation
2 Reproductible mais intuitive quand
On utilise des approches similaires pour produire des proceacutedures et de la documentation mais sans srsquoappuyer sur un reacutefeacuterentiel ou sur une meacutethodologie Les approches du deacuteveloppement des proceacutedures utilisateur ou drsquoexploitation ne sont pas uniformiseacutees Les supports de formation sont faits par des individus ou par des eacutequipes de projet et la qualiteacute deacutepend des personnes impliqueacutees Les proceacutedures et la qualiteacute du support aux utilisateurs varient de meacutediocres agrave tregraves bonnes lensemble eacutetant inconstant et le niveau dinteacutegration dans lrsquoentreprise tregraves faible On fournit ou on encourage les programmes de formation pour les utilisateurs et les meacutetiers mais il nrsquoexiste pas de plan geacuteneacuteral de fourniture ou de deacuteploiement de formations
3 Deacutefinie quand
Il existe un cadre clairement deacutefini accepteacute et compris pour ce qui concerne la documentation utilisateurs les manuels dexploitation et les supports de formation Les proceacutedures sont stockeacutees et mises agrave jour dans une bibliothegraveque officielle et sont accessibles par tous ceux qui en ont besoin La documentation et les proceacutedures sont corrigeacutees en fonction des besoins Il existe des versions de sauvegarde des proceacutedures que lon peut mettre agrave jour et auxquelles on peut acceacuteder en cas de sinistre Il existe un processus qui speacutecifie que les mises agrave jour des proceacutedures et des supports de formation font partie des livrables dun projet de changement Malgreacute lexistence dapproches deacutefinies le contenu reacuteel varie parce quon ne controcircle pas la conformiteacute avec les standards Les utilisateurs sont impliqueacutes dans le processus de maniegravere informelle On automatise de plus en plus la geacuteneacuteration et la distribution des proceacutedures La formation des utilisateurs et des meacutetiers est planifieacutee et programmeacutee
4 Geacutereacutee et mesurable quand
Il existe un cadre deacutefini pour la maintenance des proceacutedures et les supports de formation qui a le soutien du management de lrsquoinformatique Lrsquoapproche adopteacutee pour la maintenance des proceacutedures et pour les manuels de formation concerne tous les systegravemes et toutes les services si bien qursquoon peut consideacuterer les processus dans une perspective meacutetier Les manuels de proceacutedures et les supports de formation sont inteacutegreacutes de faccedilon agrave inclure les eacuteleacutements communs et les interfaces Il existe des controcircles pour sassurer quon applique les standards et quon deacuteveloppe des proceacutedures quon assure leur maintenance pour tous les processus On collecte les informations en provenance des utilisateurs et des meacutetiers et on les eacutevalue comme eacuteleacutements drsquoun processus drsquoameacutelioration continue La documentation et les supports de formation ont en geacuteneacuteral un bon niveau de fiabiliteacute et de disponibiliteacute On a mis en place un nouveau processus dutilisation de la documentation et de gestion des proceacutedures informatiseacutees Le deacuteveloppement de proceacutedures informatiseacutees est de plus en plus inteacutegreacute au deacuteveloppement dapplications ce qui ameacuteliore la coheacuterence et facilite laccegraves des utilisateurs La formation des meacutetiers et des utilisateurs srsquoadapte aux besoins des meacutetiers Le management de lrsquoinformatique eacutelabore des outils pour mesurer le deacuteveloppement et la fourniture de documentation de supports et de programmes de formation
5 Optimiseacutee quand
Le processus de documentation destineacutee aux utilisateurs et exploitants sameacuteliore constamment gracircce agrave ladoption de nouveaux outils et de nouvelles meacutethodes La documentation des proceacutedures et les supports de formation sont traiteacutes comme une base de connaissances en constante eacutevolution qui est tenue agrave jour au moyen des outils de gestion des connaissances de workflow et de diffusion les plus modernes ce qui en facilite laccessibiliteacute et la maintenance La documentation et les supports de formation sont mis agrave jour pour tenir compte des changements dans lrsquoentreprise dans lrsquoexploitation et dans les logiciels Le deacuteveloppement de documentation et de supports de formation ainsi que la fourniture de programmes de formation sont pleinement inteacutegreacutes aux meacutetiers et aux deacutefinitions des processus meacutetiers satisfaisant ainsi aux exigences geacuteneacuterales de lrsquoentreprise et non plus seulement aux proceacutedures informatiseacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 88
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
S P SAcqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
DESCRIPTION DU PROCESSUS
AI5 Acqueacuterir des ressources informatiques
On a besoin drsquoacqueacuterir des ressources informatiques Elles comprennent les personnes le mateacuteriel le logiciel et les services Cela exige de deacutefinir et drsquoappliquer des proceacutedures de recrutement et drsquoachat la seacutelection des fournisseurs lrsquoeacutetablissement drsquoarrangements contractuels et lrsquoacte lui-mecircme de se procurer ces ressources Crsquoest ainsi qursquoon peut assurer agrave lrsquoentreprise toutes les ressources informatiques requises au bon moment et au meilleur coucirct
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiabilit
eacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
S P S Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Le controcircle du processus informatique
Acqueacuterir des ressources informatiques
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
en se concentrant sur
le recrutement et la conservation des compeacutetences informatiques qui correspondent agrave la strateacutegie de fourniture de services lrsquoacquisition drsquoune infrastructure informatique inteacutegreacutee et standardiseacutee et la reacuteduction des risques lieacutes aux achats informatiques
atteint son objectif en
bull se faisant conseiller sur les aspects juridiques et contractuels bull deacutefinissant des proceacutedures et des standards drsquoachat bull se procurant les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
et est mesureacute par
bull le nombre de contestations lieacutees aux contrats drsquoachat bull la reacuteduction des coucircts drsquoachat bull le pourcentage des parties prenantes cleacutes satisfaites des fournisseurs
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 89
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
OBJECTIFS DE CONTROcircLE
AI5 Acqueacuterir des ressources informatiques
AI51 Controcircle des achats Deacutevelopper et suivre un ensemble de proceacutedures et de standards conformes au processus geacuteneacuteral et agrave la strateacutegie drsquoacquisition de lrsquoentreprise pour acheter lrsquoinfrastructure informatique les installations les mateacuteriels logiciels et services dont les meacutetiers ont besoin
AI52 Gestion des contrats fournisseurs Mettre en place pour tous les fournisseurs une proceacutedure pour eacutetablir modifier et mettre un terme aux contrats Cette proceacutedure doit recouvrir au minimum les responsabiliteacutes leacutegales financiegraveres et civiles ainsi que celles qui sont lieacutees agrave la documentation agrave la performance agrave la seacutecuriteacute agrave la proprieacuteteacute intellectuelle et agrave la reacutesiliation (y compris les clauses peacutenales) Tous les contrats doivent ecirctre examineacutes par des conseillers juridiques ainsi que toutes les modifications
AI53 Choix des fournisseurs Choisir les fournisseurs selon une pratique loyale et formelle pour garantir la meilleure adaptation durable aux exigences formuleacutees Ces exigences doivent ecirctre optimiseacutees en fonction de propositions de fournisseurs potentiels
AI54 Acquisition de ressources informatiques Veiller agrave la protection et au respect des inteacuterecircts de lrsquoentreprise dans tous les accords contractuels drsquoacquisition en incluant les droits et obligations de toutes les parties dans les clauses contractuelles drsquoacquisition de logiciels de ressources de deacuteveloppement drsquoinfrastructures et de services
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 90
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5
GUIDE DE MANAGEMENT
AI5 Acqueacuterir des ressources informatiques
De Entreacutees PO1 Strateacutegie drsquoachats informatiques PO8 Standards drsquoacquisition
PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes
AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers
AI2shy3 Deacutecisions drsquoacquisition
DS2 Catalogue fournisseurs
Sorties Vers Exigences gestion des relations avec les tiers DS2 Articles acheteacutes AI7 Accords contractuels DS2
Deacutevelopper des politiques et des proceacutedures drsquoacquisition informatique conformes aux politiques drsquoacquisition de lrsquoentreprise
I C A I I I R C
Eacutetablirtenir agrave jour une liste de fournisseurs accreacutediteacutes AR
Eacutevaluer et seacutelectionner les fournisseurs selon un processus de demande de proposition (devis) C C A R R R R C
Reacutediger des contrats qui protegravegent les inteacuterecircts de lrsquoentreprise R C A R R R C
Respecter les proceacutedures drsquoacquisition eacutetablies A R R R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Acqueacuterir des applications informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Ameacuteliorer des infrastructures informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Se procurer et conserver les compeacutetences informatiques neacutecessaires agrave la mise en oeuvre de la strateacutegie informatique
deacutefinit
bull Reacuteduire les risques lieacutes aux achats informatiques bull En obtenir pour son argent dans les achats informatiques
deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de contestations lieacutees aux contrats de recrutement ou drsquoacquisition bull Reacuteduction en montant des coucircts drsquoachat bull Pourcentage de principales parties prenantes satisfaites des prestations des fournisseurs
bull Pourcentage drsquoexigences initiales satisfaites par la solution choisie bull Pourcentage drsquoachats conformes aux politiques et proceacutedures drsquoacquisition en cours bull Coucircts reacuteduits des biens ou des services acquis
bull Deacutelai entre la demande de proposition et la signature du contrat ou lrsquoachat bull Nb de demandes de proposition satisfaites par la liste des fournisseurs preacutefeacutereacutes bull Nb de demandes de propositions qui avaient besoin drsquoecirctre ameacutelioreacutees drsquoapregraves les reacuteponses des fournisseurs bull Nb de demandes de propositions qui ont abouti dans les deacutelais bull Nb de changements de fournisseurs pour le mecircme type de biens ou de services fournis bull Nb de reacuteponses aux demandes de proposition
Activiteacutes
bull Se faire conseiller sur les aspects juridiques et contractuels bull Deacutefinir des proceacutedures et des standards de recrutement et drsquoacquisition bull Se procurer les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 91
Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques
MODEgraveLE DE MATURITEacute
AI5 Acqueacuterir des ressources informatiques
La gestion du processus Acqueacuterir des ressources informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise est
0 Inexistante quand
On nrsquoa pas mis en place un processus deacutefini drsquoacquisition de ressources Lrsquoentreprise ne reconnaicirct pas la neacutecessiteacute de politiques et de proceacutedures claires pour srsquoassurer que toutes les ressources informatiques soient acquises au bon moment et dans de bonnes conditions eacuteconomiques
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct la neacutecessiteacute drsquoavoir des proceacutedures et des politiques qui lient les acquisitions informatiques au processus geacuteneacuteral drsquoacquisition Les contrats drsquoacquisition de ressources informatiques sont reacutedigeacutes et geacutereacutes par des directeurs de projets et drsquoautres personnes qui exercent leur jugement professionnel au lieu drsquoecirctre le reacutesultat de proceacutedures et de politiques formelles La relation entre les processus de gestion des achats et des contrats de lrsquoentreprise drsquoune part et lrsquoinformatique drsquoautre part nrsquoexiste qursquoau cas par cas Les contrats drsquoachats sont geacutereacutes au moment de la conclusion des projets au lieu de lrsquoecirctre de faccedilon continue
2 Reproductible mais intuitive quand
On est conscient au niveau de lrsquoentreprise du besoin drsquoavoir des politiques et des proceacutedures de base pour les acquisitions informatiques Les politiques et les proceacutedures sont partiellement inteacutegreacutees au processus global drsquoacquisition de lrsquoentreprise Les processus drsquoachats sont essentiellement utiliseacutes pour les projets importants agrave grande visibiliteacute Crsquoest lrsquoexpeacuterience individuelle du gestionnaire de contrats qui permet de deacutefinir les responsabiliteacutes opeacuterationnelles et finales des achats informatiques et de la gestion des contrats On reconnaicirct lrsquoimportance de la gestion des fournisseurs et de la gestion des relations mais elles ne sont mises en œuvre que sur des initiatives individuelles Les processus de passation de contrats sont essentiellement utiliseacutes pour les projets importants ou agrave grande visibiliteacute
3 Deacutefinie quand
Le management met en place des politiques et des proceacutedures pour les achats informatiques Les politiques et les proceacutedures sont inspireacutees par le processus global drsquoacquisition de lrsquoentreprise Les achats informatiques sont largement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Il existe des standards pour lrsquoacquisition de ressources informatiques Les fournisseurs de ressources informatiques sont inteacutegreacutes aux meacutecanismes de gestion de projets de lrsquoentreprise en ce qui concerne la gestion des contrats Le management de lrsquoinformatique communique agrave lrsquoensemble du service le besoin drsquoune bonne gestion des achats et des contrats
4 Geacutereacutee et mesurable quand
Les achats informatiques sont totalement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Les standards drsquoachat des ressources informatiques sont utiliseacutes pour toutes les acquisitions On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On dispose de rapports sur les achats informatiques qui prennent en compte les objectifs des meacutetiers Le management est en geacuteneacuteral au courant des exceptions aux politiques et aux proceacutedures drsquoacquisition informatique La gestion strateacutegique des relations se deacuteveloppe Le management de lrsquoinformatique fait appliquer le processus de gestion de contrats et drsquoacquisitions pour tous les achats en analysant les mesures de performance
5 Optimiseacutee quand
Le management eacutetablit des processus complets pour les achats informatiques et il fournit les ressources neacutecessaires Le management impose la conformiteacute avec les politiques et les proceacutedures pour les acquisitions informatiques On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On a eacutetabli au fil du temps de bonnes relations avec la plupart des fournisseurs et partenaires et on mesure et on surveille la qualiteacute de ces relations Les relations font lrsquoobjet drsquoune gestion strateacutegique Les standards informatiques les politiques et les proceacutedures pour lrsquoacquisition de ressources informatiques sont geacutereacutes de faccedilon strateacutegique et reacuteagissent aux mesures effectueacutees au cours du processus Le management de lrsquoinformatique communique agrave lrsquoensemble du service lrsquoimportance strateacutegique drsquoune bonne gestion des achats et des contrats
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 92
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
PP SPP
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
DESCRIPTION DU PROCESSUS
AI6 Geacuterer les changements
Tous les changements y compris la maintenance et les correctifs drsquourgence concernant lrsquoinfrastructure et les applications de lrsquoenvironnement de production sont geacutereacutes et controcircleacutes de faccedilon formelle Les changements (y compris ceux relatifs aux proceacutedures processus paramegravetres systegravemes et services) sont enregistreacutes dans un fichier eacutevalueacutes et autoriseacutes avant mise en place et confronteacutes aux reacutesultats attendus degraves leur mise en œuvre Cela reacuteduit les risques de conseacutequences neacutegatives pour la stabiliteacute ou lrsquointeacutegriteacute de lrsquoenvironnement de production
Le controcircle du processus informatique
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SPP
Geacuterer les changements
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises
en se concentrant sur
le controcircle de lrsquoeacutevaluation des conseacutequences de lrsquoautorisation et de la mise en place de toutes les modifications de lrsquoinfrastructure informatique des applications et des solutions techniques la reacuteduction des erreurs dues agrave des speacutecifications insuffisantes et lrsquointerruption de modifications non autoriseacutees
atteint son objectif en
bull deacutefinissant et en communiquant les proceacutedures de changement y compris pour les modifications drsquourgence
bull eacutevaluant les changements deacutefinissant leurs prioriteacutes et en les autorisant bull faisant un suivi des changements et en en rendant compte
et est mesureacute par
bull le nombre de perturbations ou de donneacutees erroneacutees provoqueacutees par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
bull un travail suppleacutementaire sur les applications ou sur lrsquoinfrastructure du fait de speacutecifications inadeacutequates des modifications
bull le pourcentage de changements qui suivent le processus formel de controcircle des changements
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 93
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
OBJECTIFS DE CONTROcircLE
AI6 Geacuterer les changements
AI61 Standards et proceacutedures de changement Mettre en place des proceacutedures formelles de gestion des changements pour traiter de faccedilon standardiseacutee toutes les demandes de modifications (y compris maintenance et correctifs) des applications proceacutedures processus paramegravetres systegravemes et services ainsi qursquoaux plates-formes sur lesquelles ils srsquoappuient
AI62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation Eacutevaluer toutes les demandes de changements de faccedilon structureacutee en terme drsquoimpacts sur le systegraveme en exploitation et sur ses fonctionnaliteacutes Srsquoassurer que les changements sont classeacutes par cateacutegorie par prioriteacute et sont autoriseacutes
AI63 Modifications durgence Mettre en place un processus pour deacutefinir reacutealiser tester documenter eacutevaluer et autoriser les modifications drsquourgence qui ne suivent pas le processus de changement eacutetabli
AI64 Suivi et compte-rendu des changements Mettre en place un systegraveme de suivi et de reporting pour documenter les changements refuseacutes et communiquer sur la situation des changements approuveacutes en cours et acheveacutes Srsquoassurer que les changements approuveacutes sont mis en œuvre comme planifieacutes
AI65 Clocircture et documentation des changements A chaque mise en œuvre de changement mettre agrave jour les systegravemes associeacutes la documentation utilisateur et les proceacutedures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 94
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Geacuterer les changements AI6
GUIDE DE MANAGEMENT
AI6 Geacuterer les changements
De Entreacutees PO1 Portefeuille de projets informatiques PO8 Actions pour lrsquoameacutelioration de la qualiteacute
PO9 Plans drsquoactions pour remeacutedier aux risques informatiques
PO10 Principes geacuteneacuteraux de gestion de projets et plans de projets deacutetailleacutes
DS3 Changements demandeacutes
DS5 Changements de seacutecuriteacute demandeacutes
DS8 Demande de servicedemande de changement
DS9shy10 Demande de changement (ougrave et comment faire la modification)
DS10 Historique des problegravemes
Sorties Vers Modifier la description du processus AI1hellipAI3 Modifier le rapport sur le statut SE1 Modifier lrsquoautorisation AI7 DS8 DS10
Deacutevelopper et mettre en place un processus pour enregistrer et eacutevaluer les demandes de changements et les classer par prioriteacutes
A I R C R C C C
Eacutevaluer lrsquoimpact des changements et deacutefinir leur prioriteacute en fonction des besoins des meacutetiers I R AR C R C R C
Srsquoassurer que toute modification drsquourgence ou critique suit le processus approuveacute I I AR I R C
Autoriser les changements I C AR R
Geacuterer et diffuser les informations utiles concernant les modifications A I R C R I R C
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Reacuteduire les deacutefauts et les reprises touchant agrave la fourniture de solutions et de services bull Srsquoassurer qursquoun incident ou un changement dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
induit
induit
bull Nombre de reprises dues agrave des speacutecifications inadeacutequates de changements bull Diminution du temps et des efforts neacutecessaires pour effectuer les changements bull Pourcentage du total des changements qui sont des correctifs drsquourgence bull Pourcentage drsquoeacutechec des changements drsquoinfrastructure du fait de speacutecifications de changement inadeacutequates bull Nb de changements non formellement suivis non autoriseacutes ou sans compte-rendu bull Nb de demandes de changements encore non traiteacutees
bull Pourcentage de changements enregistreacutes et suivis par des outils automatiseacutes bull Pourcentage de changements respectant le processus formel de controcircle des changements bull Ratio demandes de changements accepteacuteesrefuseacutees bull Nb de versions diffeacuterentes de chaque application ou infrastructure meacutetiers maintenues bull Nb et type de modifications drsquourgence apporteacutees aux composants de lrsquoinfrastructure bull Nb et type de correctifs apporteacutes aux composants de lrsquoinfrastructure
Processus
bull Appliquer les changements autoriseacutes agrave lrsquoinfrastructure et aux applications informatiques bull Eacutevaluer lrsquoimpact des changements de lrsquoinfrastructure et des applications informatiques ainsi que des solutions techniques bull Suivre le statut des changements et en rendre compte aux parties prenantes cleacutes bull Reacuteduire le nombre drsquoerreurs dues agrave des speacutecifications incomplegravetes dans les demandes
Activiteacutes
bull Deacutefinir et communiquer les proceacutedures de changement y compris les modifications et les correctifs drsquourgence bull Eacutevaluer les changements deacutefinir leurs prioriteacutes et les autoriser bull Programmer les changements bull Faire un suivi des changements et en rendre compte
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de perturbations ou de donneacutees erroneacutees provoqueacutes par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 95
Acqueacuterir et Impleacutementer AI6 Geacuterer les changements
MODEgraveLE DE MATURITEacute
AI6 Geacuterer les changements
La gestion du processus Geacuterer les changements qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises est
0 Inexistante quand
Il nexiste pas de processus deacutefini de gestion des changements et les changements peuvent ecirctre faits pratiquement en dehors de tout controcircle On na pas conscience que les changements peuvent perturber le fonctionnement de linformatique et celui de lentreprise et on nest pas conscient non plus des beacuteneacutefices quapporterait une bonne gestion des changements
1 Initialiseacutee au cas par cas quand
On reconnaicirct qursquoil faudrait geacuterer et controcircler les changements Les pratiques varient et il est probable que des changements non autoriseacutes ont lieu La documentation des changements est pauvre ou absente et celle de la configuration est incomplegravete et peu fiable Des erreurs se produisent vraisemblablement ainsi que des interruptions dans lenvironnement de production du fait dune mauvaise gestion des changements
2 Reproductible mais intuitive quand
Il existe un processus informel de gestion des changements et la plupart des changements le suivent Il est cependant mal structureacute rudimentaire et sujet agrave erreurs La documentation de la configuration nest pas preacutecise et avant un changement on se contente dune planification et dune eacutevaluation de limpact limiteacutees
3 Deacutefinie quand
Il existe un processus deacutefini et formel de gestion des changements qui comporte leur reacutepartition par cateacutegories et par prioriteacutes les proceacutedures drsquourgence les autorisations de changements et la gestion de leur diffusion et on srsquoy conforme peu agrave peu On improvise des solutions et les processus sont souvent court-circuiteacutes Des erreurs peuvent toujours se produire et de temps en temps des changements sont pratiqueacutes sans autorisation On commence agrave formaliser lanalyse de limpact des changements informatiques sur les activiteacutes meacutetiers pour soutenir le deacuteploiement programmeacute de nouvelles applications et technologies
4 Geacutereacutee et mesurable quand
Le processus de gestion des changements est bien deacuteveloppeacute et suivi avec constance dans tous les cas Le management est convaincu quil ny a qursquoun minimum dexceptions Le processus est efficace et efficient mais sappuie sur de nombreuses proceacutedures et controcircles manuels pour garantir le niveau de qualiteacute Tous les changements sont assujettis agrave une planification complegravete et agrave une eacutevaluation dimpact de faccedilon agrave minimiser la probabiliteacute de problegravemes apregraves la mise en production On a mis en place un processus dapprobation des changements La documentation de la gestion des changements est bien faite et agrave jour les changements eacutetant formellement suivis de pregraves La documentation de la configuration est en geacuteneacuteral preacutecise La planification et la mise en place de la gestion des changements informatiques sont de plus en plus inteacutegreacutees aux eacutevolutions des processus meacutetiers de maniegravere agrave sassurer que les questions concernant la formation les changements organisationnels et la continuiteacute de lactiviteacute sont bien prises en compte Il y a une coordination accrue entre la gestion des changements informatiques et la redeacutefinition des processus meacutetiers Il existe un processus continu de surveillance de la qualiteacute et de la performance du processus de gestion des changements
5 Optimiseacutee quand
Le processus de gestion des changements est reacuteguliegraverement reacuteviseacute et mis agrave jour pour rester au niveau des bonnes pratiques Le processus de revue est le reflet des reacutesultats de la surveillance Linformation sur la configuration est informatiseacutee et permet de controcircler les diffeacuterentes versions Le suivi des changements est eacutelaboreacute et comporte des outils de deacutetection des logiciels non autoriseacutes etou sans licence La gestion des changements informatiques est inteacutegreacutee agrave la gestion des changements meacutetiers pour srsquoassurer que lrsquoinformatique apporte un plus en productiviteacute et en nouvelles opportuniteacutes meacutetiers pour lrsquoentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 96
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Surveiller et Evaluer
P SSS
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7 DESCRIPTION DU PROCESSUS
AI7 Installer et valider les solutions et les modifications
Il faut mettre en exploitation les nouveaux systegravemes lorsque la phase de deacuteveloppement est acheveacutee Cela exige drsquoeffectuer les bons tests sur les donneacutees dans un environnement deacutedieacute de deacutefinir les instructions de deacuteploiement et de migration un planning de livraison et la mise en production proprement dite et des revues apregraves mise en place Cela garantit que les systegravemes opeacuterationnels sont en phase avec les attentes et les reacutesultats rechercheacutes
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P SSS
Le controcircle du processus informatique
Installer et valider les solutions et les modifications
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique
mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation
en se concentrant sur
la veacuterification que les applications et lrsquoinfrastructure sont approprieacutees agrave lrsquoobjectif proposeacute et libres drsquoerreurs et sur la planification de la mise en production des versions
atteint son objectif en
bull mettant en place une meacutethodologie de tests bull travaillant sur un planning des versions bull faisant eacutevaluer et approuver les reacutesultats de tests par le management bull effectuant des revues apregraves la mise en œuvre
et est mesureacute par
bull le nombre drsquoapplications indisponibles et de correctifs apporteacutes du fait de tests inapproprieacutes
bull le pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull le pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 97
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
OBJECTIFS DE CONTROcircLE
AI7 Installer et valider les solutions et les modifications
AI71 Formation Former le personnel des services utilisateurs concerneacutes et leacutequipe de production informatique conformeacutement au plan de formation deacutefini et aux supports associeacutes cette eacutetape doit faire partie inteacutegrante de tous les projets de deacuteveloppement de mise en place ou de modification des systegravemes dinformation
AI72 Plan de tests Eacutelaborer un plan de tests baseacute sur des standards de lrsquoentreprise deacutefinissant les rocircles les responsabiliteacutes et les critegraveres drsquoentreacutee et de sortie Srsquoassurer que le plan est approuveacute par les parties concerneacutees
AI73 Plan drsquoimpleacutementation Eacutelaborer un plan drsquoimpleacutementation de repli ou de retour en arriegravere Obtenir lrsquoapprobation des parties concerneacutees
AI74 Environnement de tests Deacutefinir et mettre en place un environnement seacutepareacute de tests seacutecuriseacute et repreacutesentatif de lrsquoenvironnement de production preacutevu sur le plan de la seacutecuriteacute des controcircles internes des pratiques drsquoexploitation de la qualiteacute des donneacutees des exigences lieacutees agrave la protection des donneacutees personnelles et de la charge de travail
AI75 Conversion des systegravemes et des donneacutees Planifier la conversion des donneacutees et la migration drsquoinfrastructure comme faisant partie des meacutethodes de deacuteveloppement de lrsquoentreprise et incluant les pistes drsquoaudit les reprises et les retours en arriegravere
AI76 Test des modifications Tester les modifications unitaires conformeacutement au plan de test deacutefini avant la migration dans lrsquoenvironnement drsquoexploitation Srsquoassurer que le plan prend en compte la seacutecuriteacute et la performance
AI77 Tests de recette deacutefinitive Srsquoassurer que les responsables des processus meacutetiers et les parties prenantes de lrsquoinformatique eacutevaluent les reacutesultats du processus de test tel que deacutefini dans le plan de test Corriger les erreurs significatives mises en lumiegravere par le processus de test apregraves avoir acheveacute lrsquoensemble des tests recenseacutes dans le plan de test ainsi que tous les tests de non reacutegression neacutecessaires Apregraves lrsquoeacutevaluation approuver la mise en production
AI78 Mise en production Apregraves les tests controcircler le passage en production du systegraveme modifieacute en veillant agrave ce qursquoil se reacutealise conformeacutement au plan drsquoimpleacutementation Obtenir lrsquoaccord des parties prenantes cleacutes comme les utilisateurs le proprieacutetaire du systegraveme et le management Si crsquoest opportun exploitez pendant un moment lrsquoancien systegraveme parallegravelement au nouveau de faccedilon agrave comparer leur fonctionnement et leurs reacutesultats
AI79 Revue post-impleacutementation Dans le cadre des standards de gestion des changements de lrsquoorganisation eacutelaborer des proceacutedures pour exiger une revue postshyimpleacutementation comme mentionneacutee dans le plan drsquoimpleacutementation
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 98
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7
GUIDE DE MANAGEMENT
AI7 Installer et valider les solutions et les modifications
De Entreacutees PO3 Standards technologiques PO4 Documentation sur les proprieacutetaires de systegravemes
PO8 Standards de deacuteveloppement
PO10 Guides de gestion de projets et plans de projets deacutetailleacutes
AI3 Systegraveme configureacute agrave testerinstaller
AI4 Manuels utilisateur drsquoexploitation de support technique et drsquoadministration
AI5 Articles acheteacutes
AI6 Autorisation de changement
Sorties Vers Eacuteleacutements de configuration mis agrave disposition DS8 DS9 Erreurs connues et accepteacutees AI4 Mises en production DS13 Plan de publication et de diffusion de logiciel DS13 Revue postshydeacutemarrage PO2 PO5 PO10
Tableau RACI
Activiteacutes Construire et veacuterifier les plans drsquoimpleacutementation C A I C C R C C
Deacutefinir et veacuterifier une strateacutegie de tests (critegraveres drsquoentreacuteesortie) et une meacutethodologie de programme de tests C A C C C R C C
Constituer un dossier de reacutefeacuterence des exigences meacutetiers et techniques le tenir agrave jour et y joindre des reacutesultats de tests types pour les systegravemes valideacutes
A R
Faire des tests drsquointeacutegration et de conversion systegraveme sur lrsquoenvironnement de tests I I R C C AR I C
Deacuteployer lrsquoenvironnement de tests et conduire les tests de recette deacutefinitive I I R A C AR I C
Recommander le transfert en production selon des critegraveres de validation approuveacutes I R A R C R I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Reacuteduire le nombre de deacutefauts et de tacircches de reacutefection touchant la fourniture de solutions et de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Sassurer dune inteacutegration en douceur des applications aux processus meacutetiers bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes satisfaites de lrsquointeacutegriteacute des donneacutees des nouveaux systegravemes bull Pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation
bull Nb drsquoerreurs trouveacutees agrave loccasion daudits internes ou externes concernant le processus dinstallation et de validation bull Reacutefections apregraves impleacutementation agrave cause de tests de validation inadeacutequats bull Appels au service drsquoassistance dus agrave une formation inadeacutequate bull Indisponibiliteacute des applications et correctifs apporteacutes du fait de tests inapproprieacutes
bull Degreacute dimplication des parties prenantes dans le processus dinstallation et de validation bull Pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute bull Nb de leccedilons tireacutees de la revue post-impleacutementation bull Nb drsquoerreurs deacutecouvertes lors de la revue dassurance qualiteacute des fonctions dinstallation et de validation bull Nb de modifications non avaliseacutees par le management avant impleacutementation
Processus
bull Veacuterifier et confirmer que les applications et les solutions technologiques sont adapteacutees au but rechercheacute bull Publier et deacuteployer de faccedilon approprieacutee les applications et les solutions informatiques bull Preacuteparer les utilisateurs meacutetiers et lrsquoexploitation agrave utiliser les applications et les solutions informatiques bull Srsquoassurer que les nouvelles applications meacutetiers et les modifications aux applications existantes sont libres drsquoerreurs
Activiteacutes
bull Constituer une meacutethodologie de tests qui garantisse des tests drsquoacceptation suffisants avant la mise en production bull Faire un suivi des modifications de tous les eacuteleacutements de configuration bull Travailler sur un planning de mise agrave disposition de versions bull Effectuer des revues post-impleacutementation bull Faire eacutevaluer et approuver les reacutesultats de tests par le management des meacutetiersdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 99
Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications
MODEgraveLE DE MATURITEacute
AI7 Installer et valider les solutions et les modifications
La gestion du processus Installer et valider les solutions et les modifications qui reacutepond agrave lexigence des meacutetiers mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation est
0 Inexistante quand Il ny a aucun processus formel dinstallation et de validation et ni la direction geacuteneacuterale ni les informaticiens ne reconnaissent le besoin de veacuterifier que les solutions correspondent aux objectifs preacutevus
1 Initialiseacutee au cas par cas quand On est conscient du besoin de veacuterifier et de confirmer que les solutions permettent datteindre les objectifs fixeacutes Certains projets sont soumis agrave des tests mais linitiative des tests est laisseacutee individuellement agrave chaque eacutequipe de projet et les approches sont diffeacuterentes La validation formelle et le visa opeacuterationnel sont rares ou inexistants
2 Reproductible mais intuitive quand Les approches de tests et de validation ont une certaine coheacuterence mais elles ne sont baseacutees sur aucune meacutethode Les eacutequipes de deacuteveloppement deacutecident en geacuteneacuteral individuellement de la faccedilon de faire les tests et il ny a habituellement pas de systegraveme de tests dinteacutegration Le processus drsquoapprobation existe mais il est informel
3 Deacutefinie quand On a mis en place une meacutethodologie formelle pour linstallation la migration la conversion et lacceptation Les processus dinstallation et de validation sont inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes en partie La formation les tests le passage en production et la validation peuvent diffeacuterer du processus deacutefini en fonction de deacutecisions individuelles La qualiteacute des systegravemes qui entrent en production est variable les nouveaux systegravemes pouvant souvent geacuteneacuterer un nombre significatif de problegravemes suite agrave leur mise en place
4 Geacutereacutee et mesurable quand Les proceacutedures sont formaliseacutees et deacuteveloppeacutees pour ecirctre bien organiseacutees et pratiques les environnements de tests et les proceacutedures de validation sont bien deacutefinis Dans la pratique toutes les modifications majeures apporteacutees aux systegravemes suivent cette approche formaliseacutee On a standardiseacute leacutevaluation des reacutesultats permettant de savoir si les exigences des utilisateurs sont satisfaites et on est capable de fournir des mesures qui peuvent effectivement ecirctre eacutetudieacutees et analyseacutees par le management La qualiteacute des systegravemes entrant en production satisfait le management et le nombre dincidents post-impleacutementation reste raisonnable Lautomatisation des processus se fait au cas par cas en fonction des projets Le management peut ecirctre satisfait du niveau drsquoefficaciteacute malgreacute lrsquoabsence drsquoeacutevaluation post-impleacutementation Le systegraveme de tests reflegravete bien les conditions reacuteelles On fait subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes pour les projets les plus importants
5 Optimiseacutee quand Les processus dinstallation et de validation ont atteint le niveau des bonnes pratiques du fait dameacuteliorations et perfectionnements continuels Ces processus sont pleinement inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes lorsque cest une bonne solution ce qui donne la meilleure efficaciteacute agrave la formation aux tests et au passage en production des nouveaux systegravemes Des environnements de tests bien deacuteveloppeacutes des releveacutes danomalies et des processus de correction de problegravemes assurent une transition efficace et performante vers lenvironnement de production La validation nrsquoimplique en geacuteneacuteral pas de reacutefections et les problegravemes post-impleacutementation sont habituellement limiteacutes agrave des corrections mineures Les revues post-impleacutementation sont elles aussi standardiseacutees et les enseignements qursquoon en tire sont en geacuteneacuteral dirigeacutes vers le processus pour assurer une ameacutelioration permanente de la qualiteacute On fait systeacutematiquement subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 100
DEacuteLIVRER ET SUPPORTER
DS1 Deacutefinir et geacuterer les niveaux de services DS2 Geacuterer les services tiers DS3 Geacuterer la performance et la capaciteacute DS4 Assurer un service continu DS5 Assurer la seacutecuriteacute des systegravemes DS6 Identifier et imputer les coucircts DS7 Instruire et former les utilisateurs DS8 Geacuterer le service drsquoassistance client et les incidents DS9 Geacuterer la configuration DS10 Geacuterer les problegravemes DS11 Geacuterer les donneacutees DS12 Geacuterer lrsquoenvironnement physique DS13 Geacuterer lrsquoexploitation
DEacute
LIV
RE
R E
T
SUPP
OR
TE
R
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
DESCRIPTION DU PROCESSUS
DS1 Deacutefinir et geacuterer les niveaux de services
Une communication efficace entre les responsables informatiques et les clients meacutetiers agrave propos des services demandeacutes est faciliteacutee par des accords sur les services informatiques et sur les niveaux de services et par leur deacutefinition et leur documentation Ce processus inclut aussi la surveillance et le compte-rendu en temps utile aux parties prenantes du respect des niveaux de services convenus Il permet lrsquoalignement entre les services informatiques et les exigences des meacutetiers qui srsquoy rapportent
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Le controcircle du processus informatique
Deacutefinir et geacuterer des niveaux de services
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers
en se concentrant sur
lrsquoidentification des exigences de service lrsquoaccord sur les niveaux de services et la surveillance du respect des niveaux de services convenus
atteint son objectif en
bull formalisant les accords internes et externes en tenant compte des exigences et des capaciteacutes de fourniture
bull rendant compte des niveaux de services atteints (rapports et reacuteunions) bull identifiant et en communiquant les nouvelles exigences de services et leur eacutevolution agrave la
planification strateacutegique
et est mesureacute par
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
bull le pourcentage de parties prenantes meacutetiers satisfaites de voir les fournitures de services atteindre les niveaux convenus
bull le nombre de services livreacutes qui ne sont pas reacutepertorieacutes bull le nombre annuel de reacuteunions avec les clients meacutetiers destineacutees agrave la reacutevision formelle des
contrats de services
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 101
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
OBJECTIFS DE CONTROcircLE
DS1 Deacutefinir et geacuterer les niveaux de services
DS11 Reacutefeacuterentiel pour la gestion des niveaux de services Deacutefinir un cadre de reacutefeacuterence qui propose un processus formaliseacute de gestion des niveaux de services entre les clients et les fournisseurs Ce cadre veille agrave lrsquoalignement continu avec les exigences des meacutetiers et avec les prioriteacutes pour faciliter une compreacutehension commune entre clients et fournisseur(s) Il comporte des processus de reacutecolte des exigences en matiegravere de services des deacutefinitions des services des contrats de services des contrats de niveau opeacuterationnel et des sources de financement Ces eacuteleacutements sont reacutepertorieacutes dans un catalogue de services Le reacutefeacuterentiel deacutefinit lrsquoorganisation de la gestion de niveau de service srsquointeacuteresse aux rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes et des clients
DS12 Deacutefinition des services Fonder les deacutefinitions des services informatiques sur les caracteacuteristiques des services et des exigences des meacutetiers Srsquoassurer qursquoils sont structureacutes et reacutepertorieacutes dans un catalogueportefeuille de services centraliseacute
DS13 Contrats ou conventions de services (CS) Deacutefinir et accepter les contratsconventions de services pour tous les services informatiques critiques en se fondant sur les besoins du client et les capaciteacutes de lrsquoinformatique Cela recouvre les engagements du client les besoins drsquoassistance les meacutetriques qualitatives et quantitatives pour mesurer le service contresigneacute par les parties prenantes les sources de financement et le cas eacutecheacuteant les accords commerciaux et les rocircles et responsabiliteacutes y compris la supervision des conventions de services Les principaux points agrave prendre en compte sont la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance le niveau drsquoassistance la planification de la continuiteacute les contraintes de seacutecuriteacute et de reacuteclamation
DS14 Contrats drsquoexploitation (CE) Deacutefinir des contrats drsquoexploitation expliquant comment les services seront techniquement fournis pour appuyer le mieux possible les conventions de services Les contrats drsquoexploitation doivent preacuteciser ce que sont les processus techniques en termes compreacutehensibles par le fournisseur et peuvent concerner plusieurs conventions de services
DS15 Surveillance et comptes-rendus des niveaux de services atteints Surveiller en continu les critegraveres de performance des niveaux de services La preacutesentation des comptes-rendus doit permettre aux parties prenantes de bien comprendre les niveaux de services atteints Les statistiques de surveillance doivent ecirctre analyseacutees et on y reacuteagit pour mettre en eacutevidence les tendances positives et neacutegatives de chaque service mais aussi globalement de lrsquoensemble des services
DS16 Revue des conventions de services et des contrats Faire une revue reacuteguliegravere des conventions de services et des contrats qui les accompagnent avec les fournisseurs de services internes et externes pour srsquoassurer qursquoelles sont efficaces agrave jour et qursquoon a pris en compte les modifications des exigences
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 102
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Chef de service
Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1
GUIDE DE MANAGEMENT
DS1 Deacutefinir et geacuterer les niveaux de services
De Entreacutees
PO1 Plans informatiques strateacutegiques et tactiques portefeuille de projets informatiques
PO2 Classifications attribueacutees aux donneacutees
PO5 Portefeuille actualiseacute des services informatiques
AI2 CS initialement preacutevus
AI3 CE initialement preacutevus
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
SE1 Entreacutee de la performance dans le planning informatique
Sorties Vers Rapport de revue des contrats DS2 Rapports sur la performance des processus SE1 Exigences de service nouvellesmodifieacutees PO1 CS AI1 DS2 DS3 DS4 DS6 DS8 DS13 CE DS4 DS5 DS6 DS7 DS8 DS11 DS13 Portefeuille actualiseacute des services informatiques PO1
Tableau RACI
Activiteacutes Creacuteer un reacutefeacuterentiel pour deacutefinir les services informatiques C A C C I C C I C R
Elaborer un catalogue des services informatiques I A C C I C C I I R
Deacutefinir les conventions de services pour les services informatiques critiques I I C C R I R R C C AR
Deacutefinir les contrats dexploitation pour atteindre les niveaux de services convenus I C R I R R C C AR
Surveiller la performance des services du deacutebut agrave la fin et rendre compte I I R I I I AR
Faire une revue des conventions de services et des contrats qui les supportent I I C R R R C AR
Faire une revuemise agrave jour du catalogue des services informatiques I A C C I C C I I R
Creacuteer un plan drsquoameacutelioration des services I A I R I R C C I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Chefde
service
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Pourcentage de parties prenantes meacutetiers satisfaites de voir les services fournis atteindre les niveaux convenus bull Pourcentage drsquoutilisateurs satisfaits de voir les services fournis atteindre les niveaux convenus
bull Nb de services fournis qui ne sont pas reacutepertorieacutes bull Pourcentage de services qui atteignent les niveaux convenus bull Pourcentage de niveaux services mesureacutes
bull Nb annuel de reacuteunions avec les meacutetiers pour la reacutevision formelle des conventions de services bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus automatiseacutes bull Nb de jours de travail passeacutes agrave ajuster un niveau de service apregraves accord avec le client
Processus
bull Eacutetablir un accord commun sur le niveau de service exigeacute bull Formaliser et surveiller les conventions de services et les critegraveres de performances bull Aligner les services fournis sur les niveaux convenus bull Creacuteer un catalogue de services agrave jour et aligneacute sur les objectifs des meacutetiers
Activiteacutes
bull Deacutefinir les services bull Formaliser les contrats internes et externes en accord avec les exigences et les capaciteacutes de fourniture bull Rendre compte des niveaux de services atteints (rapports et reacuteunions) bull Veacuterifier que la preacutesentation des comptes-rendus est adapteacutee au public viseacute bull Faire remonter les nouvelles exigences de services et les mises agrave jour agrave la planification strateacutegique
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 103
Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services
MODEgraveLE DE MATURITEacute
DS1 Deacutefinir et geacuterer les niveaux de services
La gestion du processus Deacutefinir et geacuterer les niveaux de services qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers est
0 Inexistante quand
Le management na pas ressenti le besoin de mettre en place un processus pour deacutefinir les niveaux de services Les responsabiliteacutes opeacuterationnelles et finales de leur surveillance ne sont pas attribueacutees
1 Initialiseacutee au cas par cas quand
On a pris conscience du besoin de geacuterer les niveaux de services mais le processus est informel et deacutepend des circonstances Les responsabiliteacutes opeacuterationnelle et finale de deacutefinition et de gestion des services ne sont pas attribueacutees Lorsque les mesures des performances existent elles sont qualitatives seulement et leurs buts ne sont pas clairement deacutefinis Les comptes-rendus sont informels peu freacutequents et peu meacutethodiques
2 Reproductible mais intuitive quand
Il existe des conventions de services mais elles ne sont ni formaliseacutees ni reacuteviseacutees Les comptes-rendus de niveaux de services sont incomplets et parfois non pertinents ou susceptibles drsquoinduire le client en erreur Les comptes-rendus sur les niveaux de services deacutependent des compeacutetences et des initiatives individuelles de responsables On a engageacute un coordinateur de niveaux de services et on lui a attribueacute des responsabiliteacutes deacutefinies mais une autoriteacute insuffisante Srsquoil existe un processus de conformiteacute aux conventions de services il deacutepend de bonnes volonteacutes individuelles
3 Deacutefinie quand
Les responsabiliteacutes sont bien deacutefinies mais elles ne sont pas exerceacutees avec meacutethode Le processus de deacuteveloppement des conventions de services est en place et il y a des controcircles programmeacutes pour reacuteeacutevaluer les niveaux de services et la satisfaction des clients Les services et les niveaux de services sont deacutefinis documenteacutes ils font lrsquoobjet de conventions et utilisent un processus standard Les insuffisances des niveaux de services sont identifieacutees mais les proceacutedures pour y remeacutedier sont informelles Le lien entre les niveaux de services attendus et le financement est clairement eacutetabli On srsquoest mis drsquoaccord sur les niveaux de services mais ils ne correspondent pas toujours aux exigences des meacutetiers
4 Geacutereacutee et mesurable quand
Les niveaux de services sont de plus en plus deacutefinis au cours de la phase de deacutefinition des exigences systegraveme et inteacutegreacutes dans la conception des environnements des applications et drsquoexploitation On mesure et on eacutevalue la satisfaction des clients de faccedilon reacuteguliegravere Les mesures de performance correspondent davantage aux besoins du client qursquoaux objectifs informatiques Les mesures drsquoeacutevaluation des niveaux de services se standardisent et correspondent aux normes de la profession Les critegraveres pour deacutefinir les niveaux de services sont baseacutes sur ce qui est critique pour les meacutetiers et recouvrent la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance lassistance aux utilisateurs la planification de la continuiteacute et les consideacuterations de seacutecuriteacute On pratique lanalyse causale lorsque les niveaux de services ne correspondent pas aux attentes Le systegraveme de comptes-rendus du suivi de niveaux de services sautomatise de plus en plus On a deacutefini et bien compris les risques financiers et opeacuterationnels lieacutes agrave des services qui natteignent pas les niveaux convenus On a formaliseacute un systegraveme de meacutetriques et on lrsquoactualise
5 Optimiseacutee quand
Les niveaux de services sont reacuteeacutevalueacutes en continu pour assurer lrsquoalignement des objectifs informatiques et meacutetiers ils tirent profit de lrsquoinformatique y compris du ratio coucirctsbeacuteneacutefices Tous les processus de niveaux de services font lrsquoobjet dameacuteliorations continues On surveille et on gegravere les niveaux de satisfaction clients Les niveaux de services convenus reflegravetent les objectifs strateacutegiques des uniteacutes meacutetiers et on les eacutevalue selon les normes de la profession Les responsables informatiques ont les ressources et la marge drsquoinitiatives voulues pour atteindre les objectifs de niveaux de services et le management beacuteneacuteficie de primes lorsque ces objectifs sont atteints La direction geacuteneacuterale surveille les meacutetriques de performance selon un processus drsquoameacutelioration continu
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 104
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S SS
Deacutelivrer et Supporter Geacuterer les services tiers DS2
DESCRIPTION DU PROCESSUS
DS2 Geacuterer les services tiers
Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des meacutetiers impose un processus de gestion des services tiers Ce processus exige de deacutefinir clairement les rocircles responsabiliteacutes et les attentes dans les contrats avec des tiers et aussi drsquoeffectuer des revues et une surveillance de lrsquoefficaciteacute et de la conformiteacute de tels contrats Une gestion efficace des services fournis par des tiers minimise les risques meacutetiers lieacutes agrave des fournisseurs non performants
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Acqueacuterir et Impleacutementer
Planifier et Organiser
Le controcircle du processus informatique
Geacuterer les services tiers
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
Deacutelivrer et Supporter
Surveiller et Evaluer
fournir des services tiers satisfaisants qui permettent une transparence sur les beacuteneacutefices coucircts et risques
en se concentrant sur
lrsquoinstauration de relations et de responsabiliteacutes bilateacuterales avec des tiers fournisseurs de services et sur la surveillance de la fourniture des services pour veacuterifier et garantir le respect des clauses contractuelles
atteint son objectif en
bull identifiant et en reacutepartissant les fournisseurs de services par cateacutegorie bull identifiant et en reacuteduisant le plus possible les risques fournisseurs bull surveillant et en mesurant leurs performances
et est mesureacute par
bull le nombre de plaintes utilisateurs dues aux services tiers bull le pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de
services clairement deacutefinis bull le pourcentage de fournisseurs principaux objets drsquoune surveillance
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 105
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
OBJECTIFS DE CONTROcircLE
DS2 Geacuterer les services tiers
DS21 Identification des relations avec tous les fournisseurs Identifier tous les services fournisseurs et les reacutepartir en cateacutegorie selon leur type importance et niveau critique Tenir agrave jour une documentation formelle des relations organisationnelles et techniques en preacutecisant les rocircles et responsabiliteacutes les objectifs les livrables attendus et les accreacuteditations des repreacutesentants de ces fournisseurs
DS22 Gestion des relations fournisseurs Formaliser le processus de gestion des relations fournisseurs pour chacun drsquoentre eux Les proprieacutetaires de relations doivent intervenir sur les questions qui concernent la relation clientsfournisseurs et garantir la qualiteacute de relations baseacutees sur la confiance et la transparence (par ex au moyen de conventions de services)
DS23 Gestion du risque fournisseurs Identifier et reacuteduire les risques lieacutes agrave lrsquoaptitude des fournisseurs agrave fournir de maniegravere continue des services efficaces sucircrs et efficients Srsquoassurer que les contrats se conforment aux standards universels de la profession en conformiteacute avec les exigences leacutegales et reacuteglementaires La gestion des risques doit par ailleurs prendre en compte les clauses de confidentialiteacute les contrats de mise sous seacutequestre la viabiliteacute du fournisseur (continuiteacute) la conformiteacute aux exigences de seacutecuriteacute les solutions alternatives en fourniture les peacutenaliteacutesreacutecompenses etc
DS24 Surveillance des performances fournisseurs Eacutetablir un processus de surveillance de la fourniture de services pour srsquoassurer que le fournisseur respecte les exigences des meacutetiers en cours et qursquoil continue agrave se conformer aux clauses de son contrat et agrave celles du contrat de service et que ses performances sont concurrentielles par rapport aux autres fournisseurs et aux conditions du marcheacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 106
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les services tiers DS2
GUIDE DE MANAGEMENT
DS2 Geacuterer les services tiers
De Entreacutees
PO1 Strateacutegie de fourniture informatique
PO8 Standards drsquoacquisition
AI5 Clauses contractuelles exigences de la gestion des relations avec les tiers
DS1 Compteshyrendu de revue de contrats conventions de services
DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes
Sorties Vers Rapports sur la performance des processus SE1 Catalogue fournisseurs AI5 Risques fournisseurs PO9
Identifier et cataloguer les relations avec les services tiers I C R C R AR C C
Deacutefinir et documenter les processus de gestion des fournisseurs C A I R I R R C C
Eacutetablir des politiques et des proceacutedures drsquoeacutevaluation et de seacutelection des fournisseurs C A C C C R C C
Identifier eacutevaluer et reacuteduire le plus possible les risques fournisseurs I A R R R C C
Surveiller la fourniture de services des fournisseurs R A R R R C C
Eacutevaluer les objectifs agrave long terme de la relation avec des services tiers pour toutes les parties prenantes C C C AR C C C C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les fournisseurs tiers bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer de la transparence et de la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques
induit
induit
bull Pourcentage de fournisseurs principaux qui satisfont des exigences et des niveaux de services clairement deacutefinis bull Nb de litiges aveacutereacutes avec les fournisseurs bull Pourcentage de factures fournisseurs contesteacutees
bull Pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de services clairement deacutefinis bull Pourcentage de fournisseurs principaux objets drsquoun suivi bull Niveau de satisfaction des meacutetiers de lrsquoefficaciteacute de la communication du fournisseur bull Niveau de satisfaction du fournisseur de lrsquoefficaciteacute de la communication meacutetiers bull Nb drsquoincidents significatifs concernant la non conformiteacute fournisseurs par peacuteriode de temps deacutefinie
Processus
bull Eacutetablir des relations et des responsabiliteacutes bilateacuterales avec des fournisseurs de services tiers qualifieacutes bull Surveiller la fourniture des services et veacuterifier le respect des clauses contractuelles bull Srsquoassurer que le fournisseur se conforme aux normes internes et externes applicables bull Entretenir la motivation du fournisseur agrave poursuivre la relation
Activiteacutes
bull Identifier et reacutepartir les fournisseurs de services par cateacutegories bull Identifier et reacuteduire le plus possible les risques fournisseurs bull Surveiller et mesurer leurs performances
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Nb de plaintes utilisateurs dues aux services tiers bull Pourcentage de deacutepenses drsquoachats qui reacutesultent drsquoune mise en concurrence des fournisseurs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 107
Deacutelivrer et Supporter DS2 Geacuterer les services tiers
MODEgraveLE DE MATURITEacute
DS2 Geacuterer les services tiers
La gestion du processus Geacuterer les services tiers qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique fournir des services tiers satisfaisants qui permettent une transparence des beacuteneacutefices des coucircts et des risques est
0 Inexistante quand
On na pas deacutefini qui est responsable de quoi et devant qui (responsabiliteacutes opeacuterationnelles et finales) Il ny a ni proceacutedures ni politiques formelles concernant la passation de contrats avec des tiers Le management ne veacuterifie ni nagreacutee les services tiers Les tiers ne reacutealisent pas de mesures de leurs activiteacutes ni ne fournissent de rapports En labsence dobligations contractuelles de rendre compte la direction geacuteneacuterale nest pas en mesure de connaicirctre la qualiteacute des services fournis
1 Initialiseacutee au cas par cas quand
Le management est conscient du besoin davoir des politiques et des proceacutedures documenteacutees pour la fourniture de services par des tiers y compris davoir des contrats signeacutes Il ny a pas de conditions contractuelles standard pour les fournisseurs de services La mesure du service fourni est informelle et se fait au cas par cas Les pratiques deacutependent de lexpeacuterience individuelle et de celle du fournisseur (par ex fourniture agrave la demande)
2 Reproductible mais intuitive quand
Le processus de surveillance des fournisseurs de services tiers des risques associeacutes et de la fourniture de services reste informel On signe des contrats pro forma dans les termes et conditions du fournisseur (ex description des services agrave fournir) On dispose de rapports sur les services fournis mais ils ne correspondent pas aux objectifs des meacutetiers
3 Deacutefinie quand
On a mis en place des proceacutedures bien documenteacutees pour piloter la fourniture de services par des tiers avec des processus clairs pour deacutefinir des exigences et neacutegocier avec les fournisseurs Lorsqursquoon a signeacute un contrat de services la relation avec le tiers devient purement contractuelle La nature des services agrave fournir est deacutetailleacutee dans les contrats et elle inclut les exigences juridiques opeacuterationnelles et de controcircle On a attribueacute agrave quelqursquoun la responsabiliteacute de la surveillance de la fourniture de services par des tiers Les clauses contractuelles sont emprunteacutees agrave des modegraveles standardiseacutes On eacutevalue les risques meacutetiers lieacutes aux services tiers et on les consigne dans des rapports
4 Geacutereacutee et mesurable quand
On a eacutetabli des critegraveres formels et standardiseacutes pour deacutefinir les clauses contractuelles comme leacutetendue du travail les serviceslivrables agrave fournir les hypothegraveses les eacutecheacuteanciers les coucircts les conditions de facturation et les responsabiliteacutes On a nommeacute un responsable de la gestion des contrats et des fournisseurs On veacuterifie en continu les qualifications les risques et les capaciteacutes des fournisseurs On deacutefinit les exigences de services en liaison avec les objectifs des meacutetiers Il existe un processus de veacuterification de la performance des services fournis par rapport aux termes du contrat qui fournit des donneacutees pour eacutevaluer les services tiers actuels et futurs On utilise des modegraveles de prix de transfert dans le processus dachat Toutes les parties impliqueacutees sont conscientes des attentes en ce qui concerne les services les coucircts et les principaux jalons On a mis en place drsquoun commun accord des objectifs et des meacutetriques pour la supervision des fournisseurs de services
5 Optimiseacutee quand
On fait une revue des contrats signeacutes avec des tiers selon une freacutequence preacutedeacutefinie On a nommeacute un responsable de la gestion des fournisseurs et de la qualiteacute des services fournis On surveille que les contrats respectent les dispositions de conformiteacute opeacuterationnelle juridique et de controcircle et on impose les corrections neacutecessaires Le tiers est soumis agrave des revues indeacutependantes peacuteriodiques et on obtient des retours drsquoinformation sur la performance utiliseacutes pour ameacuteliorer la fourniture de services Les mesures choisies varient en fonction des changements des conditions dexercice de lactiviteacute Les meacutetriques permettent de deacutetecter rapidement les problegravemes qui peuvent se poser avec des services tiers Leacutetablissement de rapports deacutefinis et complets sur les niveaux de services est lieacute agrave la reacutetribution du tiers Le management ajuste le processus drsquoacquisition et de surveillance de services tiers drsquoapregraves les reacutesultats des indicateurs de mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 108
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P S
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
DESCRIPTION DU PROCESSUS
DS3 Geacuterer la performance et la capaciteacute
La bonne gestion des performances et des capaciteacutes des ressources informatiques exige qursquoun processus les passe reacuteguliegraverement en revue Ce processus comporte la preacutevision des besoins futurs en fonction des exigences de charge de travail de stockage et des impreacutevus Ce processus assure que les ressources informatiques qui appuient les exigences des meacutetiers sont constamment disponibles
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la performance et la capaciteacute
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers
en se concentrant sur
le respect du temps de reacuteponse preacutevu dans les conventions de services la reacuteduction des peacuteriodes drsquoindisponibiliteacute et lrsquoameacutelioration continue des performances et des capaciteacutes informatiques gracircce agrave la surveillance et aux mesures
atteint son objectif en
bull planifiant la capaciteacute et la disponibiliteacute des systegravemes et en y subvenant bull surveillant les performances systegravemes et en en rendant compte bull modeacutelisant et en preacutevoyant les performances systegravemes
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquoune planification insuffisante des capaciteacutes
bull le pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull le pourcentage des temps de reacuteponse preacutevus dans les conventions qui sont deacutepasseacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 109
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
OBJECTIFS DE CONTROcircLE
DS3 Geacuterer la performance et la capaciteacute
DS31 Planification de la performance et de la capaciteacute Eacutetablir un processus de planification pour la revue des performances et des capaciteacutes des ressources informatiques pour garantir que des capaciteacutes et des performances sont disponibles agrave des coucircts justifieacutes pour traiter les charges de travail convenues et deacutetermineacutees par les conventions de niveaux de services Les plans de capaciteacute et de performance doivent mobiliser les techniques de modeacutelisation approprieacutees pour proposer un modegravele de performance de capaciteacute et de deacutebit actuels et preacutevus des ressources informatiques
DS32 Performance et capaciteacute actuelles Eacutevaluer les performances et les capaciteacutes des ressources informatiques pour deacuteterminer si elles sont suffisantes pour satisfaire aux conventions de services signeacutees
DS33 Performance et capaciteacute futures Faire agrave intervalles reacuteguliers des preacutevisions de performance et de capaciteacute des ressources informatiques pour reacuteduire le risque drsquointerruption de service agrave cause de la deacutegradation de leurs performances et de lrsquoinsuffisance de leurs capaciteacutes Relever les excegraves de capaciteacute pour un eacuteventuel redeacuteploiement Relever les tendances de la charge de travail et deacuteterminer les preacutevisions agrave inclure dans les plans de performance et de capaciteacute
DS34 Disponibiliteacute des ressources informatiques Fournir les capaciteacutes et les performances requises en prenant en compte des caracteacuteristiques comme les charges de travail normales les impreacutevus les exigences de stockage et les cycles de vie des ressources informatiques Il faut preacutevoir des dispositions telles qursquoun classement des tacircches par prioriteacute des machines agrave toleacuterance de pannes et des allocations de ressources Le management doit srsquoassurer que les plans drsquourgence peuvent correctement faire face agrave des problegravemes de disponibiliteacute de capaciteacute et de performance des ressources informatiques individuelles
DS35 Surveillance et comptes-rendus Surveiller en continu les performances et les capaciteacutes des ressources informatiques Les donneacutees recueillies doivent servir agrave deux objectifs bull Maintenir et ajuster les performances actuelles de lrsquoinformatique et traiter des questions comme la reacutesilience les impreacutevus les charges de
travail actuelles et futures les plans drsquoarchivage et lrsquoacquisition de ressources bull Rendre compte de la disponibiliteacute des services livreacutes aux meacutetiers comme le preacutevoient les conventions de services Assortir tous les rapports drsquoincidents de recommandations pour les reacutesoudre
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 110
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3
GUIDE DE MANAGEMENT
DS3 Geacuterer la performance et la capaciteacute
De Entreacutees
AI2 Speacutecifications de disponibiliteacute continuiteacute et reacutecupeacuteration
AI3 Exigences de surveillance des systegravemes
DS1 CS
Sorties Vers Information sur la performance et la capaciteacute PO2 PO3 Plan de performance et capaciteacute (exigences) PO5 AI1 AI3 SE1 Changements requis AI6 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Mettre en place un processus pour planifier les revues de performance et de capaciteacute des ressources informatiques
A R C C C C
Reacuteviser les performances et les capaciteacutes actuelles des ressources informatiques C I AR C C C
Faire des preacutevisions de performance et de capaciteacute des ressources informatiques C C AR C C C C
Faire des analyses drsquoeacutecarts pour identifier les insuffisances des ressources informatiques C I AR R C C I
Faire un plan drsquourgence pour les indisponibiliteacutes potentielles des ressources informatiques C I AR C C I C
Surveiller en continu et rendre compte de la disponibiliteacute de la performance et de la capaciteacute des ressources informatiques
I I AR I I I I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Nb drsquoheures perdues par mois par les utilisateurs du fait drsquoun planning insuffisant des capaciteacutes bull Nb de processus critiques pour lentreprise qui ne sont pas associeacutes agrave un plan deacutefini de disponibiliteacute de service
bull Pics de charge de travail et taux globaux drsquoutilisation bull Pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull Pourcentage de temps de reacuteponse preacutevus dans les conventions de services qui sont deacutepasseacutes bull Taux drsquoeacutechec des traitements
bull Freacutequence des preacutevisions de performance et de capaciteacute bull Pourcentage drsquoactifs inclus dans les revues de capaciteacute bull Pourcentage drsquoactifs surveilleacutes par des outils centraliseacutes
Processus
bull Surveiller et mesurer les pics de charge de travail et les temps de reacuteponse des traitements bull Atteindre les temps de reacuteponse requis dans les conventions de services bull Reacuteduire le nombre drsquoeacutechecs de traitements bull Reacuteduire le temps drsquoindisponibiliteacute bull Optimiser lrsquoutilisation des ressources informatiques
Activiteacutes
bull Planifier la capaciteacute et la disponibiliteacute des systegravemes et y subvenir bull Surveiller les performances systegravemes et en rendre compte bull Modeacuteliser et preacutevoir les performances systegravemes
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 111
Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute
MODEgraveLE DE MATURITEacute
DS3 Geacuterer la performance et la capaciteacute
La gestion du processus Geacuterer la performance et la capaciteacute qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers est
0 Inexistante quand
Le management ne reacutealise pas que les processus cleacutes de lentreprise peuvent exiger de lrsquoinformatique de hauts niveaux de performance ou que les besoins globaux de lentreprise en services informatiques peuvent exceacuteder la capaciteacute de linfrastructure existante Il ny a pas de processus de planification de la capaciteacute
1 Initialiseacutee au cas par cas quand
Les utilisateurs conccediloivent des solutions de contournement pour reacutepondre aux contraintes de puissance et de capaciteacute Les besoins de planification de la capaciteacute et de la performance sont mal appreacutecieacutes par les proprieacutetaires des processus meacutetiers Les initiatives pour geacuterer la performance et la capaciteacute sont typiquement provoqueacutees par une situation particuliegravere Le processus de planification de la capaciteacute et de la performance est informel On a une connaissance limiteacutee des capaciteacutes et des performances des ressources informatiques actuelles et des besoins futurs
2 Reproductible mais intuitive quand
Le management des meacutetiers et de lrsquoinformatique est conscient des conseacutequences de labsence de gestion de la performance et de la capaciteacute On dispose en geacuteneacuteral des niveaux de performance neacutecessaires gracircce agrave leacutevaluation faite sur des systegravemes individuels et aux connaissances des eacutequipes dassistance et de projets Certains outils individuels peuvent ecirctre utiliseacutes pour diagnostiquer les problegravemes de performance et de capaciteacute mais la coheacuterence des reacutesultats deacutepend de lexpertise dindividus cleacutes Il ny a pas deacutevaluation globale du niveau de performance possible des SI ou danticipation de situations de deacutepassement ou de crise Des problegravemes de disponibiliteacute se produiront vraisemblablement de faccedilon inattendue et aleacuteatoire ce qui fera perdre beaucoup de temps en diagnostic et en correction Toute mesure de performance se base drsquoabord sur les besoins de lrsquoinformatique et non sur ceux du client
3 Deacutefinie quand
Les exigences de performance et de capaciteacute sont deacutefinies pour la dureacutee du cycle de vie du systegraveme On a deacutefini des exigences de niveaux de services et les meacutetriques qui peuvent ecirctre utiliseacutees pour mesurer la performance opeacuterationnelle On a modeacuteliseacute les exigences futures de performance et de capaciteacute selon un processus deacutefini On produit des rapports sur les statistiques de performance Il y a toujours une probabiliteacute drsquoanomalies lieacutees agrave la performance et agrave la capaciteacute dont la correction prendra du temps Malgreacute les niveaux de services publieacutes les utilisateurs et les clients peuvent ecirctre parfois sceptiques sur la capaciteacute de service
4 Geacutereacutee et mesurable quand
On dispose de processus et drsquooutils pour mesurer lrsquoutilisation la performance et la capaciteacute des systegravemes et on compare les reacutesultats aux objectifs deacutefinis On dispose aussi dinformations agrave jour qui donnent des statistiques normaliseacutees sur la performance et qui alertent sur des incidents provoqueacutes par des performances ou des capaciteacutes insuffisantes On utilise des proceacutedures deacutefinies et standardiseacutees pour traiter les insuffisances de performance ou les problegravemes de capaciteacute On utilise des outils automatiseacutes pour surveiller des ressources speacutecifiques comme lrsquoespace disque les reacuteseaux les serveurs et les passerelles reacuteseau Les statistiques de performance et de capaciteacute font lrsquoobjet de comptes-rendus en termes de processus meacutetiers de faccedilon agrave ce que les utilisateurs et les clients comprennent les niveaux de services informatiques Les utilisateurs se disent en geacuteneacuteral satisfaits de la capaciteacute de service offerte et sont susceptibles drsquoexiger de nouveaux ou de meilleurs niveaux de disponibiliteacute On srsquoest mis drsquoaccord sur des meacutetriques pour eacutevaluer la performance et la capaciteacute des SI mais il est possible qursquoon ne les utilise que sporadiquement et sans meacutethode
5 Optimiseacutee quand
Les plans de performance et de capaciteacute sont tout agrave fait synchroniseacutes avec les preacutevisions drsquoexigences des meacutetiers Linfrastructure technologique et les exigences des meacutetiers sont sujettes agrave des revues reacuteguliegraveres pour sassurer quon atteint la capaciteacute optimale au meilleur prix On a standardiseacute et on utilise sur les diffeacuterentes plates-formes les outils de surveillance des ressources informatiques critiques et on les a inteacutegreacutes au systegraveme de gestion des incidents de lentreprise Des outils de surveillance deacutetectent et peuvent automatiquement corriger des problegravemes de performance et de capaciteacute Lrsquoanalyse des tendances fait apparaicirctre les baisses imminentes de performance causeacutees par une augmentation des volumes dactiviteacute ce qui permet de sorganiser et deacuteviter les impreacutevus Les meacutetriques drsquoeacutevaluation de la performance et de la capaciteacute des SI sont bien ajusteacutees en termes de mesures de reacutesultat et drsquoindicateurs de performance pour tous les processus meacutetiers critiques et elles fournissent des mesures en continu Le management ajuste la planification de la performance et de la capaciteacute en fonction de lrsquoanalyse de ces mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 112
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P S P
Deacutelivrer et Supporter Assurer un service continu DS4
DESCRIPTION DU PROCESSUS
DS4 Assurer un service continu
Le besoin drsquoassurer la continuiteacute des services informatiques exige de deacutevelopper de maintenir et de tester des plans de continuiteacute des SI drsquoutiliser des capaciteacutes de stockage de sauvegardes hors site et drsquoassurer une formation peacuteriodique au plan de continuiteacute Un processus de service continu efficace reacuteduit les risques et les conseacutequences drsquoune interruption majeure des services informatiques aux fonctions et processus meacutetiers cleacutes
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S P
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Le controcircle du processus informatique
Assurer un service continu
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers
en se concentrant sur
donner une capaciteacute de reacutesistance aux solutions automatiseacutees et deacutevelopper tenir agrave jour et tester les plans de continuiteacute des SI
atteint son objectif en
bull deacuteveloppant et en actualisantameacuteliorant les plans de secours des SI bull srsquoexerccedilant sur les plans de secours des SI et en les testant bull stockant hors site des copies des plans de secours et des donneacutees
et est mesureacute par
bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquointerruptions impreacutevues bull le nombre de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte
par le plan de continuiteacute des SI
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 113
Deacutelivrer et Supporter DS4 Assurer un service continu
OBJECTIFS DE CONTROcircLE
DS4 Assurer un service continu
DS41 Reacutefeacuterentiel de continuiteacute informatique Deacutevelopper un cadre de reacutefeacuterence de la continuiteacute informatique pour assister la gestion de la continuiteacute des activiteacutes meacutetiers dans lrsquoensemble de lrsquoentreprise selon un processus coheacuterent Lrsquoobjectif de ce cadre de reacutefeacuterence doit aider agrave deacuteterminer la reacutesilience requise de lrsquoinfrastructure et inciter au deacuteveloppement drsquoun plan de secours informatique Il doit prendre en compte la structure de gestion de la continuiteacute de lrsquoentreprise couvrir les rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes leur management et leurs clients et les processus drsquoeacutelaboration des regravegles et des structures pour documenter tester et mettre en œuvre les plans de reprise et de secours informatique Ce plan doit aussi traiter des questions comme lrsquoidentification des ressources critiques des interdeacutependances cleacutes la surveillance et les comptes-rendus sur la disponibiliteacute des ressources critiques les traitements alternatifs et les principes de sauvegarde et de restauration
DS42 Plans de continuiteacute informatique En se basant sur le reacutefeacuterentiel deacutevelopper des plans de continuiteacute des SI destineacutes agrave reacuteduire les conseacutequences drsquoune perturbation majeure des fonctions et processus meacutetiers cleacutes Les plans doivent tenir compte drsquoune eacutevaluation du risque en termes drsquoimpacts potentiels pour les meacutetiers et doivent traiter des exigences de reacutesilience des traitements alternatifs et des capaciteacutes de restauration pour tous les services informatiques critiques Ils doivent aussi prendre en compte les guides de mise en oeuvre les rocircles et responsabiliteacutes les proceacutedures les processus de communication et les modaliteacutes de tests
DS43 Ressources informatiques critiques Concentrer lrsquoattention sur les eacuteleacutements consideacutereacutes comme les plus vitaux dans le plan de continuiteacute des SI pour en renforcer la capaciteacute de reacutesilience et eacutetablir les prioriteacutes lorsqursquoon est dans une situation de reprise Eacuteviter de perdre du temps agrave reacutecupeacuterer les eacuteleacutements les moins importants et tenir compte des prioriteacutes des besoins meacutetiers pour la reacuteaction et la reprise srsquoassurer aussi que les coucircts restent agrave un niveau acceptable et se conformer aux exigences reacuteglementaires et contractuelles Prendre en compte les exigences de dureacutee en matiegravere de reacutesilience reacuteactiviteacute et reprise pour diffeacuterents laps de temps par ex 1 agrave 2 heures 4 agrave 24 heures plus de 24 heures et les peacuteriodes critiques drsquoexploitation des meacutetiers
DS44 Maintenance du plan de continuiteacute des SI Encourager la direction informatique agrave deacutefinir et agrave mettre en œuvre des proceacutedures de controcircle des modifications pour sassurer que le plan de continuiteacute des SI est maintenu agrave jour et reflegravete en continu les veacuteritables exigences meacutetiers Communiquer clairement et en temps opportun les modifications de proceacutedures et de responsabiliteacutes
DS45 Tests du plan de continuiteacute des SI Tester reacuteguliegraverement le plan de continuiteacute des SI pour srsquoassurer qursquoon peut restaurer efficacement les systegravemes informatiques qursquoon traite les anomalies et que le plan reste pertinent Cela exige de faire une preacuteparation minutieuse de documenter les tests de rendre compte des reacutesultats et de mettre en place un plan drsquoaction en fonction de ces reacutesultats Envisager drsquoeacutetendre les tests de restauration drsquoapplications individuelles agrave des sceacutenarios de tests inteacutegreacutes agrave des tests exhaustifs et agrave lrsquointeacutegration de tests fournisseurs
DS46 Formation au plan de continuiteacute des SI Assurer pour toutes les parties concerneacutees des sessions de formation peacuteriodiques sur les proceacutedures et sur leurs rocircles et responsabiliteacutes en cas dincident ou de sinistre Veacuterifier et ameacuteliorer la formation en fonction des reacutesultats des tests de situations drsquourgence
DS47 Diffusion du plan de continuiteacute des SI Veacuterifier ou faire en sorte qursquoil existe une strateacutegie de diffusion deacutefinie et geacutereacutee pour srsquoassurer que tous les plans sont distribueacutes de faccedilon sucircre et qursquoils sont disponibles pour les parties ducircment autoriseacutees et inteacuteresseacutees agrave lrsquoendroit et au moment ougrave elles en ont besoin Bien veacuterifier que les plans soient accessibles selon tous les sceacutenarios de sinistres
DS48 Reprise et redeacutemarrage des services informatiques Preacutevoir les actions agrave entreprendre pendant la peacuteriode de reprise et de redeacutemarrage des services informatiques Cela peut concerner lrsquoactivation de sites de secours le lancement de traitements alternatifs la communication en direction des parties prenantes et des clients les proceacutedures de redeacutemarrage etc Srsquoassurer que les meacutetiers comprennent les deacutelais de restauration et les investissements informatiques neacutecessaires pour faire face aux besoins de reprise et de redeacutemarrage des meacutetiers
DS49 Stockage de sauvegardes hors site Stocker hors site tous les supports de sauvegarde critiques la documentation et les autres ressources informatiques neacutecessaires agrave la reprise des SI et aux plans de continuiteacute meacutetiers Le contenu de ce stockage de sauvegarde doit ecirctre deacutetermineacute par une collaboration entre les proprieacutetaires des processus meacutetiers et le personnel informatique Les responsables de lrsquoinstallation de stockage hors site doivent srsquoaligner sur la politique de classification des donneacutees et sur les pratiques de stockage des supports de lrsquoentreprise La direction informatique doit sassurer que les eacutequipements hors site sont eacutevalueacutes peacuteriodiquement au moins annuellement en ce qui concerne leur contenu leur protection vis-agrave-vis de lenvironnement et leur seacutecuriteacute Srsquoassurer que la compatibiliteacute des mateacuteriels et de logiciels permet de restaurer les donneacutees archiveacutees et tester et rafraicircchir peacuteriodiquement les archives
DS410 Revue apregraves redeacutemarrage Veacuterifier si la direction informatique a mis en place des proceacutedures pour eacutevaluer ladeacutequation du plan de reprise de lrsquoinformatique dans de bonnes conditions apregraves un sinistre et mettre agrave jour le plan en conseacutequence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 114
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer un service continu DS4
GUIDE DE MANAGEMENT
DS4 Assurer un service continu
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI2 Speacutecifications de disponibiliteacute continuiteacute et reprise
AI4 Manuels utilisateur drsquoassistance technique et drsquoadministration
DS1 CS et CE
Sorties Vers Reacutesultats des tests de secours PO9 Eleacutements de configuration informatique critiques DS9 Plan de stockage et de protection hors site DS11 DS13 Seuils incidentssinistres DS8 Exigences de service en cas de sinistres y compris rocircles et responsabiliteacutes
DS1 DS2
Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes Deacutevelopper un reacutefeacuterentiel de continuiteacute des SI C C A C R R R C C R
Reacutealiser des analyses drsquoimpact et des eacutevaluations des risques au niveau des meacutetiers C C C C AR C C C C C
Deacutevelopper et maintenir les plans de continuiteacute des SI I C C C I AR C C C C
Identifier et reacutepartir par cateacutegories les ressources informatiques en fonction des objectifs de reprise C AR C I C I
Deacutefinir et mettre en œuvre des proceacutedures de controcircle des changements pour srsquoassurer que le plan de continuiteacute des SI est agrave jour
I AR R R R I
Tester reacuteguliegraverement le plan de continuiteacute des SI I I AR C C I I
Eacutelaborer un plan drsquoactions agrave entreprendre agrave la suite des reacutesultats des tests C I AR C R R R I
Planifier et mettre en œuvre la formation agrave la continuiteacute des SI I R AR C R I I
Planifier la reprise et le redeacutemarrage des services informatiques I I C C AR C R R R C
Planifier et mettre en place le stockage et la protection des sauvegardes I AR C C I I
Eacutelaborer des proceacutedures pour conduire des revues apregraves reprise C I AR C C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
deacutefinit deacutefinit
induit
induit
bull Pourcentage de conventions de services disponibles satisfaites bull Nb de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte par le plan de continuiteacute des SI bull Pourcentage de tests qui atteignent les objectifs de secours bull Freacutequence des interruptions de services des systegravemes critiques
bull Deacutelai entre les tests de tout eacuteleacutement du plan de continuiteacute des SI bull Nombre annuel drsquoheures de formation sur la continuiteacute des SI suivies par employeacute informatique concerneacute bull Pourcentage de composants dinfrastructures critiques dont la disponibiliteacute est surveilleacutee automatiquement bull Freacutequence des revues du plan de continuiteacute des SI
Meacutetriq
ues
bull Nb drsquoheures mensuelles perdues par utilisateur du fait drsquointerruptions impreacutevues
Processus
bull Eacutetablir un plan de continuiteacute des SI qui srsquoappuie sur les plans de continuiteacute des meacutetiers bull Deacutevelopper des plans de continuiteacute des SI testeacutes et tenus agrave jour qui puissent ecirctre mis en œuvre bull Reacuteduire le plus possible la probabiliteacute drsquointerruption des services informatiques
Activiteacutes
bull Deacutevelopper et maintenir (ameacuteliorer) les plans de secours informatiques bull Srsquoexercer sur les plans de secours informatiques et les tester bull Stocker hors site des copies des plans de secours et des donneacutees
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 115
Deacutelivrer et Supporter DS4 Assurer un service continu
MODEgraveLE DE MATURITEacute
DS4 Assurer un service continu
La gestion du processus Assurer un service continu qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers est
0 Inexistante quand
On na pas conscience des risques ni des menaces qui pegravesent sur lrsquoinformatique de ses points vulneacuterables ni de lrsquoimpact drsquoune perte de services informatiques sur les meacutetiers On ne considegravere pas que la continuiteacute des services doive mobiliser lattention du management
1 Initialiseacute au cas par cas quand
Les responsabiliteacutes pour assurer un service continu sont informelles et lrsquoautoriteacute pour exercer ces responsabiliteacutes est limiteacutee Le management commence agrave prendre conscience du besoin dune continuiteacute des services et des risques lieacutes au manque de continuiteacute Lrsquoattention que precircte le management agrave la continuiteacute se porte davantage sur les ressources de lrsquoinfrastructure que sur les services informatiques Les utilisateurs mettent en place des solutions de contournement lorsque le service srsquointerrompt Les reacuteponses de lrsquoinformatique aux interruptions majeures de continuiteacute deacutependent des circonstances et ne sont pas preacutepareacutees On programme des interruptions de services en fonction des besoins de linformatique mais elles ne tiennent pas compte des exigences des meacutetiers
2 Reproductible mais intuitive quand
On a nommeacute des responsables de la continuiteacute des services Les approches du problegraveme sont fragmentaires Les rapports sur la disponibiliteacute des systegravemes sont sporadiques eacuteventuellement incomplets et ne prennent pas en compte limpact sur les meacutetiers Il nexiste pas de plans de continuiteacute des SI documenteacutes bien quil y ait un engagement agrave assurer un service continu et quon en connaisse les principes essentiels Un inventaire des systegravemes et des composants critiques existe mais il nrsquoest pas toujours fiable On voit eacutemerger des pratiques de service continu mais leur succegraves repose sur certaines personnes
3 Deacutefinie quand
Il nrsquoy a pas drsquoambiguiumlteacute sur la responsabiliteacute finale de la gestion de la continuiteacute On a clairement deacutefini et attribueacute les responsabiliteacutes opeacuterationnelles de la planification et des tests de continuiteacute des services Les plans de continuiteacute des SI sont documenteacutes et axeacutes sur les points vitaux des systegravemes et sur lrsquoimpact pour les meacutetiers Les tests de continuiteacute de services donnent lieu agrave des rapports reacuteguliers Certaines personnes prennent lrsquoinitiative de suivre les normes et de recevoir une formation pour affronter des incidents majeurs ou des sinistres Le management communique constamment sur la neacutecessiteacute drsquoun plan de continuiteacute des services On utilise des composants de haute disponibiliteacute et des systegravemes redondants On tient agrave jour un inventaire des systegravemes et composants les plus vitaux
4 Geacutereacutee et mesurable quand
On impose les responsabiliteacutes et les standards du service continu Les responsables de la maintenance du plan de continuiteacute sont deacutesigneacutes Les activiteacutes de maintenance se basent sur les reacutesultats des tests de service continu sur les bonnes pratiques internes et sur les eacutevolutions de lrsquoenvironnement informatique et meacutetiers On recueille dans une base structureacutee des informations sur la continuiteacute des services on les analyse on eacutelabore des rapports et on agit en conseacutequence Il existe une formation formaliseacutee et obligatoire sur les processus de service continu On deacuteploie systeacutematiquement les bonnes pratiques de disponibiliteacute des systegravemes Les pratiques de redondance et de planification de la continuiteacute des services sinfluencent reacuteciproquement Les incidents de rupture de continuiteacute sont reacutepartis par cateacutegorie et les proceacutedures drsquoescalade graduelles pour y remeacutedier sont bien connues de toutes les personnes concerneacutees On a deacuteveloppeacute et fait adopter des objectifs et des meacutetriques pour la continuiteacute des services mais ils ne sont pas toujours systeacutematiquement mesureacutes
5 Optimiseacutee quand
Les processus inteacutegreacutes de continuiteacute de services tiennent compte des tests comparatifs et des meilleures pratiques externes Le plan de continuiteacute des SI est inteacutegreacute aux plans de continuiteacute des meacutetiers et il est systeacutematiquement tenu agrave jour On sassure aupregraves des vendeurs et des fournisseurs principaux quils respecteront les exigences de continuiteacute des services On pratique des tests globaux du plan de continuiteacute des SI et leurs reacutesultats servent agrave mettre le plan agrave jour On utilise la collecte et lanalyse de donneacutees pour lrsquoameacutelioration continue du processus Les pratiques de disponibiliteacute et de service continu sont complegravetement aligneacutees Le management veacuterifie qursquoun sinistre ou un incident majeur ne se produiront pas du fait drsquoun seul maillon faible On comprend et on applique complegravetement les proceacutedures descalade On eacutevalue systeacutematiquement les objectifs et les meacutetriques qui concernent les reacutesultats du service continu Le management ajuste les plans de continuiteacute des services en fonction du reacutesultat des mesures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 116
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS S
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
DESCRIPTION DU PROCESSUS
DS5 Assurer la seacutecuriteacute des systegravemes
Le besoin de maintenir lrsquointeacutegriteacute de lrsquoinformation et de proteacuteger les actifs informatiques exige un processus de gestion de la seacutecuriteacute Ce processus comporte la mise en place et la maintenance de rocircles et responsabiliteacutes politiques plans et proceacutedures informatiques La gestion de la seacutecuriteacute implique aussi une surveillance de la seacutecuriteacute des tests peacuteriodiques et des actions correctives lors drsquoincidents ou de deacutecouverte de failles dans la seacutecuriteacute Une gestion efficace de la seacutecuriteacute protegravege tous les actifs informatiques pour reacuteduire le plus possible les conseacutequences de vulneacuterabiliteacutes et drsquoincidents de seacutecuriteacute
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S
Le controcircle du processus informatique
Assurer la seacutecuriteacute des systegravemes
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute
en se concentrant sur
la deacutefinition de politiques de proceacutedures et de plans de seacutecuriteacute informatique et la surveillance et la deacutetection des vulneacuterabiliteacutes et des incidents de seacutecuriteacute leur reacutesolution et leur compte-rendu
atteint son objectif en
bull comprenant les exigences les vulneacuterabiliteacutes et les menaces de seacutecuriteacute bull geacuterant les identiteacutes et les autorisations des utilisateurs de faccedilon standardiseacutee bull testant reacuteguliegraverement la seacutecuriteacute
et est mesureacute par
bull le nombre drsquoincidents qui portent atteinte agrave la reacuteputation de lrsquoentreprise bull le nombre de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull le nombre de manquements au principe de seacuteparation des tacircches
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 117
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
OBJECTIFS DE CONTROcircLE
DS5 Assurer la seacutecuriteacute des systegravemes
DS51 Gestion de la seacutecuriteacute informatique Geacuterer la seacutecuriteacute informatique au plus haut niveau approprieacute de lrsquoentreprise de faccedilon agrave ce que la gestion des actions de seacutecuriteacute soit aligneacutee sur les exigences des meacutetiers
DS52 Plan de seacutecuriteacute informatique Traduire les exigences des meacutetiers des risques et de la conformiteacute dans un plan global de seacutecuriteacute informatique tenant compte de lrsquoinfrastructure informatique et de la culture de la seacutecuriteacute Srsquoassurer que le plan se deacutecline en politiques et proceacutedures de seacutecuriteacute assorties des investissements approprieacutes en services personnels logiciels et mateacuteriels Communiquer les politiques et les proceacutedures de seacutecuriteacute aux parties prenantes et aux utilisateurs
DS53 Gestion des identiteacutes Srsquoassurer que tous les utilisateurs (internes externes et temporaires) et leur action sur les systegravemes informatiques (applications meacutetiers environnement informatique exploitation deacuteveloppement et maintenance des systegravemes) sont identifiables sans ambiguiumlteacute Geacuterer les identiteacutes agrave lrsquoaide de systegravemes drsquoauthentification Srsquoassurer que les droits drsquoaccegraves des utilisateurs aux systegravemes et aux donneacutees sont en accord avec des besoins meacutetiers deacutefinis et documenteacutes et que des profils de fonctions sont attacheacutes aux identiteacutes Srsquoassurer que les droits drsquoaccegraves des utilisateurs sont demandeacutes par leur management approuveacutes par le proprieacutetaire du systegraveme et mis en place par la personne responsable de la seacutecuriteacute Tenir agrave jour les identiteacutes et les droits drsquoaccegraves des utilisateurs dans un entrepocirct de donneacutees centraliseacute Deacuteployer et maintenir opeacuterationnelles au meilleur coucirct des techniques et des proceacutedures pour creacuteer lrsquoidentiteacute des utilisateurs mettre en œuvre leur authentification et pour faire respecter les droits drsquoaccegraves
DS54 Gestion des comptes utilisateurs Disposer de proceacutedures de gestion des comptes utilisateurs permettant de traiter les demandes attributions ouvertures suspensions modifications et clocirctures des comptes utilisateurs et des droits associeacutes Y inclure une proceacutedure dapprobation speacutecifiant le nom du proprieacutetaire des donneacutees ou du systegraveme qui attribue les droits daccegraves Ces proceacutedures doivent srsquoappliquer agrave tous les utilisateurs y compris les administrateurs (utilisateurs privileacutegieacutes) les utilisateurs internes et externes dans les circonstances normales ou dans les cas drsquourgence Les droits et obligations relatifs agrave lrsquoaccegraves aux systegravemes et aux donneacutees de lrsquoentreprise doivent faire lrsquoobjet drsquoaccord contractuel avec tous les types drsquoutilisateurs Effectuer une revue reacuteguliegravere de la gestion de tous les comptes et des privilegraveges associeacutes
DS55 Tests de seacutecuriteacute vigilance et surveillance Tester et surveiller de faccedilon proactive la mise en place de la seacutecuriteacute informatique Pour srsquoassurer que la seacutecuriteacute informatique se maintient au niveau convenu il faut revoir et renouveler en temps voulu sa validation Une fonction de surveillance des identifications doit permettre une preacutevention deacutetection rapide suivie drsquoun rapport en temps voulu des activiteacutes inhabituellesanormales qursquoil peut ecirctre neacutecessaire de traiter
DS56 Deacutefinition des incidents de seacutecuriteacute Deacutefinir clairement et communiquer les caracteacuteristiques des incidents de seacutecuriteacute potentiels de faccedilon agrave ce que ceux-ci soient classifieacutes et traiteacutes comme il convient par le processus de gestion des incidents et des problegravemes
DS57 Protection de la technologie de seacutecuriteacute Rendre reacutesistants agrave des tentatives drsquointrusion les composants de seacutecuriteacute et ne pas divulguer la documentation sur la seacutecuriteacute inutilement
DS58 Gestion des clefs de chiffrement Srsquoassurer que sont en place des politiques et des proceacutedures pour geacuterer la geacuteneacuteration la modification la reacutevocation la destruction la distribution la certification le stockage lentreacutee lutilisation et larchivage de cleacutes de chiffrement afin de garantir leur protection contre toute modification ou divulgation non autoriseacutee
DS59 Preacutevention deacutetection et neutralisation des logiciels malveillants Mettre en place des mesures de preacutevention deacutetection et neutralisation (en particulier des correctifs de seacutecuriteacute et des anti-virus agrave jour) dans lrsquoensemble de lrsquoentreprise pour proteacuteger les systegravemes drsquoinformation et la technologie des logiciels malveillants (par ex virus vers logiciels espion pourriels (spams))
DS510 Seacutecuriteacute des reacuteseaux Mettre en œuvre des techniques de seacutecuriteacute et des proceacutedures de gestion associeacutees (ex pare-feux dispositifs de seacutecuriteacute compartimentage reacuteseau deacutetection drsquointrusion) pour autoriser et controcircler les flux drsquoinformations entre reacuteseaux
DS511 Eacutechange de donneacutees sensibles Ne faire circuler les eacutechanges de donneacutees sensibles que sur des circuits sucircrs ou sur des supports doteacutes de controcircles qui garantissent lrsquoauthenticiteacute du contenu et fournissent la preuve de la reacuteception et celle de non-reacutepudiation de la part de lrsquoexpeacutediteur
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 118
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5
GUIDE DE MANAGEMENT
DS5 Assurer la seacutecuriteacute des systegravemes
De Entreacutees
PO2 Architecture de lrsquoinformation classifications attribueacutees aux donneacutees
PO3 Standards informatiques
PO9 Eacutevaluation des risques
AI2 Speacutecification des controcircles de seacutecuriteacute des applications
DS1 CE
Sorties Vers Deacutefinition des incidents de seacutecuriteacute DS8 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS7
Rapports sur la performance des processus SE1 Modifications de seacutecuriteacute requises AI6 Menaces et vulneacuterabiliteacutes de seacutecuriteacute PO9 Plan et politiques de seacutecuriteacute informatique DS11
Tableau RACI
Activiteacutes Deacutefinir et tenir agrave jour un plan de seacutecuriteacute informatique I C C A C C C C I I R
Deacutefinir mettre en place et appliquer un processus de gestion des identiteacutescomptes utilisateurs I A C R R I C
Surveiller les incidents de seacutecuriteacute aveacutereacutes et potentiels A I R C C R
Reacuteviser et valider peacuteriodiquement les droits drsquoaccegraves et privilegraveges utilisateurs I A C R
Installer et tenir agrave jour des proceacutedures de maintenance et de sauvegarde des cleacutes de chiffrement A R I C
Mettre en place et tenir agrave jour des controcircles techniques et proceacuteduraux pour proteacuteger les flux de donneacutees entre reacuteseaux
A C C R R C
Pratiquer des eacutevaluations reacuteguliegraveres de la vulneacuterabiliteacute I A I C C C R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les donneacutees critiques et confidentielles ne sont pas accessibles agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement bull Proteacuteger tous les actifs informatiques et en ecirctre responsable bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir
induit
induit
Meacutetriq
ues
bull Nb drsquoincidents qui ont un impact meacutetier bull Nb de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull Deacutelai pour attribuer modifier et annuler les privilegraveges drsquoaccegraves
bull Nb et types drsquoaccegraves frauduleux suspecteacutes et aveacutereacutes bull Nb de manquements au principe de seacuteparation des tacircches bull Pourcentage drsquoutilisateurs qui ne se conforment pas aux normes des mots de passe bull Nb et types de codes malveillants bloqueacutes
bull Freacutequence des revues des types drsquoeacuteveacutenements de seacutecuriteacute agrave surveiller bull Nb et type de comptes dormants bull Nb drsquoadresses IP non autoriseacutees de ports et de types de trafic refuseacutes bull Pourcentage de cleacutes de chiffrement compromises et deacutesactiveacutees bull Nb de droits drsquoaccegraves autoriseacutes deacutesactiveacutes reacuteinitialiseacutes ou modifieacutes
Processus
bull Ne permettre lrsquoaccegraves aux donneacutees critiques et sensibles qursquoaux seuls utilisateurs autoriseacutes bull Identifier et surveiller les failles et les incidents de seacutecuriteacute et en rendre compte bull Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications et agrave lrsquoinfrastructure bull Reacuteduire au maximum les conseacutequences des failles identifieacutees et des incidents de seacutecuriteacute
Activiteacutes
bull Comprendre les exigences vulneacuterabiliteacutes et menaces de seacutecuriteacute bull Geacuterer les identiteacutes et les habilitations des utilisateurs de faccedilon standardiseacutee bull Deacutefinir les incidents de seacutecuriteacute bull Tester reacuteguliegraverement la seacutecuriteacute
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 119
Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes
MODEgraveLE DE MATURITEacute
DS5 Assurer la seacutecuriteacute des systegravemes
La gestion du processus Assurer la seacutecuriteacute des systegravemes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute est
0 Inexistante quand
Lrsquoentreprise ne reconnaicirct pas le besoin de seacutecuriteacute informatique Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute ne sont pas attribueacutees On na pas mis en place de mesures pour geacuterer la seacutecuriteacute informatique Il ny a pas de rapports sur cette question ni de processus pour reacuteagir aux atteintes agrave la seacutecuriteacute informatique Il y a une absence totale de processus reconnaissable dadministration de la seacutecuriteacute des systegravemes
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin de seacutecuriteacute informatique La sensibilisation au besoin de seacutecuriteacute est principalement une affaire individuelle On reacuteagit aux circonstances La seacutecuriteacute informatique ne fait pas lrsquoobjet de mesures Chacun deacutesigne quelquun dautre lorsque des atteintes agrave la seacutecuriteacute sont deacutetecteacutees parce que les responsabiliteacutes ne sont pas clairement deacutefinies On ne peut pas preacutevoir quelles reacuteponses seront donneacutees aux incidents de seacutecuriteacute
2 Reproductible mais intuitive quand
Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute des SI sont confieacutees agrave un coordinateur bien que son autoriteacute soit limiteacutee La sensibilisation au besoin de seacutecuriteacute est fragmentaire et limiteacutee Bien que les systegravemes produisent des informations relatives agrave la seacutecuriteacute on ne les analyse pas Les services fournis par des tiers ne reacutepondent pas toujours aux besoins de seacutecuriteacute speacutecifiques de lrsquoentreprise On deacuteveloppe des politiques de seacutecuriteacute mais les compeacutetences et les outils sont inadeacutequats Les rapports sur la seacutecuriteacute sont incomplets trompeurs ou sans pertinence Il existe une formation agrave la seacutecuriteacute mais elle reste avant tout une initiative individuelle La seacutecuriteacute informatique est consideacutereacutee surtout comme de la responsabiliteacute et du domaine de lrsquoinformatique et les meacutetiers ne voient pas qursquoelle fait partie du sien
3 Deacutefinie quand
Le management fait la promotion de la seacutecuriteacute et le personnel commence agrave y ecirctre sensibiliseacute Les proceacutedures de seacutecuriteacute informatique sont deacutefinies et aligneacutees sur la politique de seacutecuriteacute des SI Les responsabiliteacutes dans ce domaine sont attribueacutees et comprises mais pas systeacutematiquement exerceacutees Il existe un plan de seacutecuriteacute des SI et des solutions eacutelaboreacutees agrave partir de lrsquoanalyse des risques Les rapports sur la seacutecuriteacute ne sont pas clairement axeacutes sur les meacutetiers On fait des tests de seacutecuriteacute (ex tests drsquointrusion) au cas par cas La formation agrave la seacutecuriteacute est accessible au personnel informatique et des meacutetiers mais elle nrsquoest geacutereacutee et planifieacutee que de faccedilon informelle
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes de la seacutecuriteacute des SI sont clairement attribueacutees geacutereacutees et exerceacutees On analyse reacuteguliegraverement les risques informatiques et leurs conseacutequences On complegravete les politiques et les proceacutedures de seacutecuriteacute par des principes de base speacutecifiques agrave la seacutecuriteacute On rend obligatoire les meacutethodes pour promouvoir la sensibilisation agrave la seacutecuriteacute On a standardiseacute lidentification des utilisateurs leur authentification et leurs droits daccegraves On poursuit la certification des personnels responsables de lrsquoaudit et de la gestion de la seacutecuriteacute Les tests de seacutecuriteacute utilisent un processus standardiseacute et formaliseacute qui conduit agrave des ameacuteliorations des niveaux de seacutecuriteacute Les processus de seacutecuriteacute des SI sont coordonneacutes avec la fonction de seacutecuriteacute geacuteneacuterale de lentreprise Les rapports sur la seacutecuriteacute informatique sont lieacutes aux objectifs meacutetiers La formation agrave la seacutecuriteacute est suivie agrave la fois par le personnel informatique et par le personnel des meacutetiers La formation agrave la seacutecuriteacute est planifieacutee et geacutereacutee de faccedilon agrave reacutepondre aux besoins des meacutetiers et aux profils de risques deacutefinis pour la seacutecuriteacute On a deacutefini des objectifs et des meacutetriques de gestion de la seacutecuriteacute mais on ne les eacutevalue pas encore
5 Optimiseacutee quand
La seacutecuriteacute des SI est sous la responsabiliteacute conjointe des responsables meacutetiers et informatique et elle fait partie des objectifs de seacutecuriteacute de lentreprise Les exigences de seacutecuriteacute informatique sont clairement deacutefinies optimiseacutees et incluses dans un plan de seacutecuriteacute approuveacute Les utilisateurs et les clients sont de plus en plus responsables de la deacutefinition des exigences de seacutecuriteacute et les fonctions de seacutecuriteacute sont inteacutegreacutees aux applications degraves la conception On traite rapidement les incidents de seacutecuriteacute agrave lrsquoaide de proceacutedures speacutecifiques formaliseacutees qui srsquoappuient sur des outils informatiques Des eacutevaluations peacuteriodiques de la seacutecuriteacute permettent drsquoeacutevaluer le bon fonctionnement du plan de seacutecuriteacute On collecte et on analyse systeacutematiquement les informations sur les menaces et sur les failles de seacutecuriteacute On communique et on met rapidement en place des controcircles adapteacutes pour reacuteduire les risques Lameacutelioration permanente des processus sappuie sur des tests de seacutecuriteacute une analyse causale des incidents de seacutecuriteacute et une identification proactive des risques Les processus et technologies de seacutecuriteacute sont inteacutegreacutes dans lensemble de lentreprise On eacutevalue on recueille les meacutetriques de la gestion de la seacutecuriteacute et on en communique le reacutesultat Le management en utilise les reacutesultats pour adapter le plan de seacutecuriteacute selon un processus drsquoameacutelioration continue
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 120
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
DESCRIPTION DU PROCESSUS
DS6 Identifier et imputer les coucircts
La neacutecessiteacute drsquoun systegraveme loyal et eacutequitable pour affecter les coucircts informatiques aux meacutetiers exige qursquoils soient chiffreacutes avec preacutecision et qursquoun accord soit conclu avec les utilisateurs meacutetiers sur une juste reacutepartition Ce processus comprend lrsquoeacutelaboration et la mise en œuvre drsquoun systegraveme pour calculer et affecter les coucircts informatiques et en rendre compte aux utilisateurs de services Un systegraveme de reacutepartition juste permet aux meacutetiers de prendre des deacutecisions mieux documenteacutees agrave propos de lrsquoutilisation des services informatiques
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Surveiller et Evaluer
Identifier et imputer les coucircts
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques
en se concentrant sur
un recensement complet et preacutecis des coucircts informatiques un systegraveme de reacutepartition juste qui a lrsquoaccord des utilisateurs meacutetiers et un systegraveme de comptes-rendus en temps opportun de lrsquoutilisation des SI et de lrsquoaffectation des coucircts
atteint son objectif en
bull faisant correspondre les charges avec la qualiteacute et la quantiteacute des services fournis bull eacutelaborant et en faisant adopter un modegravele de coucircts exhaustif bull reacutepercutant les charges conformeacutement agrave la politique agreacuteeacutee
et est mesureacute par
bull le pourcentage de factures de services informatiques accepteacuteespayeacutees par la direction des meacutetiers
bull le pourcentage des eacutecarts entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull le pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux
modegraveles de coucircts agreacuteeacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 121
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
OBJECTIFS DE CONTROcircLE
DS6 Identifier et imputer les coucircts
DS61 Deacutefinition des services Identifier tous les coucircts informatiques et les faire correspondre aux services informatiques pour aider agrave bacirctir un modegravele de coucircts transparent Il faut lier les services informatiques aux processus meacutetiers pour que les meacutetiers puissent identifier les niveaux de facturation de services associeacutes
DS62 Comptabiliteacute de lrsquoinformatique Calculer et affecter les coucircts reacuteels en respectant le modegravele de coucircts de lrsquoentreprise Les eacutecarts entre les preacutevisions et les coucircts reacuteels doivent faire lrsquoobjet drsquoanalyses et de comptes-rendus conformes aux systegravemes de mesure financiers de lrsquoentreprise
DS63 Modegravele de coucircts et facturation En se basant sur la deacutefinition des services deacutefinir et mettre en place un modegravele de coucircts qui permette le calcul du taux de refacturation interne par service Le modegravele de coucircts informatiques doit permettre aux utilisateurs drsquoidentifier de mesurer et de preacutevoir la facturation des services pour encourager une bonne utilisation des ressources
DS64 Maintenance du modegravele de coucircts Faire reacuteguliegraverement des revues et des tests comparatifs du modegravele de coucircts et de refacturation pour en maintenir la pertinence et lrsquoadeacutequation aux eacutevolutions des activiteacutes meacutetiers et informatique
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 122
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Identifier et imputer les coucircts DS6
GUIDE DE MANAGEMENT
DS6 Identifier et imputer les coucircts
De Entreacutees
PO4 Proprieacutetaires de systegravemes documenteacutes
PO5 Rapports coucirctsbeacuteneacutefices budgets informatiques
PO10 Plans deacutetailleacutes des projets
DS1 CS et CE
Sorties Vers Donneacutees financiegraveres informatiques PO5 Rapports sur la performance des processus SE1
Faire correspondre les infrastructures informatiques aux services fournis etou aux processus meacutetiers qursquoelles supportent
C C A C C C C R C
Identifier tous les coucircts informatiques (personnel technologie etc) et les faire correspondre aux services informatiques sur la base de leur coucirct unitaire
C A C C C R C
Mettre en place et maintenir opeacuterationnel un processus de comptabiliteacute et de controcircle des coucircts informatiques C C A C C C C R C
Mettre en place et maintenir opeacuterationnelles des politiques et des proceacutedures de facturation C C A C C C C R C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Ameacuteliorer la rentabiliteacute lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Pourcentage de factures de services informatiques accepteacuteespayeacutees par les directions meacutetiers bull Coucirct unitaire par service du deacutepassement de temps bull Pourcentage de satisfaction meacutetiers (sondage) du modegravele de coucircts des services informatiques
bull Pourcentage deacutecart entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull Pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux modegraveles de coucircts agreacuteeacutes bull Pourcentage des coucircts contesteacutes par les meacutetiers
bull Pourcentage drsquoutilisateurs meacutetiers impliqueacutes dans la deacutefinition des modegraveles de coucircts bull Freacutequence des revues des modegraveles drsquoaffectation des coucircts bull Pourcentage des coucircts qui sont imputeacutes automatiquementmanuellement
Processus
bull Eacutelaborer une deacutefinition loyale et eacutequitable des coucircts et des services informatiques bull Calculer avec preacutecision les coucircts des services informatiques bull Imputer loyalement et eacutequitablement les coucircts informatiques aux consommateurs de services informatiques
Activiteacutes
bull Revues par les directions meacutetiers des coucircts affecteacutes bull Faire correspondre les factures avec la qualiteacute des services fournis bull Eacutelaborer et faire adopter un modegravele de coucircts exhaustif bull Mettre en place une facturation conforme agrave la politique agreacuteeacutee bull Faire reacuteguliegraverement des tests comparatifs de coucirctsdeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 123
Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts
MODEgraveLE DE MATURITEacute
DS6 Identifier et imputer les coucircts
La gestion du processus Identifier et imputer les coucircts qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques est
0 Inexistante quand
Il y a une absence totale de processus reconnaissable susceptible de faire ressortir et dimputer les coucircts en ce qui concerne les services informatiques fournis Lentreprise ne reacutealise mecircme pas quil y a lagrave une question agrave traiter et personne ne communique sur ce sujet
1 Initialiseacutee au cas par cas quand
On comprend que les services informatiques ont un coucirct global mais ces coucircts ne sont pas reacutepartis par utilisateur client service groupe dutilisateurs fonction projet ou livrable Il nexiste pratiquement pas de suivi des coucircts seuls des comptes rendus sur les coucircts globaux non deacutetailleacutes sont fournis au management dans les rapports Les coucircts informatiques sont imputeacutes comme des frais geacuteneacuteraux opeacuterationnels Les meacutetiers ne reccediloivent aucune information sur les coucircts ou les beacuteneacutefices de la fourniture de services
2 Reproductible mais intuitive quand
On a geacuteneacuteralement pris conscience du besoin de faire ressortir les coucircts et de les imputer Limputation est baseacutee sur des hypothegraveses informelles et rudimentaires telles que les coucircts des mateacuteriels et il ny a pratiquement aucun lien avec la valeur geacuteneacutereacutee Les processus drsquoimputation des coucircts sont reproductibles Il nexiste ni formation ni communication formelles sur les proceacutedures standard didentification et dimputation des coucircts On nrsquoa pas affecteacute la responsabiliteacute de collecter ou drsquoaffecter les coucircts
3 Deacutefinie quand
Il existe un modegravele de coucircts des services informatiques deacutefini et documenteacute On deacutefinit un processus qui rend compte des coucircts informatiques des services fournis aux utilisateurs On a une bonne conscience des coucircts imputables aux services informatiques Les meacutetiers disposent drsquoinformations rudimentaires sur les coucircts
4 Geacutereacutee et mesurable quand
Les responsabiliteacutes opeacuterationnelles et finales de gestion des coucircts des services informatiques sont bien deacutefinies et pleinement comprises agrave tous les niveaux et sappuient sur des formations formelles On sait identifier les coucircts directs et indirects qui font lrsquoobjet de rapports eacutelaboreacutes de faccedilon automatique et en temps voulu destineacutes au management aux proprieacutetaires de processus et aux utilisateurs Drsquoune faccedilon geacuteneacuterale on fait un suivi et une eacutevaluation des coucircts et on reacuteagit si on constate des deacuterives Les comptes-rendus sur les services informatiques sont lieacutes aux objectifs meacutetiers et aux conventions de services et ils sont surveilleacutes par les proprieacutetaires des processus meacutetiers Une fonction financiegravere veacuterifie reacuteguliegraverement si le processus drsquoaffectation des coucircts est raisonnable Il existe un systegraveme de comptabilisation automatiseacute des coucircts mais il est plus axeacute sur la fonction informatique que sur les processus meacutetiers On a adopteacute des objectifs et des meacutetriques drsquoeacutevaluation des coucircts mais ils ne sont pas systeacutematiquement mesureacutes
5 Optimiseacutee quand
On identifie consigne reacutesume et fait le suivi des coucircts des services fournis au management aux proprieacutetaires de processus et aux utilisateurs Les coucircts sont vus comme des articles facturables et peuvent alimenter un systegraveme de refacturation qui facture les utilisateurs de faccedilon approprieacutee en fonction de lutilisation Les conventions de services sappuient sur des coucircts deacutetailleacutes On utilise la surveillance et lrsquoeacutevaluation des coucircts des services pour optimiser les coucircts des ressources informatiques On utilise les chiffres obtenus pour veacuterifier les beacuteneacutefices dans le processus de gestion du budget de lentreprise Les rapports sur les coucircts informatiques permettent decirctre alerteacute assez tocirct en cas drsquoeacutevolutions des exigences des meacutetiers gracircce agrave des systegravemes de reporting intelligents On utilise un modegravele de coucirct variable qui est fonction des volumes traiteacutes pour chaque service fourni On eacutelegraveve la gestion des coucircts au niveau des pratiques de la profession gracircce aux reacutesultats du processus drsquoameacutelioration permanente et agrave la comparaison avec dautres entreprises Lrsquooptimisation des coucircts est un processus permanent La revue des objectifs et des meacutetriques par le management fait partie du processus drsquoameacutelioration continue par lrsquoajustement des systegravemes de mesure des coucircts
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 124
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
DESCRIPTION DU PROCESSUS
DS7 Instruire et former les utilisateurs
La formation efficace de tous les utilisateurs des systegravemes informatiques y compris les informaticiens exige de connaicirctre les besoins en formation de chaque groupe drsquoutilisateurs Outre lrsquoidentification des besoins ce processus doit aussi deacutefinir et mettre en œuvre une strateacutegie de formation efficace et en mesurer les reacutesultats Un programme de formation efficace augmente lrsquoefficaciteacute de lrsquoutilisation de lrsquoinformatique en reacuteduisant le nombre drsquoerreurs commises par les utilisateurs en augmentant la productiviteacute et en ameacuteliorant la conformiteacute aux controcircles cleacutes tels que les mesures de seacutecuriteacute utilisateurs
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Le controcircle du processus informatique
Surveiller et Evaluer
Instruire et former les utilisateurs
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs
en se concentrant sur
une bonne connaissance des besoins en formation des utilisateurs des SI la mise en œuvre drsquoune strateacutegie efficace de formation et la mesure des reacutesultats
atteint son objectif en
bull eacutetablissant des programmes de formation bull organisant la formation bull dispensant la formation bull surveillant et en rendant compte de lrsquoefficaciteacute de la formation
et est mesureacute par
bull le nombre drsquoappels au service drsquoassistance par insuffisance de formation des utilisateurs bull le pourcentage de parties prenantes satisfaites de la formation reccedilue bull le deacutelai entre lidentification dun besoin de formation et la mise en place de cette
formation
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 125
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
OBJECTIFS DE CONTROcircLE
DS7 Instruire et former les utilisateurs
DS71 Identification des besoins en savoir et en formation Eacutetablir et mettre reacuteguliegraverement agrave jour un programme pour chaque groupe cible de salarieacutes en prenant en compte bull Les besoins des meacutetiers et la strateacutegie actuels et futurs bull La valeur de lrsquoinformation en tant qursquoactif bull Les valeurs de lrsquoentreprise (valeurs eacutethiques culture de la seacutecuriteacute et du controcircle etc) bull La mise en place drsquoune nouvelle infrastructure informatique et de nouveaux logiciels (par ex progiciels et applications) bull Les qualifications existantes et futures les profils de compeacutetences et les besoins de certification etou drsquoaccreacuteditation ou de reacuteaccreacuteditation bull Les meacutethodes drsquoenseignement (par ex classe en ligne) la dimension des groupes cibles lrsquoaccessibiliteacute et les horaires
DS72 Fourniture de formation et drsquoenseignement En se basant sur les besoins identifieacutes en formation et en enseignement identifier les groupes cibles et leurs membres les meacutecanismes efficaces les enseignants formateurs et conseillers peacutedagogiques Engager des formateurs et organiser des sessions de formation en temps voulu Enregistrer les inscriptions (y compris les conditions preacutealables) lrsquoassiduiteacute et lrsquoeacutevaluation des performances de la session
DS73 Eacutevaluation de la formation reccedilue Eacutevaluer en fin de session le contenu de lrsquoenseignement et de la formation pour en deacuteterminer la pertinence la qualiteacute lrsquoefficaciteacute ce qui a eacuteteacute retenu le coucirct et la valeur Les reacutesultats de cette eacutevaluation doivent nourrir la deacutefinition des programmes des sessions de formation agrave venir
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 126
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Service formation
Deacutelivrer et Supporter Instruire et former les utilisateurs DS7
GUIDE DE MANAGEMENT
DS7 Instruire et former les utilisateurs
De Entreacutees
PO7 Compeacutetences et connaissances des utilisateurs formation individuelle besoins speacutecifiques de formation
AI4 Mateacuteriels de formation besoins de transfert de connaissances pour la mise en place de solutions
DS1 CE
DS5 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute
DS8 Rapports sur la satisfaction des utilisateurs
Sorties Vers Rapports sur la performance des processus SE1 Mises agrave jour de la documentation requise AI4
Identifier et caracteacuteriser les besoins de formation des utilisateurs C A R C C C C C C R
Construire un programme de formation C A R C I C C C I R
Diriger les activiteacutes de sensibilisation drsquoenseignement et de formation I A C C I C C C I R
Eacutevaluer la formation I A R C I C C C I R
Identifier et eacutevaluer les meilleures meacutethodes et les meilleurs outils pour dispenser la formation I AR R C C C C C C R
Fonctions DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Serviceformation
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
induit
induit
Meacutetriq
ues
bull Taux dameacutelioration de la productiviteacute des employeacutes reacutesultant drsquoune meilleure compreacutehension des systegravemes bull Pourcentage daugmentation de la satisfaction des utilisateurs agrave lrsquoeacutegard du deacuteploiement des services des systegravemes ou des nouvelles technologies
bull Nb dappels au service dassistance pour des besoins de formation ou pour obtenir des reacuteponses agrave des questions bull Pourcentage de parties prenantes satisfaites de la formation reccedilue bull Pourcentage de salarieacutes ayant beacuteneacuteficieacute drsquoune formation
bull Freacutequence des mises agrave jour des programmes de formation bull Deacutelai entre lidentification dun besoin de formation et la mise en place de cette formation
Processus
bull Eacutetablir un programme de formation pour tous les niveaux drsquoutilisateurs en recherchant les meacutethodes ayant le meilleur rapport qualiteacutecoucirct bull Transfeacuterer la connaissance vers les utilisateurs drsquoapplications et de solutions informatiques bull Augmenter la sensibilisation aux responsabiliteacutes et aux risques lieacutes agrave lrsquoutilisation des applications et des solutions informatiques
Activiteacutes
bull Eacutetablir des modules de formation bull Organiser la formation bull Dispenser la formation bull Surveiller et rendre compte de lrsquoefficaciteacute de la formation
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 127
Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs
MODEgraveLE DE MATURITEacute
DS7 Instruire et former les utilisateurs
La gestion du processus Instruire et former les utilisateurs qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs est
0 Inexistante quand
Il y a une absence totale de programme denseignement et de formation Lentreprise na mecircme pas conscience que la formation est une probleacutematique agrave traiter et elle ne communique pas sur ce sujet
1 Initialiseacutee au cas par cas quand
On constate que lentreprise a reconnu le besoin dun programme denseignement et de formation mais il ny a pas de processus standardiseacute En labsence dun programme organiseacute les employeacutes trouvent et suivent des formations de leur cocircteacute Certaines de ces formations traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et aux pratiques de seacutecuriteacute Lapproche globale du management manque complegravetement de coheacutesion et la communication sur ces thegravemes reste sporadique et sans meacutethode
2 Reproductible mais intuitive quand
On a conscience du besoin dun programme denseignement et de formation et des processus associeacutes dans lensemble de lentreprise On commence agrave trouver des formations dans les plans de performance individuels des employeacutes Les processus se sont multiplieacutes au point que des formations informelles et des enseignements ont recours agrave de formateurs diffeacuterents qui traitent des mecircmes questions avec des approches diffeacuterentes Certains cours traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et des pratiques de seacutecuriteacute On se repose beaucoup sur les connaissances de certains individus Cependant on communique sur les difficulteacutes dordre geacuteneacuteral et sur le besoin de les traiter
3 Deacutefinie quand
Le programme denseignement et de formation est eacutelaboreacute et fait lobjet de communications et les employeacutes et le management identifient les besoins de formation et les documentent On standardise et documente les processus denseignement et de formation On mobilise des budgets des ressources des eacutequipements et des formateurs pour ces programmes On donne des cours formels aux employeacutes sur leacutethique du comportement sur la sensibilisation agrave la seacutecuriteacute des systegravemes et sur les pratiques de seacutecuriteacute La plupart des processus denseignement et de formation font lobjet drsquoune surveillance mais le management ne deacutetecte vraisemblablement pas tous les eacutecarts par rapport agrave ces processus On nanalyse quoccasionnellement les problegravemes de formation et denseignement
4 Geacutereacutee et mesurable quand
Il existe un programme complet de formation et drsquoenseignement qui donne des reacutesultats mesurables Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Lenseignement et la formation font partie des plans de carriegravere des employeacutes Le management favorise la tenue de sessions denseignement et de formation et y assiste Tous les employeacutes reccediloivent une formation sur les conduites eacutethiques et sur la sensibilisation agrave la seacutecuriteacute des systegravemes Tous les employeacutes reccediloivent une formation adeacutequate sur les pratiques de seacutecuriteacute agrave loccasion de laquelle ils apprennent agrave proteacuteger les systegravemes des deacutefaillances affectant la disponibiliteacute la confidentialiteacute et linteacutegriteacute Le management veille agrave la conformiteacute en veacuterifiant et en mettant constamment agrave jour les processus et les contenus des programmes de formation et denseignement Les processus sameacuteliorent et on applique les meilleures pratiques internes
5 Optimiseacutee quand
La formation et lenseignement deacutebouchent sur une ameacutelioration des performances individuelles Ils sont devenus des composants essentiels des plans de carriegravere des employeacutes On mobilise les budgets ressources eacutequipements et formateurs qui permettent de mener agrave bien les programmes de formation et denseignement On perfectionne les processus qui sameacuteliorent en permanence tirant profit des meilleures pratiques externes et en se comparant aux autres entreprises sur leacutechelle de maturiteacute On fait lanalyse causale de tous les problegravemes et eacutecarts qui surviennent de faccedilon agrave trouver rapidement des solutions efficaces Lattitude vis-agrave-vis des questions deacutethique et des principes de seacutecuriteacute des systegravemes est positive On utilise largement linformatique de faccedilon inteacutegreacutee et optimiseacutee pour fournir des outils aux programmes de formation et denseignement et pour en automatiser certaines fonctions On mobilise des formateurs externes et on srsquoinspire des reacutesultats des tests comparatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 128
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8 DESCRIPTION DU PROCESSUS
DS8 Geacuterer le service drsquoassistance client et les incidents
Apporter des reacuteponses efficaces et au bon moment aux requecirctes et aux problegravemes des utilisateurs exige un processus bien conduit de gestion du service drsquoassistance et de gestion des incidents Ce processus comporte la mise en place drsquoun service drsquoassistance qui srsquooccupe de lenregistrement et de lescalade des incidents de lrsquoanalyse des tendances et des causes et des solutions Lrsquointeacuterecirct de lrsquoentreprise passe par lrsquoameacutelioration de la productiviteacute gracircce agrave la reacutesolution rapide des demandes des utilisateurs Par ailleurs les meacutetiers peuvent rechercher les causes premiegraveres (comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Geacuterer le service drsquoassistance client et les incidents
Surveiller et Evaluer
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux
en se concentrant sur
une fonction assistance client professionnelle avec des reacuteponses rapides des proceacutedures drsquoescalade claires et des analyses de reacutesolution drsquoincidents et de tendances
atteint son objectif en
bull installant et en faisant fonctionner un service drsquoassistance bull surveillant et en rendant compte des tendances bull deacutefinissant des critegraveres et des proceacutedures drsquoescalade clairs
et est mesureacute par
bull le niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau bull le pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable bull le taux drsquoabandon des demandes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
Applicatio
ns
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 129
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
OBJECTIFS DE CONTROcircLE
DS8 Geacuterer le service drsquoassistance client et les incidents
DS81 Service drsquoassistance client Mettre en place un service client qui doit faire lrsquointerface entre lrsquoutilisateur et lrsquoinformatique pour enregistrer communiquer et analyser tous les appels les rapports drsquoincidents les demandes de services et drsquoinformation Il faut des proceacutedures de surveillance et drsquoescalade baseacutees sur les niveaux de services deacutefinis dans les conventions de services approprieacutees cela doit permettre de classer tout problegraveme ou incident rapporteacute demande de service ou drsquoinformation et de lui attribuer des prioriteacutes Mesurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard de la qualiteacute du service drsquoassistance client et des services informatiques
DS82 Enregistrement des demandes des clients Mettre en place une fonction et un systegraveme qui permette drsquoenregistrer et de suivre les appels les incidents les demandes de services et les besoins en information Cette fonction doit travailler en eacutetroite association avec des processus tels que la gestion des incidents des problegravemes des changements des capaciteacutes et de la disponibiliteacute Les incidents doivent ecirctre classeacutes selon une prioriteacute meacutetier et une prioriteacute de service et dirigeacutes vers lrsquoeacutequipe de gestion de problegravemes approprieacutee quand neacutecessaire Les clients doivent ecirctre tenus informeacutes de lrsquoeacutetat drsquoavancement de leurs demandes
DS83 Escalade des incidents Mettre en place des proceacutedures drsquoassistance client de faccedilon agrave ce que les incidents qui ne peuvent pas ecirctre immeacutediatement reacutesolus soient transmis au niveau de support supeacuterieur approprieacute dans les limites preacutevues par les conventions de services et que des solutions de contournement soient identifieacutees si neacutecessaire Srsquoassurer que la proprieacuteteacute des incidents et la surveillance du cycle de vie restent entre les mains du service drsquoassistance client pour les incidents qui concernent les utilisateurs quelle que soit lrsquoeacutequipe informatique qui travaille agrave la reacutesolution des problegravemes
DS84 Clocircture des incidents Mettre en place des proceacutedures de surveillance de la reacutesolution des demandes des clients dans les temps Lorsque lrsquoincident a eacuteteacute reacutesolu srsquoassurer que le service drsquoassistance client enregistre les eacutetapes de sa reacutesolution et confirmer que la solution apporteacutee a reccedilu lrsquoagreacutement du client Enregistrer eacutegalement les incidents non reacutesolus (erreurs connues et palliatifs) et en effectuer le rapport de faccedilon agrave disposer drsquoinformations pour une gestion correcte des problegravemes
DS85 Rapports et analyse des tendances Produire des rapports de lrsquoactiviteacute du service drsquoassistance client pour permettre au management de mesurer la performance du service et les temps de reacuteponse et drsquoidentifier les tendances ou les problegravemes reacutecurrents de faccedilon agrave ce que le service srsquoameacuteliore en permanence
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 130
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable assistanceincidents
Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8
GUIDE DE MANAGEMENT
DS8 Geacuterer le service drsquoassistance client et les incidents
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI6 Autorisation de modification
AI7 Eacuteleacutements de configuration mis agrave disposition
DS1 CS et CE
DS4 Seuils incidentssinistres
DS5 Deacutefinition des incidents de seacutecuriteacute
DS9 Configuration informatiquedeacutetail des actifs
DS10 Problegravemes connus erreurs connues et solutions de contournement
DS13 Tickets drsquoincidents
Sorties Vers Demande de servicedemande de modification AI6 Rapports dincidents DS10 Rapports sur la performance des processus SE1 Rapports sur la satisfaction des utilisateurs DS7 SE1
Creacuteer une classification (graviteacute et conseacutequences) et des proceacutedures drsquoescalade (fonctionnelles et hieacuterarchiques) C C C C C C C AR
Deacutetecter et enregistrer les incidentsdemandes de servicesdemandes drsquoinformation AR
Classer et investiguer les demandes et faire les diagnostics I C C C I AR
Trouver les solutions les appliquer et clocircturer lrsquoincident I R R R C AR
Informer les utilisateurs (ex eacutetat drsquoavancement) I I AR
Produire des rapports pour le management I I I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
ResponsableassistanceincidentsTableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau (service drsquoassistance client ou base de connaissances) bull Pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable
bull Pourcentage de problegravemes reacutesolus degraves le premier niveau par rapport au nombre total de demandes bull Pourcentage de tickets drsquoincident reacuteouverts bull Taux drsquoabandon des demandes bull Dureacutee moyenne des incidents classeacutes par graviteacute bull Deacutelai moyen de reacuteponse aux demandes par teacuteleacutephone et par courrier eacutelectronique
bull Pourcentage drsquoincidents et de demandes de services dont les comptes-rendus et les enregistrements utilisent des outils automatiseacutes bull Nb de jours de formation par personne du service drsquoassistance client et par an bull Nb drsquoappels traiteacutes par personne du service drsquoassistance client et par heure bull Pourcentage drsquoincidents qui neacutecessitent un deacuteplacement sur place (support sur place visite personnelle) bull Nombre de demandes non reacutesolues
Processus
bull Analyser documenter et faire remonter les incidents dans les deacutelais preacutevus bull Reacutepondre avec pertinence et preacutecision aux demandes dans les deacutelais preacutevus bull Faire reacuteguliegraverement des analyses de tendances sur les incidents et les demandes
Activiteacutes
bull Installer et faire fonctionner un service drsquoassistance client bull Surveiller et rendre compte des tendances bull Aligner les prioriteacutes de la reacutesolution drsquoincidents sur les impeacuteratifs meacutetiers bull Deacutefinir des critegraveres et des proceacutedures drsquoescalade clairs
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 131
Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents
MODEgraveLE DE MATURITEacute
DS8 Geacuterer le service drsquoassistance client et les incidents
La gestion du processus Geacuterer le service drsquoassistance client et les incidents qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux est
0 Inexistante quand
Les utilisateurs nont pas dinterlocuteurs deacutesigneacutes pour reacutepondre agrave leurs questions et problegravemes Il nrsquoexiste aucun processus de gestion des incidents Lentreprise ne reacutealise pas que cest une probleacutematique agrave traiter
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct qursquoun processus srsquoappuyant sur des outils et du personnel est neacutecessaire pour reacutepondre aux demandes des utilisateurs et geacuterer la reacutesolution des incidents Il ny a cependant pas de processus standardiseacute et on ne fournit dassistance quau cas par cas Le management norganise pas de suivi des demandes des utilisateurs des incidents ou des tendances On na pas preacutevu de processus descalade pour reacutesoudre les problegravemes
2 Reproductible mais intuitive quand
Lrsquoentreprise est consciente du besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents Il existe une forme dassistance informelle gracircce agrave un reacuteseau dindividus qui ont un bon niveau de connaissances Ces personnes disposent de certains outils daide agrave la reacutesolution des incidents qui leur sont communs Il ny a pas de formation formelle ni de communication sur les proceacutedures standard et la responsabiliteacute est laisseacutee aux individus
3 Deacutefinie quand
On reconnaicirct et on accepte le besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents On standardise et documente les proceacutedures et des formations informelles ont lieu On laisse cependant aux individus linitiative de se former et de se conformer aux normes Les Foires Aux Questions (FAQ) et les guides utilisateurs se sont deacuteveloppeacutes mais cest agrave chacun de les trouver et de sy conformer eacuteventuellement On consigne agrave la main les questions et les incidents souleveacutes et on les suit individuellement mais cette activiteacute ne donne pas lieu agrave des rapports formels On ne chiffre pas les questions et incidents souleveacutes qui ont reccedilu une reacuteponse en temps opportun et il est vraisemblable que certains problegravemes ne trouvent pas de solutions Les utilisateurs ont reccedilu des informations claires sur ce quils doivent faire en cas de problegraveme ou drsquoincident comment faire un rapport et agrave qui
4 Geacutereacutee et mesurable quand
On comprend pleinement les avantages dun processus de gestion des incidents agrave tous les niveaux de lentreprise et on met en place le service drsquoassistance client en le structurant en uniteacutes adeacutequates Les outils et les techniques sont automatiseacutes et on dispose drsquoune base de connaissances centraliseacutee Leacutequipe du service dassistance client a des contacts eacutetroits avec celle qui soccupe de la reacutesolution des problegravemes Les responsabiliteacutes sont claires et on surveille lefficaciteacute du service On a mis en place des proceacutedures de communication descalade et de reacutesolution des incidents et on le fait savoir On forme les personnels dassistance et on ameacuteliore les processus au moyen de logiciels speacutecifiques Le management a mis au point des meacutetriques pour appreacutecier la performance du service drsquoassistance client
5 Optimiseacutee quand
Le processus de gestion des incidents et la fonction drsquoassistance client sont en place et bien organiseacutes lrsquoeacutetat drsquoesprit est orienteacute vers lrsquoassistance au client avec une attention agrave ses besoins les connaissances neacutecessaires et le deacutesir de lrsquoaider Les meacutetriques sont systeacutematiquement eacutevalueacutees et font lrsquoobjet de rapports Des FAQ riches exhaustives font partie inteacutegrante de la base de connaissances Les utilisateurs disposent doutils qui leur permettent de reacutealiser des auto-diagnostics et de reacutesoudre eux-mecircmes certains incidents Les conseils sont professionnels et les incidents sont reacutesolus rapidement au travers dun processus descalade structureacute Le management utilise un outil inteacutegreacute pour les statistiques de performances du processus de gestion des incidents et de la fonction drsquoassistance client Les processus se sont hisseacutes au niveau des meilleures pratiques du secteur gracircce aux reacutesultats de lrsquoanalyse des indicateurs de performance aux ameacuteliorations permanentes et aux tests comparatifs avec drsquoautres entreprises
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 132
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S S S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer la configuration DS9
DESCRIPTION DU PROCESSUS
DS9 Geacuterer la configuration
Assurer lrsquointeacutegriteacute des configurations mateacuterielles et logicielles exige de constituer et de tenir agrave jour un reacutefeacuterentiel de configuration preacutecis et complet Ce processus doit comporter la collecte des informations de la configuration initiale lrsquoeacutetablissement de configurations de base la veacuterification et lrsquoaudit des informations de configuration et la mise agrave jour du reacutefeacuterentiel de configuration lorsque crsquoest neacutecessaire Une gestion efficace de la configuration facilite une plus grande disponibiliteacute du systegraveme la reacuteduction des problegravemes de production et une reacutesolution plus rapide de ceux-ci
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S S S
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer la configuration
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques
en se concentrant sur
la mise en place et la mise agrave jour drsquoun reacutefeacuterentiel preacutecis et complet des attributs de configuration des actifs informatiques et des configurations de base et leur comparaison avec la configuration reacuteelle
atteint son objectif en
bull constituant un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull identifiant les eacuteleacutements de configuration et en les maintenant agrave jour bull veacuterifiant lrsquointeacutegriteacute des donneacutees de configuration
et est mesureacute par
bull le nombre de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
bull le nombre de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteelles bull le pourcentage de licences acheteacutees qui ne sont pas prises en compte par le reacutefeacuterentiel
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 133
Deacutelivrer et Supporter DS9 Geacuterer la configuration
OBJECTIFS DE CONTROcircLE
DS9 Geacuterer la configuration
DS91 Reacutefeacuterentiel de configuration et configuration de base Constituer un reacutefeacuterentiel centraliseacute et mettre en place un outil pour recenser toutes les informations qui concernent les eacuteleacutements de configuration Surveiller et enregistrer tous les actifs et les changements qui y sont apporteacutes Pour chaque systegraveme et chaque service tenir agrave jour une base des composants de sa configuration pour pouvoir srsquoy reacutefeacuterer apregraves une modification
DS92 Identification et maintenance des eacuteleacutements de configuration Mettre en place des proceacutedures speacutecifiques pour faciliter la gestion et lrsquoenregistrement de tous les changements apporteacutes au reacutefeacuterentiel de configuration Inteacutegrer ces proceacutedures aux proceacutedures de gestion des changements de gestion des incidents et de gestion des problegravemes
DS93 Revue drsquointeacutegriteacute des configurations Passer en revue de maniegravere peacuteriodique les donneacutees de la configuration afin de veacuterifier et confirmer lrsquointeacutegriteacute de la configuration en cours par rapport agrave son historique Veacuterifier reacuteguliegraverement les logiciels installeacutes par rapport aux politiques drsquoutilisation des logiciels afin drsquoidentifier les logiciels personnels ou sans licence ou tout nombre de licences excessif par rapport aux contrats de licence en cours Reacutediger un rapport et agir pour corriger les erreurs ou les anomalies
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 134
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Responsable configuration
Deacutelivrer et Supporter Geacuterer la configuration DS9
GUIDE DE MANAGEMENT
DS9 Geacuterer la configuration
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Eleacutements de configuration mis agrave disposition DS4 Eleacutements de configuration informatique critiques
Sorties Vers Configuration informatiquedeacutetail des actifs DS8 D10 DS13 Demande de modification (ougrave et comment faire la modification)
AI6
Rapports sur la performance des processus SE1
Deacutevelopper les proceacutedures de planification de la gestion des configurations C A C I C C R
Collecter les informations des configurations initiales et eacutetablir les configurations de base C C C I AR
Veacuterifier et auditer les informations de configuration (y compris deacutetection des logiciels non autoriseacutes) I A I I AR
Mettre agrave jour le reacutefeacuterentiel de configuration R R R I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Responsableconfiguration
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre responsable
deacutefinit
bull Eacutetablir un reacutefeacuterentiel de tous les mateacuteriels et logiciels des attributs de configuration et des configurations de base bull Maintenir lrsquointeacutegriteacute du reacutefeacuterentiel de configuration bull Veacuterifier la conformiteacute des configurations reacuteelles avec les configurations de base du reacutefeacuterentiel
deacutefinit
mesure induit mesure
induit mesure
bull Nb de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteellement utiliseacutees bull Pourcentage de licences acheteacutees et de licences ignoreacutees du reacutefeacuterentiel
bull Deacutelai moyen entre la deacutecouverte drsquoanomalies et leur correction bull Nb drsquoanomalies dues agrave des informations de configuration incomplegravetes ou absentes bull Pourcentage drsquoeacuteleacutements de configuration conformes aux niveaux de services en ce qui concerne la performance la seacutecuriteacute et la disponibiliteacute
Meacutetriq
ues
bull Nb de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels
Activiteacutes
bull Constituer un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull Identifier les eacuteleacutements de configuration et maintenir leurs donneacutees agrave jour bull Veacuterifier lrsquointeacutegriteacute des donneacutees de configuration
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 135
Deacutelivrer et Supporter DS9 Geacuterer la configuration
MODEgraveLE DE MATURITEacute
DS9 Geacuterer la configuration
La gestion du processus Geacuterer la configuration qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques est
0 Inexistante quand
Le management ne voit pas dinteacuterecirct agrave disposer dun processus capable de geacuterer la configuration mateacuterielle et logicielle et de faire des rapports
1 Initialiseacutee au cas par cas quand
On reconnaicirct le besoin drsquoune gestion de la configuration Les tacircches de base de cette gestion comme tenir agrave jour les inventaires des mateacuteriels et des logiciels sont accomplies sur initiatives individuelles Il nexiste pas de pratiques standard
2 Reproductible mais intuitive quand
Le management est conscient du besoin de controcircler la configuration informatique et comprend les avantages drsquoune information exacte et complegravete sur la configuration mais on se fie implicitement aux connaissances et aux compeacutetences du personnel technique On utilise jusquagrave un certain point des outils de gestion de configuration mais ils diffegraverent selon les plates-formes De plus aucune pratique standard nest deacutefinie Le contenu des donneacutees de configuration est limiteacute et ne concerne pas les processus lieacutes les uns aux autres comme la gestion des changements et des incidents
3 Deacutefinie quand
On documente standardise et communique les proceacutedures et les pratiques de travail mais chacun deacutecide de suivre ou non une formation et dappliquer ou non les normes De plus on est en train de mettre en place des outils de gestion des configurations communs aux diffeacuterentes plates-formes Il est peu vraisemblable que lon deacutetecte les cas de non-respect des proceacutedures et les veacuterifications physiques ne sont pas systeacutematiques On a recours agrave certains automatismes pour permettre de tracer plus facilement les modifications des mateacuteriels et des logiciels Les donneacutees de configurations sont utiliseacutees par des processus lieacutes les uns aux autres
4 Geacutereacutee et mesurable quand
Le besoin de geacuterer la configuration est reconnu agrave tous les niveaux de lentreprise et les bonnes pratiques continuent agrave eacutevoluer On communique sur les proceacutedures et les normes on les inclut dans les formations et on veille agrave leur respect les cas de non-respect sont surveilleacutes deacutetecteacutes et font lobjet de rapports On utilise des outils automatiseacutes comme la technologie push pour imposer les normes et ameacuteliorer la stabiliteacute des systegravemes Les systegravemes de gestion de configuration recouvrent effectivement la plus grande partie des actifs informatiques et permettent une bonne gestion des versions et du controcircle de la distribution des mateacuteriels et des logiciels On pratique systeacutematiquement les veacuterifications physiques et lanalyse des anomalies on recherche les causes initiales des anomalies
5 Optimiseacutee quand
Tous les actifs informatiques sont geacutereacutes au sein drsquoun systegraveme de gestion centraliseacute des configurations qui contient toute lrsquoinformation neacutecessaire sur les composants leurs interrelations et lrsquohistorique de leur eacutevolution Les donneacutees de configuration sont conformes aux descriptifs fournis par les fournisseurs Les processus relieacutes entre eux sont pleinement inteacutegreacutes et ils utilisent et mettent agrave jour les donneacutees de configuration de faccedilon automatique Les rapports daudits de base fournissent pour chaque eacuteleacutement mateacuteriel et logiciel les donneacutees essentielles pour les reacuteparations la maintenance la garantie la mise agrave niveau et les eacutevaluations techniques On applique les regravegles destineacutees agrave limiter lrsquoinstallation de logiciels non autoriseacutes Le management preacutevoit les reacuteparations et les mises agrave niveau agrave partir de rapports danalyses qui proposent un planning des eacutevolutions et qui preacutecisent les possibiliteacutes dactualisation des technologies Chaque actif informatique est proteacutegeacute par un suivi et une surveillance individuels contre le vol le mauvais usage et les usages abusifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 136
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P P S
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
DESCRIPTION DU PROCESSUS
DS10 Geacuterer les problegravemes
Une gestion efficace des problegravemes exige de les identifier de les classer drsquoanalyser leurs causes initiales et de leur trouver des solutions Le processus de gestion des problegravemes implique aussi de formuler des recommandations drsquoameacutelioration de tenir agrave jour les enregistrements des problegravemes et de veacuterifier ougrave en sont les actions correctives Un processus efficace de gestion des problegravemes favorise la disponibiliteacute des systegravemes ameacuteliore les niveaux de services reacuteduit les coucircts reacutepond mieux aux besoins des clients et augmente donc leur satisfaction
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P S
Le controcircle du processus informatique Surveiller et Evaluer
Geacuterer les problegravemes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire
en se concentrant sur
lrsquoenregistrement le suivi et la reacutesolution des problegravemes drsquoexploitation la recherche des causes initiales de tous les problegravemes significatifs et la deacutefinition de solutions pour les problegravemes drsquoexploitation identifieacutes
atteint son objectif en
bull faisant lrsquoanalyse causale des problegravemes identifieacutes bull analysant les tendances bull assumant la proprieacuteteacute des problegravemes et en faisant avancer leur reacutesolution
et est mesureacute par
bull le nombre de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull le pourcentage de problegravemes reacutesolus dans les deacutelais requis bull la freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant en
fonction de la graviteacute du problegraveme
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 137
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
OBJECTIFS DE CONTROcircLE
DS10 Geacuterer les problegravemes
DS101 Identification et classification des problegravemes Mettre en place des processus pour rapporter et classer les problegravemes qui ont eacuteteacute identifieacutes comme relevant de la gestion des incidents Les eacutetapes de la classification des problegravemes sont similaires agrave celles de la classification des incidents elles consistent agrave deacuteterminer la cateacutegorie lrsquoimpact lrsquourgence et la prioriteacute Reacutepartir les problegravemes selon les groupes ou domaines auxquels ils appartiennent (par ex mateacuteriel logiciel logiciel drsquoassistance) Ces groupes peuvent correspondre aux responsabiliteacutes dans lrsquoentreprise ou au service auquel appartient lrsquoutilisateur ou le client et doivent servir agrave deacuteterminer lrsquoeacutequipe drsquoassistance agrave laquelle ils seront affecteacutes
DS102 Suivi et reacutesolution des problegravemes Srsquoassurer que le systegraveme de gestion des problegravemes fournit les outils de pistes drsquoaudit adeacutequats qui permettent de suivre drsquoanalyser et de deacuteterminer les causes initiales de tous les problegravemes rapporteacutes en prenant en compte bull Tous les eacuteleacutements de configuration associeacutes bull Les problegravemes et les incidents non reacutesolus bull Les erreurs connues et soupccedilonneacutees bull Le repeacuterage des tendances en matiegravere de problegravemes
Trouver et initier des solutions viables qui srsquoappliquent aux causes initiales en suscitant des demandes de modification par lrsquointermeacutediaire du processus de gestion des changements Au cours du processus de reacutesolution les responsables de la gestion des problegravemes doivent obtenir des rapports reacuteguliers de lrsquoeacutequipe de gestion des modifications sur la progression de la reacutesolution des problegravemes et des erreurs La gestion des problegravemes doit surveiller en continu les conseacutequences sur les services utilisateurs des erreurs et des problegravemes connus Dans le cas ougrave ces conseacutequences deviendraient graves lrsquoeacutequipe de gestion des problegravemes doit faire remonter le problegraveme peut-ecirctre agrave un niveau de direction approprieacute pour augmenter la prioriteacute de la demande de modification ou pour mettre en œuvre une modification drsquourgence selon le cas Suivre la progression de la reacutesolution du problegraveme conformeacutement aux contrats de services
DS103 Clocircture des problegravemes Mettre en place une proceacutedure pour clocircturer les enregistrements de problegravemes soit apregraves confirmation de lrsquoeacutelimination reacuteussie de lrsquoerreur connue soit apregraves un accord avec les meacutetiers sur la faccedilon de trouver une solution alternative
DS104 Inteacutegration de la gestion de la configuration des incidents et des problegravemes Pour assurer une gestion efficace des problegravemes et faciliter le progregraves inteacutegrer les processus de gestion de la configuration de gestion des incidents et de gestion des problegravemes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 138
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Resp gestion des problegravemes
Deacutelivrer et Supporter Geacuterer les problegravemes DS10
GUIDE DE MANAGEMENT
DS10 Geacuterer les problegravemes
De Entreacutees
AI6 Autorisation de modification
DS8 Rapports dincidents
DS9 Configuration informatiquedeacutetail des actifs DS13 Historiques des erreurs
Sorties Vers Demandes de modification AI6 Historiques des problegravemes AI6 Rapports sur la performance des processus SE1 Problegravemes connus erreurs connues et solutions de contournement
DS8
Identifier et classer les problegravemes I I C A C C I R
Effectuer les analyses causales C C AR
Reacutesoudre les problegravemes C A R R R C C
Passer en revue la situation en cours des problegravemes I I C AR C C C C R
Eacutemettre des recommandations drsquoameacutelioration et eacutetablir une demande de modification en rapport I A I I I R
Tenir agrave jour les enregistrements des problegravemes I I I I AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Resp gestiondesproblegravemes
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire le nombre de deacutefaillances et de tacircches agrave refaire touchant la fourniture de solutions et de services bull Preacuteserver le succegraves des objectifs informatiques
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull Nb drsquointerruptions de lrsquoactiviteacute provoqueacutees par des problegravemes drsquoexploitation
bull Pourcentage de problegravemes enregistreacutes et suivis bull Pourcentage de problegravemes reacutecurrents (dans une peacuteriode de temps donneacutee) selon leur graviteacute bull Pourcentage de problegravemes reacutesolus dans les deacutelais requis bull Nb de problegravemes identifieacutesnouveauxclocirctureacutes selon leur graviteacute bull Moyenne et eacutecart type du deacutelai entre lrsquoidentification et la reacutesolution drsquoun problegraveme bull Moyenne et eacutecart type du deacutelai entre la reacutesolution drsquoun problegraveme et sa clocircture
bull Deacutelai moyen entre lrsquoenregistrement drsquoun problegraveme et lrsquoidentification de la cause initiale bull Pourcentage de problegravemes pour lesquels on a entrepris une analyse causale bull Freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant selon la graviteacute du problegraveme
Processus
bull Enregistrer et suivre les problegravemes drsquoexploitation jusqursquoagrave leur reacutesolution bull Chercher la cause initiale de tous les problegravemes significatifs bull Deacutefinir des solutions pour les problegravemes drsquoexploitation identifieacutes
Activiteacutes
bull Donner une autoriteacute suffisante au responsable de la gestion des problegravemes bull Faire lrsquoanalyse causale des problegravemes identifieacutes bull Analyser les tendances bull Assumer la proprieacuteteacute des problegravemes et faire avancer leur reacutesolution
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 139
Deacutelivrer et Supporter DS10 Geacuterer les problegravemes
MODEgraveLE DE MATURITEacute
DS10 Geacuterer les problegravemes
La gestion du processus Geacuterer les problegravemes qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire est
0 Inexistante quand
On nrsquoa pas conscience du besoin de geacuterer les problegravemes car on ne fait pas de diffeacuterence entre les problegravemes et les incidents Il nrsquoy a donc pas de tentatives pour identifier les causes initiales des incidents
1 Initialiseacutee au cas par cas quand
Le personnel reconnaicirct le besoin de geacuterer les problegravemes et drsquoeacuteliminer les causes Des personnes cleacutes apportent leur aide pour des problegravemes qui relegravevent de leur speacutecialiteacute mais la responsabiliteacute de la gestion des problegravemes nrsquoest pas attribueacutee Lrsquoinformation nrsquoest pas partageacutee ce qui fait naicirctre des problegravemes suppleacutementaires et une perte de temps productif pendant qursquoon cherche des reacuteponses
2 Reproductible mais intuitive quand
On est largement conscient du besoin et de lrsquoavantage de geacuterer les problegravemes lieacutes aux SI aussi bien dans les uniteacutes meacutetiers quau sein de la fonction informatique Le processus de reacutesolution eacutevolue et est deacutesormais entre les mains de quelques individus cleacutes qui ont la responsabiliteacute drsquoidentifier et de reacutesoudre les problegravemes Lrsquoinformation est partageacutee parmi les employeacutes de faccedilon informelle et en fonction des circonstances Le niveau de services fournis agrave la communauteacute des utilisateurs est variable et est entraveacute par le manque de connaissances structureacutees accessibles au responsable de la gestion des problegravemes
3 Deacutefinie quand
Le besoin drsquoun systegraveme inteacutegreacute de gestion des problegravemes efficace est accepteacute et soutenu par le management et on dispose de budgets pour le personnel et pour la formation Les processus de reacutesolution et drsquoescalade ont eacuteteacute standardiseacutes La recherche et lenregistrement des problegravemes et de leurs solutions sont reacutepartis au sein de leacutequipe de traitement des problegravemes de faccedilon fragmentaire on utilise les outils disponibles mais il nrsquoy a pas de centralisation On ne deacutetectera vraisemblablement pas les eacutecarts par rapport aux normes et aux standards eacutetablis Lrsquoinformation est partageacutee par le personnel de faccedilon proactive et formelle Le management passe les incidents en revue et fait une analyse de lrsquoidentification et de la reacutesolution des problegravemes mais de faccedilon limiteacutee et informelle
4 Geacutereacutee et mesurable quand
Tous les niveaux de lentreprise ont compris le processus de gestion des problegravemes On a clairement reacuteparti les responsabiliteacutes et la proprieacuteteacute du processus On a documenteacute les meacutethodes et les proceacutedures on les a communiqueacutees et on a mesureacute leur efficaciteacute La majoriteacute des problegravemes sont identifieacutes enregistreacutes et rapporteacutes et leur reacutesolution est mise en chantier On cultive et on entretient le niveau de connaissances et de compeacutetence on leacutelegraveve agrave des niveaux de plus en plus eacuteleveacutes du fait que la fonction reacutesolution des problegravemes est consideacutereacutee comme un atout essentiel pour atteindre les objectifs informatique et pour lrsquoameacutelioration des services informatiques La gestion des problegravemes est bien inteacutegreacutee aux processus qui lui sont lieacutes tels que gestion des incidents des changements de la disponibiliteacute et de la configuration elle aide les clients agrave geacuterer les donneacutees les eacutequipements et lexploitation On srsquoest mis drsquoaccord sur les ICP et le ICO du processus de gestion des problegravemes
5 Optimiseacutee quand
Le processus de gestion des problegravemes eacutevolue il est deacutesormais capable danticiper agrave plus long terme contribuant ainsi aux objectifs des SI On anticipe et on preacutevient les problegravemes On entretient les connaissances gracircce agrave des contacts reacuteguliers avec les fournisseurs et les experts sur des types de problegravemes passeacutes ou agrave venir Lenregistrement le compte rendu et lanalyse des problegravemes et de leur reacutesolution sont automatiseacutes et pleinement inteacutegreacutes agrave la gestion des donneacutees de configuration On mesure reacuteguliegraverement les objectifs La plupart des systegravemes ont eacuteteacute eacutequipeacutes de meacutecanismes de deacutetection et drsquoalertes automatiques qui sont suivis et eacutevalueacutes en permanence On analyse le processus de gestion des problegravemes pour son ameacutelioration continue en fonction des mesures et on en fait des comptes-rendus aux parties prenantes
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 140
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
P P
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
DESCRIPTION DU PROCESSUS
DS11 Geacuterer les donneacutees
Une gestion efficace des donneacutees impose drsquoidentifier les exigences qui les concernent Le processus de gestion des donneacutees neacutecessite aussi de mettre en place des proceacutedures efficaces pour geacuterer la meacutediathegraveque les sauvegardes et la restauration des donneacutees et lrsquoeacutelimination des meacutedias de faccedilon approprieacutee Une gestion efficace des donneacutees aide agrave garantir la qualiteacute et la disponibiliteacute au moment opportun des donneacutees meacutetiers
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P P
Le controcircle du processus informatique
Geacuterer les donneacutees
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin
en se concentrant sur
lrsquoexhaustiviteacute lrsquoexactitude la disponibiliteacute et la protection des donneacutees
atteint son objectif en
bull sauvegardant les donneacutees et en testant leur restauration bull geacuterant le stockage des donneacutees sur site et hors site bull disposant drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
et est mesureacute par
bull le pourcentage drsquoutilisateurs satisfaits de la disponibiliteacute des donneacutees bull le pourcentage de restaurations des donneacutees reacuteussies bull le nombre drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute restaureacutees apregraves la
mise au rebut des meacutedias
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
Applicatio
ns
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 141
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
OBJECTIFS DE CONTROcircLE
DS11 Geacuterer les donneacutees
DS111 Exigences des meacutetiers pour la gestion des donneacutees Veacuterifier qursquoon reccediloit toutes les donneacutees attendues drsquoun traitement et qursquoelles sont traiteacutees complegravetement avec justesse en temps opportun et que tous les reacutesultats sont fournis conformeacutement aux exigences des meacutetiers Prendre en compte les besoins de redeacutemarrage et de retraitement
DS112 Dispositifs de stockage et de conservation Deacutefinir et mettre en place des proceacutedures efficaces et efficientes de stockage de conservation et drsquoarchivage des donneacutees en reacuteponse aux objectifs des meacutetiers ainsi qursquoaux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
DS113 Systegraveme de gestion de la meacutediathegraveque Deacutefinir et mettre en place des proceacutedures pour tenir agrave jour un inventaire des meacutedias stockeacutes et archiveacutes de faccedilon agrave srsquoassurer qursquoils sont utilisables et garantir leur inteacutegriteacute
DS114 Mise au rebut Deacutefinir et mettre en œuvre des proceacutedures permettant de srsquoassurer que les exigences des meacutetiers en termes de protection de donneacutees sensibles et de logiciels sont satisfaites lors de la mise au rebut ou du transfert de donneacutees et de mateacuteriel
DS115 Sauvegarde et restauration Deacutefinir et mettre en place des proceacutedures pour la sauvegarde et la restauration des systegravemes des applications des donneacutees et de la documentation conformes aux exigences des meacutetiers et au plan de continuiteacute
DS116 Exigences de seacutecuriteacute pour la gestion des donneacutees Deacutefinir et mettre en place des politiques et proceacutedures pour identifier et mettre en œuvre les exigences de seacutecuriteacute applicables agrave la reacuteception au traitement au stockage physique et agrave la sortie de donneacutees conformeacutement aux objectifs des meacutetiers aux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 142
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer les donneacutees DS11
GUIDE DE MANAGEMENT
DS11 Geacuterer les donneacutees
De Entreacutees
PO2 Dictionnaire des donneacutees classifications attribueacutees aux donneacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
DS1 CE
DS4 Plans de stockage et de protection des sauvegardes
DS5 Plan et politiques de seacutecuriteacute informatique
Sorties Vers Rapports sur la performance des processus SE1 Instructions drsquoexploitation pour la gestion des donneacutees DS13
Traduire en proceacutedures les exigences de stockage et de conservation des donneacutees A I C R C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour geacuterer la meacutediathegraveque A R C C I C
Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour une mise au rebut seacutecuriseacutee des meacutedias et des eacutequipements
A C R I C
Sauvegarder les donneacutees selon le plan preacutevu A R
Deacutefinir tenir agrave jour et mettre en place les proceacutedures de restauration des donneacutees A C R C C I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Optimiser lrsquoutilisation de lrsquoinformation bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Assurer la conformiteacute des SI aux lois et regraveglements
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave il a eacuteteacute impossible des reacutecupeacuterer des donneacutees vitales pour lrsquoactiviteacute des meacutetiers bull Pourcentage dutilisateurs satisfaits de la disponibiliteacute des donneacutees bull Nb dincidents de non-conformiteacute aux lois agrave cause de problegravemes de gestion des donneacutees
bull Pourcentage de restaurations de donneacutees reacuteussies bull Nb drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute reacutecupeacutereacutees apregraves la mise au rebut des meacutedias bull Nb de pannes ou drsquoincidents affectant lrsquointeacutegriteacute des donneacutees du fait de capaciteacutes de stockage insuffisantes
bull Freacutequence des tests des meacutedias de sauvegarde bull Deacutelai moyen pour la restauration des donneacutees
Processus
bull Srsquoassurer que les donneacutees stockeacutees restent complegravetes exactes valides et accessibles bull Assurer la seacutecuriteacute des donneacutees lors de la mise au rebut des medias bull Geacuterer efficacement le stockage des meacutedias
Activiteacutes
bull Sauvegarder les donneacutees et tester leur restauration bull Geacuterer le stockage des donneacutees sur site et hors site bull Disposer drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 143
Deacutelivrer et Supporter DS11 Geacuterer les donneacutees
MODEgraveLE DE MATURITEacute
DS11 Geacuterer les donneacutees
La gestion du processus Geacuterer les donneacutees qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin est
0 Inexistante quand
Les donneacutees ne sont pas consideacutereacutees comme des ressources ni comme des actifs de lrsquoentreprise Elles nont pas de proprieacutetaire et personne nest individuellement responsable de leur gestion La qualiteacute et la seacutecuriteacute des donneacutees sont faibles ou nulles
1 Initialiseacutee au cas par cas quand
Lrsquoentreprise reconnaicirct le besoin drsquoune gestion efficace des donneacutees Il existe une approche au cas par cas pour speacutecifier les exigences de seacutecuriteacute concernant la gestion des donneacutees mais il nrsquoexiste pas de proceacutedures formelles de communication Il nrsquoy a pas de formation sur la gestion des donneacutees La responsabiliteacute de la gestion des donneacutees nrsquoest pas claire Les proceacutedures de sauvegarderestauration et les dispositifs de mise au rebut sont en place
2 Reproductible mais intuitive quand
La conscience du besoin drsquoune gestion preacutecise des donneacutees existe dans lrsquoensemble de lrsquoentreprise On commence agrave attribuer la proprieacuteteacute des donneacutees agrave haut niveau Les exigences de seacutecuriteacute pour la gestion des donneacutees sont documenteacutees par des individus cleacutes On fait une certaine surveillance des activiteacutes cleacutes de gestion des donneacutees au sein de lrsquoinformatique (par ex sauvegarde restauration destruction) On a attribueacute de faccedilon informelle les responsabiliteacutes de la gestion des donneacutees agrave des individus cleacutes de lrsquoinformatique
3 Deacutefinie quand
On a compris et accepteacute le besoin de gestion des donneacutees dans toute lorganisation La responsabiliteacute de la gestion des donneacutees est eacutetablie La proprieacuteteacute des donneacutees est attribueacutee au groupe responsable qui controcircle lrsquointeacutegriteacute et la seacutecuriteacute Les proceacutedures de gestion des donneacutees sont formaliseacutees au sein de lrsquoinformatique et on utilise certains outils de sauvegarderestauration et de mise au rebut des eacutequipements Une certaine surveillance de la gestion des donneacutees est en place Les meacutetriques de base de performance sont deacutefinies On commence agrave voir des formations pour le personnel en charge de la gestion des donneacutees
4 Geacutereacutee et mesurable quand
On comprend le besoin de geacuterer les donneacutees et on accepte les actions neacutecessaires agrave cet objectif dans lrsquoentreprise Les responsabiliteacutes de la proprieacuteteacute et de la gestion des donneacutees sont clairement deacutefinies attribueacutees et communiqueacutees dans lrsquoentreprise On a formaliseacute les proceacutedures elles sont largement connues et on partage les connaissances On commence agrave utiliser les outils disponibles Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients et surveilleacutes au moyen drsquoun processus bien deacutefini Une formation formaliseacutee agrave lrsquointention du personnel de gestion des donneacutees est en place
5 Optimiseacutee quand
Le besoin de geacuterer les donneacutees et toutes les actions neacutecessaires agrave cet objectif sont compris et accepteacutes dans lrsquoentreprise On analyse de faccedilon proactive les besoins et les exigences futurs On a clairement eacutetabli les responsabiliteacutes de la proprieacuteteacute des donneacutees et de leur gestion elles sont largement connues dans lrsquoentreprise et reacuteviseacutees lorsque crsquoest opportun On a formaliseacute les proceacutedures elles sont largement connues et le partage les connaissances est devenu une pratique standard On utilise des outils sophistiqueacutes et automatiseacutes au maximum pour la gestion des donneacutees Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients ils sont lieacutes aux objectifs des meacutetiers et reacuteguliegraverement surveilleacutes au moyen drsquoun processus bien deacutefini On explore en permanence les opportuniteacutes drsquoameacutelioration On a institutionnaliseacute la formation du personnel de gestion des donneacutees
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 144
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
DESCRIPTION DU PROCESSUS
DS12 Geacuterer lrsquoenvironnement physique
La protection des eacutequipements informatiques et du personnel exige des installations mateacuterielles bien conccedilues et bien geacutereacutees Le processus de gestion de lrsquoenvironnement mateacuteriel comporte la deacutefinition des exigences du site physique le choix des installations adeacutequates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accegraves physiques La gestion efficace de lrsquoenvironnement physique reacuteduit les risques drsquointerruption de lrsquoactiviteacute du fait de dommages subis par le mateacuteriel informatique et par le personnel
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoenvironnement physique
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute
en se concentrant sur
la fourniture et la maintenance drsquoun environnement physique adapteacute pour proteacuteger lrsquoaccegraves aux ressources informatiques leur deacuteteacuterioration ou leur vol
atteint son objectif en
bull mettant en place des mesures de seacutecuriteacute bull seacutelectionnant et en geacuterant les installations
et est mesureacute par
bull le nombre drsquointerruptions de service dues agrave des incidents touchant lrsquoenvironnement physique
bull le nombre drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull la freacutequence des eacutevaluations et des revues du risque physique
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastru
ctures
Applications
Personnes
Informatio
ns
Infrastru
ctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 145
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
OBJECTIFS DE CONTROcircLE
DS12 Geacuterer lrsquoenvironnement physique
DS121 Seacutelection du site et agencement Deacutefinir et seacutelectionner les sites physiques des eacutequipements informatiques en conformiteacute avec la strateacutegie informatique elle-mecircme lieacutee agrave la strateacutegie des meacutetiers La seacutelection et la conception de lrsquoagencement drsquoun site doivent prendre en compte les risques lieacutes aux sinistres drsquoorigine naturelle ou humaine ainsi que les lois et regraveglements concernant par exemple la meacutedecine du travail et les reacuteglementations sur la seacutecuriteacute
DS122 Mesures de seacutecuriteacute physique Deacutefinir et mettre en place des mesures de seacutecuriteacute physique conformes aux exigences des meacutetiers pour seacutecuriser le site et les actifs physiques Les mesures de seacutecuriteacute physique doivent permettre de preacutevenir deacutetecter et reacuteduire de maniegravere efficace les risques lieacutes au vol agrave la tempeacuterature agrave lrsquoincendie agrave la fumeacutee agrave lrsquoeau aux vibrations au terrorisme au vandalisme aux pannes drsquoeacutelectriciteacute aux produits chimiques et aux explosifs
DS123 Accegraves physique Deacutefinir et mettre en place les proceacutedures drsquoautorisation de limitation et de suppression drsquoaccegraves aux sites bacirctiments et zones selon les besoins des meacutetiers sans oublier les cas drsquourgence Les accegraves aux sites bacirctiments et zones doivent ecirctre justifieacutes autoriseacutes enregistreacutes et faire lrsquoobjet drsquoune surveillance Cela doit srsquoappliquer agrave toutes les personnes qui entrent sur le site y compris le personnel permanent ou temporaire les clients les fournisseurs les visiteurs et tout autre tiers
DS124 Protection contre les risques lieacutes agrave lenvironnement Eacutelaborer et mettre en place des mesures de protection contre les facteurs environnementaux Installer des eacutequipements et des dispositifs speacutecialiseacutes pour surveiller et controcircler lenvironnement
DS125 Gestion des installations mateacuterielles Geacuterer les installations y compris les eacutequipements eacutelectriques et de communication conformeacutement aux lois et regraveglements aux exigences techniques et meacutetiers aux speacutecifications des fournisseurs et aux regravegles concernant la santeacute et la seacutecuriteacute
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 146
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12
GUIDE DE MANAGEMENT
DS12 Geacuterer lrsquoenvironnement physique
De Entreacutees
PO2 Classifications attribueacutees aux donneacutees
PO9 Eacutevaluation des risques
AI3 Exigences de lrsquoenvironnement physique
Sorties Vers Rapports sur la performance des processus SE1
Deacutefinir le niveau de protection physique requis C AR C C
Choisir le site et se le faire attribuer (centre de traitement bureaux etc) I C C C C AR C C C C
Mettre en place des mesures relatives agrave lrsquoenvironnement physique I AR I I C
Geacuterer lrsquoenvironnement physique (y compris maintenance surveillance comptesshyrendus) AR C
Deacutefinir et mettre en place les proceacutedures drsquoaccegraves physique drsquoautorisation et de mise agrave jour C I AR I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Activiteacutes
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister convenablement agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb dinterruptions de service dues agrave des incidents touchant lrsquoenvironnement physique bull Nb de blessures provoqueacutees par lrsquoenvironnement physique bull Nb de mises en cause de la seacutecuriteacute du fait drsquoincidents qui ont pour origine lrsquoenvironnement physique
bull Nb drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull Nb drsquoaccegraves non autoriseacutes aux installations informatiques
bull Freacutequence des sessions de formation du personnel aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Pourcentage du personnel formeacute aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Nb de tests de reacuteduction des risques effectueacutes au cours de lrsquoanneacutee eacutecouleacutee bull Freacutequence des eacutevaluations et des revues du risque physique
bull Mettre en place des mesures de seacutecuriteacute physique bull Seacutelectionner et geacuterer les installations avec rigueur
Processus
bull Fournir et maintenir agrave niveau un environnement physique adapteacute aux infrastructures et aux ressources informatiques bull Interdire lrsquoaccegraves agrave lrsquoenvironnement physique de ceux qui nrsquoen ont pas besoin
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 147
Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique
MODEgraveLE DE MATURITEacute
DS12 Geacuterer lrsquoenvironnement physique
La gestion du processus Geacuterer lrsquoenvironnement physique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique de proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute est
0 Inexistante quand
Personne na conscience de la neacutecessiteacute de proteacuteger les installations ou les investissements en ressources informatiques On nexerce ni surveillance ni controcircle sur les facteurs de risques environnementaux comme le feu la poussiegravere leacutelectriciteacute ou les excegraves de chaleur ou dhumiditeacute
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil est neacutecessaire pour lactiviteacute professionnelle de mettre en place un environnement physique adapteacute qui protegravege les ressources et le personnel contre les dangers dorigine naturelle ou humaine La gestion des installations et des eacutequipements ne deacutepend que des compeacutetences et aptitudes de certains individus cleacutes Le personnel peut circuler dans les locaux sans restriction Le management ne surveille pas le controcircle de lenvironnement des installations ni les mouvements du personnel
2 Reproductible mais intuitive quand
Les controcircles de lenvironnement sont mis en place et suivis par le personnel dexploitation La seacutecuriteacute physique est un processus informel initieacute par un petit groupe demployeacutes tregraves sensibles agrave la seacutecuriteacute des installations mateacuterielles Les proceacutedures de maintenance des installations ne sont pas bien documenteacutees et sappuient sur les bonnes pratiques de quelques individus Les objectifs de seacutecuriteacute physique ne sont baseacutes sur aucune norme formelle et le management ne sassure pas que les objectifs sont atteints
3 Deacutefinie quand
Le besoin de maintenir un environnement informatique controcircleacute est compris et accepteacute dans lentreprise Les controcircles environnementaux la maintenance preacuteventive et la seacutecuriteacute physique sont des postes budgeacutetaires approuveacutes et suivis par les dirigeants On applique des restrictions daccegraves et seul le personnel accreacutediteacute peut acceacuteder aux installations informatiques On enregistre les visiteurs et on les escorte si cela paraicirct neacutecessaire Les installations mateacuterielles ne se font pas remarquer et ne sont pas identifiables au premier coup dœil Les autoriteacutes civiles surveillent la conformiteacute avec les regravegles dhygiegravene et de seacutecuriteacute Lentreprise a contracteacute une assurance risques mais leffort pour optimiser son coucirct est minime
4 Geacutereacutee et mesurable quand
Le besoin de maintenir un environnement informatique controcircleacute apparaicirct comme une eacutevidence dans la structure de lentreprise et dans lattribution du budget Les exigences de seacutecuriteacute de lenvironnement et des installations sont documenteacutees et les accegraves sont strictement controcircleacutes et surveilleacutes On a deacutesigneacute les responsables et les proprieacutetaires et on a fait connaicirctre leurs noms Le personnel qui travaille sur les installations est complegravetement formeacute aux situations durgence ainsi quaux pratiques dhygiegravene et de seacutecuriteacute Des meacutecanismes de controcircle standardiseacutes sont en place pour restreindre les accegraves aux installations et pour agir sur les facteurs denvironnement et de seacutecuriteacute Le management surveille lefficaciteacute des controcircles et leur conformiteacute aux normes eacutetablies Le management a mis au point des objectifs et des meacutetriques pour eacutevaluer la gestion de lrsquoenvironnement informatique La possibiliteacute de reacutetablir les ressources informatiques fait partie du processus de gestion des risques de lrsquoentreprise On integravegre lrsquoinformation pour optimiser la couverture des assurances et leur coucirct
5 Optimiseacutee quand
Il existe un plan agrave long terme qui concerne les installations neacutecessaires agrave lenvironnement informatique de lentreprise On a deacutefini pour toutes les installations des normes qui sappliquent au choix des sites agrave la construction au gardiennage au personnel de seacutecuriteacute aux systegravemes meacutecaniques et eacutelectriques agrave la protection contre les risques lieacutes agrave lrsquoenvironnement (ex feu foudre inondations) Toutes les installations sont inventorieacutees et classeacutees en conformiteacute avec le processus continu de gestion des risques de lentreprise Les accegraves sont strictement controcircleacutes et surveilleacutes en permanence en fonction des besoins professionnels et les visiteurs sont systeacutematiquement escorteacutes Lenvironnement est surveilleacute et controcircleacute au moyen de mateacuteriels speacutecialiseacutes et personne nrsquoest preacutesent dans les locaux techniques On eacutevalue et on mesure reacuteguliegraverement les objectifs Les programmes de maintenance preacuteventive suivent en pratique un respect strict des plannings et on fait reacuteguliegraverement subir des tests aux eacutequipements sensibles La strateacutegie et les normes qui concernent les installations sont aligneacutees sur les objectifs de disponibiliteacute des services informatiques et elles font partie inteacutegrante de la planification de la continuiteacute de lactiviteacute de lentreprise et de la gestion de crise Le management passe en revue et optimise les installations reacuteguliegraverement en srsquoappuyant sur les objectifs et les meacutetriques et il profite des occasions qui se preacutesentent pour ameacuteliorer la contribution des SI aux meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 148
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer etSupporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
PP SS
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
DESCRIPTION DU PROCESSUS
DS13 Geacuterer lrsquoexploitation
Pour un traitement complet et exact des donneacutees il faut une gestion efficace des proceacutedures de traitement des donneacutees et une maintenance appliqueacutee du mateacuteriel informatique Ce processus implique de deacutefinir des politiques et des proceacutedures drsquoexploitation neacutecessaires agrave une gestion efficace des traitements programmeacutes de proteacuteger les sorties sensibles de surveiller lrsquoinfrastructure et drsquoeffectuer une maintenance preacuteventive du mateacuteriel La gestion efficace de lrsquoexploitation aide agrave maintenir lrsquointeacutegriteacute des donneacutees et agrave reacuteduire les deacutelais et les coucircts drsquoexploitation informatique
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS
Le controcircle du processus informatique
Surveiller et Evaluer
Geacuterer lrsquoexploitation
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances
en se concentrant sur
la gestion des niveaux de services drsquoexploitation pour les traitements programmeacutes la protection des sorties sensibles et la surveillance et la maintenance de lrsquoinfrastructure
atteint son objectif en
bull exploitant lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus et aux instructions deacutefinies
bull assurant la maintenance de lrsquoinfrastructure informatique
et est mesureacute par
bull le nombre de contrats de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull le nombre drsquoheures drsquoinactiviteacute non preacutevues provoqueacutees par des incidents drsquoexploitation bull le pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance
preacuteventive
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 149
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
OBJECTIFS DE CONTROcircLE
DS13 Geacuterer lrsquoexploitation
DS131 Proceacutedures et instructions drsquoexploitation Deacutefinir mettre en place et tenir agrave jour des proceacutedures standard pour lrsquoexploitation informatique en srsquoassurant que le personnel connaicirct bien toutes les tacircches drsquoexploitation qui deacutependent de lui Les proceacutedures drsquoexploitation doivent tenir compte des changements drsquoeacutequipes (passation des consignes formaliseacutee eacutetats drsquoavancement problegravemes drsquoexploitation proceacutedures drsquoescalade et rapports sur les responsabiliteacutes en cours) pour reacutepondre aux contrats de services convenus et garantir la continuiteacute de lrsquoexploitation
DS132 Planification des travaux Organiser la planification des travaux processus et tacircches selon la seacutequence la plus efficace en optimisant le deacutebit et lrsquoutilisation des ressources pour reacutepondre aux exigences des meacutetiers
DS133 Surveillance de lrsquoinfrastructure informatique Deacutefinir et mettre en place des proceacutedures pour surveiller lrsquoinfrastructure informatique et les eacuteveacutenements qui srsquoy rapportent Srsquoassurer qursquoun historique suffisant des opeacuterations est stockeacute dans les journaux dexploitation pour permettre la reconstruction la revue et lanalyse des seacutequences chronologiques des traitements et des autres activiteacutes lieacutees agrave ces traitements ou leur apportant un soutien
DS134 Documents sensibles et dispositifs de sortie Mettre en place des dispositifs de seacutecuriteacute physique approprieacutes les pratiques de comptabiliteacute et de gestion drsquoinventaires pour les actifs informatiques sensibles comme les formulaires speacuteciaux les effets de commerce les imprimantes speacutecialiseacutees et les systegravemes drsquoidentification
DS135 Maintenance preacuteventive du mateacuteriel Deacutefinir et mettre en place des proceacutedures pour garantir la maintenance en temps opportun de lrsquoinfrastructure afin de reacuteduire la freacutequence et les conseacutequences de deacutefaillances ou de deacutegradation des performances
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 150
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13
GUIDE DE MANAGEMENT
DS13 Geacuterer lrsquoexploitation
De Entreacutees
AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration
AI7 Plans de mises en production de publication et de diffusion de logiciels
DS1 CS et CE
DS4 Plan de stockage et de protection des sauvegardes
DS9 Configuration informatiquedeacutetail des actifs
DS11
Instructions drsquoexploitation pour la gestion des donneacutees
Sorties Vers Tickets drsquoincidents DS8 Historiques des erreurs DS10 Rapports sur la performance des processus SE1
Tableau RACI
Activiteacutes
Creacuteermodifier les proceacutedures drsquoexploitation (comme manuels listes de controcircle planning des changements drsquoeacutequipes documentation pour la passation des consignes proceacutedures drsquoescalade etc)
AR I
Programmer la charge de travail et les traitements par lots C AR C C
Surveiller lrsquoinfrastructure et le traitement et reacutesoudre les problegravemes AR I
Geacuterer les sorties et en assurer la seacutecuriteacute (par exemple papier supports eacutelectroniques) AR C
Appliquer les correctifs et les modifications au planning et agrave lrsquoinfrastructure C AR C C C
Mettre en place un processus pour preacuteserver les systegravemes drsquoauthentification des intrusions des pertes et du vol A R I C
Planifier et effectuer une maintenance preacuteventive AR
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
induit
induit
Meacutetriq
ues
bull Nb de niveaux de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull Nb drsquoheures drsquoinactiviteacute non preacutevues dues agrave des incidents drsquoexploitation
bull Nb drsquointerruptions de service et de retards provoqueacutes par le non respect des proceacutedures drsquoexploitation bull Pourcentage de traitements programmeacutes et de traitements speacuteciaux exeacutecuteacutes avec retard bull Nb drsquointerruptions de service et de retards provoqueacutes par des proceacutedures inadapteacutees
bull Nb de journeacutees de formation par personnel drsquoexploitation et par an bull Pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance preacuteventive bull Pourcentage de programmes de travail automatiseacutes bull Freacutequence des mises agrave jour des proceacutedures drsquoexploitation
Processus
bull Deacutefinir des proceacutedures drsquoexploitation conformes aux niveaux de services convenus bull Effectuer les traitements programmeacutes et les demandes de traitements speacuteciaux conformeacutement aux niveaux de services convenus bull Mettre en place des dispositifs de seacutecuriteacute physique pour les informations sensibles
Activiteacutes
bull Exploiter lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus avec les instructions deacutefinies et une supervision eacutetroite bull Assurer une maintenance preacuteventive et une surveillance de lrsquoinfrastructure informatique
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 151
Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation
MODEgraveLE DE MATURITEacute
DS13 Geacuterer lrsquoexploitation
La gestion du processus Geacuterer lrsquoexploitation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances est
0 Inexistante quand
Lentreprise ne consacre ni temps ni ressources agrave la mise en place des eacuteleacutements de base dune activiteacute drsquoassistance informatique ou drsquoactiviteacutes drsquoexploitation informatique
1 Initialiseacutee au cas par cas quand
Lentreprise admet quil faut structurer les fonctions de support informatique Cependant on na eacutetabli que peu de proceacutedures standard et les activiteacutes drsquoexploitation nrsquointerviennent qursquoau cas par cas La plus grande partie de lexploitation nest pas formellement planifieacutee et les demandes de traitements informatiques sont accepteacutees sans validation preacutealable Les ordinateurs les systegravemes et les applications qui assistent les processus meacutetiers sont souvent interrompus retardeacutes indisponibles Les employeacutes perdent du temps agrave attendre des ressources disponibles Les reacutesultats des traitements sortent parfois agrave des endroits inattendus ou pas du tout
2 Reproductible mais intuitive quand
Lentreprise est consciente du rocircle essentiel que joue lrsquoexploitation informatique en assurant des fonctions drsquoassistance informatique On attribue au cas par cas les budgets pour les outils informatiques Lassistance de linformatique aux autres fonctions est informelle et intuitive On deacutepend largement des compeacutetences et des aptitudes de certains individus Les instructions preacutecisant ce quil faut faire quand et dans quel ordre ne sont pas documenteacutees Il existe des formations drsquoexploitant et il existe quelques normes officielles de fonctionnement
3 Deacutefinie quand
La neacutecessiteacute dune gestion de lexploitation informatique est comprise et accepteacutee dans lentreprise On attribue les ressources correspondantes et certaines formations sont faites sur le tas Les fonctions reacutepeacutetitives sont formellement deacutefinies standardiseacutees documenteacutees et diffuseacutees Les eacuteveacutenements et les reacutesultats des travaux acheveacutes sont enregistreacutes avec des comptes-rendus succincts au management On introduit lutilisation doutils de planification automatique et autres pour limiter les interventions humaines On introduit des controcircles pour la mise en traitement de nouveaux travaux On deacuteveloppe une politique formelle pour reacuteduire le nombre drsquoeacuteveacutenements impreacutevus Les contrats de maintenance et de services avec les fournisseurs sont encore de nature informelle
4 Geacutereacutee et mesurable quand
On a clairement deacutefini les responsabiliteacutes de lexploitation informatique et des activiteacutes de support et on en a deacutesigneacute les proprieacutetaires On a deacutegageacute pour lexploitation des ressources dans les budgets dinvestissements et dans les ressources humaines La formation est formaliseacutee et permanente Les plannings et les tacircches sont documenteacutes et diffuseacutes agrave la fois au sein de la fonction informatique et aux clients meacutetiers Il est possible de mesurer et de surveiller les activiteacutes quotidiennes en relation avec les contrats de performance standard et les niveaux de services convenus On relegraveve et on corrige rapidement tout eacutecart par rapport aux normes eacutetablies Le management surveille lutilisation des ressources informatiques et la bonne fin des travaux et des tacircches assigneacutees Il existe un effort constant pour ameacuteliorer le niveau dautomatisation des processus comme moyen drsquoameacutelioration continue On a eacutetabli des contrats formels de maintenance et de services avec les fournisseurs Lalignement est total avec les processus de gestion des problegravemes et de la capaciteacute entre autres gracircce agrave lanalyse des causes des eacutechecs et des erreurs
5 Optimiseacutee quand
Le support informatique et lexploitation sont efficaces efficients et suffisamment souples pour atteindre les niveaux de services souhaiteacutes avec des pertes de productiviteacute minimales Les processus de gestion de lexploitation sont standardiseacutes et documenteacutes dans une base de connaissances et sont sujets agrave de continuelles ameacuteliorations Les processus automatiseacutes qui supportent les systegravemes fonctionnent sans agrave-coups et contribuent agrave un environnement stable On analyse tous les problegravemes et les eacutechecs pour trouver les causes initiales Des reacuteunions reacuteguliegraveres avec leacutequipe de gestion des changements permettent dinclure en temps utile des modifications dans les plannings de production Lacircge et les disfonctionnements des mateacuteriels sont analyseacutes en coopeacuteration avec les fournisseurs et la maintenance devient essentiellement preacuteventive
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 152
SURVEILLER ET EVALUER
SE1 Surveiller et eacutevaluer la performance des SI SE2 Surveiller et eacutevaluer le controcircle interne SE3 Srsquoassurer de la conformiteacute aux obligations externes SE4 Mettre en place une gouvernance des SI
SUR
VE
ILL
ER
ET
EacuteV
AL
UE
R
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
DESCRIPTION DU PROCESSUS
SE1 Surveiller et eacutevaluer les performances des SI
Une gestion efficace des SI exige un processus de surveillance Ce processus inclut la deacutefinition dindicateurs pertinents de performance la publication systeacutematique et en temps opportun de rapports sur la performance et une reacuteaction rapide aux anomalies Il faut une surveillance pour srsquoassurer qursquoon fait ce qursquoil faut conformeacutement aux orientations et aux politiques deacutefinies
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Le controcircle du processus informatique
Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance
en se concentrant sur
la surveillance des meacutetriques des processus et leurs comptes-rendus et la recherche et la mise en place drsquoactions destineacutees agrave ameacuteliorer la performance
atteint son objectif en
bull collationnant des rapports de performance et en les traduisant en rapports de gestion bull comparant les performances aux objectifs convenus et en mettant en place des actions correctrices
lorsque crsquoest neacutecessaire
et est mesureacute par
bull la satisfaction du management et des responsables de la gouvernance agrave propos des rapports de performance
bull le nombre drsquoactions drsquoameacuteliorations susciteacutees par les activiteacutes de surveillance le nombre de processus critiques surveilleacutes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 153
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
OBJECTIFS DE CONTROcircLE
SE1 Surveiller et eacutevaluer la performance des SI
SE11 Approche de la surveillance Constituer un reacutefeacuterentiel et une approche geacuteneacuterale de la surveillance qui deacutefinisse lrsquoeacutetendue la meacutethodologie et le processus agrave suivre pour mesurer la deacutelivrance de solutions et de services informatiques et surveiller la contribution des SI aux meacutetiers Inteacutegrer ce reacutefeacuterentiel au systegraveme de gestion des performances de lrsquoentreprise
SE12 Deacutefinition et collationnement des donneacutees de surveillance En associant les meacutetiers deacutefinir un ensemble eacutequilibreacute drsquoobjectifs de performance et les faire approuver par les meacutetiers et par les autres parties prenantes concerneacutees Mettre en place des analyses comparatives pour deacutefinir les objectifs et recenser les donneacutees neacutecessaires agrave collecter pour mesurer ces objectifs Mettre en place les processus pour collecter des donneacutees exactes au bon moment et rendre compte de la progression vers les objectifs viseacutes
SE13 Meacutethode de surveillance Mettre en place une meacutethode de surveillance (par ex tableau de bord eacutequilibreacute) qui prend en compte les objectifs enregistre les mesures offre une vision condenseacutee geacuteneacuterale de la performance des SI et est compatible avec le systegraveme de surveillance de lrsquoentreprise
SE14 Eacutevaluation de la performance Comparer peacuteriodiquement les performances aux objectifs analyser les causes des eacutecarts et initier des actions correctives pour traiter les causes sous-jacentes De temps en temps reacutealiser des analyses causales de ces eacutecarts
SE15 Comptes-rendus destineacutes au conseil drsquoadministration et agrave la direction geacuteneacuterale Produire agrave la direction geacuteneacuterale des rapports sur la contribution des SI aux meacutetiers particuliegraverement en ce qui concerne la performance du portefeuille de lrsquoentreprise les programmes drsquoinvestissements deacutependant de lrsquoinformatique et la performance des solutions et services deacutelivreacutes par chacun des programmes Les rapports indiquent dans quelle mesure les objectifs preacutevus ont eacuteteacute atteints les ressources budgeacutetiseacutees utiliseacutees les objectifs de performance preacutevus atteints et les risques reacuteduits Anticiper sur la revue qui en sera faite par la direction geacuteneacuterale en proposant des actions correctives pour remeacutedier aux eacutecarts les plus importants Fournir les rapports agrave la direction geacuteneacuterale et lui demander un retour apregraves revue
SE16 Actions correctives Deacutefinir et entreprendre les actions correctives qui srsquoappuient sur la surveillance lrsquoeacutevaluation et le compte-rendu de la performance Cela implique un suivi de toutes les actions de surveillance de compte-rendu et drsquoeacutevaluation par bull Lrsquoexamen la discussion et lrsquoeacutelaboration de propositions drsquoactions correctives par le management bull Lrsquoattribution de la responsabiliteacute de lrsquoaction corrective bull Le suivi des reacutesultats de cette action
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 154
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1
GUIDE DE MANAGEMENT
SE1 Surveiller et eacutevaluer la performance des SI
De Entreacutees
PO5 Rapports coucirctsbeacuteneacutefices
PO10 Rapports sur la performance des projets
AI6 Rapports sur le statut des changements
DS1shy13 Rapports sur la performance des processus
DS8 Rapports sur la satisfaction des utilisateurs
SE2 Rapport sur lrsquoefficaciteacute des controcircles informatiques
SE3 Rapports sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE4 Etat de situation de la gouvernance des SI
Sorties Vers Entreacutee de la performance dans le planning SI PO1 PO2 DS1 Plans drsquoactions correctives PO4 PO8 Historique des eacuteveacutenements de risque et des tendances PO9 Rapports sur la performance des processus SE2
Bacirctir lrsquoapproche de surveillance A R C R I C I C I C
Identifier et faire la liste des objectifs mesurables qui vont dans le sens des objectifs meacutetiers C C C A R R R
Creacuteer des tableaux de bord A R C R C
Eacutevaluer la performance I I A R R C R C
Rendre compte de la performance I I I R A R R C R C I
Identifier et surveiller les actions destineacutees agrave ameacuteliorer la performance A R R C R C C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de gouvernance en accord avec les orientations de la direction geacuteneacuteraledu CA bull Reacutepondre aux exigences des meacutetiers en accord avec la strateacutegie des meacutetiers bull Srsquoassurer que les SI font preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services des SI
deacutefinit deacutefinit
induit
induit
Meacutetriq
ues
bull Nb de modifications drsquoobjectifs pour les indicateurs drsquoefficaciteacute et drsquoefficience des processus informatiques bull Taux de satisfaction du management et de la gouvernance agrave propos des rapports sur la performance bull Nb de reacuteduction du nombre de carences flagrantes des processus
bull Taux de satisfaction des parties prenantes par le processus de mesure bull Pourcentage de processus critiques surveilleacutes bull Nb drsquoactions drsquoameacuteliorations induites par les activiteacutes de surveillance bull Nb drsquoobjectifs de surveillance atteints (indicateurs controcircleacutes)
bull Deacutelai entre le rapport sur une deacutefaillance et le deacutebut de laction entreprise pour y remeacutedier bull Deacutelai pour mettre agrave jour les outils de mesure pour qursquoils reflegravetent veacuteritablement les objectifs de performance les mesures les cibles viseacutees et les tests comparatifs bull Nb de meacutetriques (par processus) bull Nb de relations de causes agrave effets deacutecouvertes et inteacutegreacutees dans la surveillance bull Nb efforts neacutecessaires pour reacuteunir les donneacutees de surveillance bull Nb de problegravemes non identifieacutes par les processus de mesure bull Pourcentage de meacutetriques qui permettent de se comparer aux standards et aux objectifs du secteur
Processus
bull Fixer des objectifs mesurables des ICO et des ICP pour les processus informatiques cleacutes bull Mesurer et surveiller et en rendre compte des meacutetriques des processus bull Identifier et mettre en place les actions destineacutees agrave ameacuteliorer la performance
Activiteacutes
bull Reacutecupeacuterer et rassembler les rapports sur la performance et les traduire en rapports de gestion bull Comparer les performances aux objectifs convenus et mettre en place des actions correctrices lorsque crsquoest neacutecessaire
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 155
Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI
MODEgraveLE DE MATURITEacute
SE1 Surveiller et eacutevaluer la performance des SI
La gestion du processus Surveiller et Eacutevaluer les performances des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance est
0 Inexistante quand
Lentreprise na pas mis en place de processus de surveillance La DSI nexerce pas de faccedilon indeacutependante de surveillance des projets ou des processus On ne dispose pas en temps opportun de rapports utiles ou preacutecis On ne reconnaicirct pas le besoin de fixer des objectifs clairs pour les processus
1 Initialiseacutee au cas par cas quand
Le management reconnaicirct le besoin de collecter et deacutevaluer des informations pour la surveillance des processus On na pas deacutefini de normes pour la collecte des informations et leacutevaluation des processus La surveillance est mise en place et les meacutetriques sont choisies au cas par cas en fonction des besoins de projets et de processus informatiques speacutecifiques La surveillance est geacuteneacuteralement mise en place suite agrave un incident qui a causeacute des pertes ou une gecircne agrave lentreprise La fonction comptable surveille les mesures financiegraveres de base concernant les SI
2 Reproductible mais intuitive quand
On identifie les mesures de base agrave surveiller Il existe des meacutethodes et des techniques de collecte et deacutevaluation mais les processus ne sont pas adopteacutes dans lrsquoensemble de lentreprise Lrsquointerpreacutetation des reacutesultats de la surveillance se base sur les compeacutetences drsquoindividus cleacutes On choisit et on met en place des outils limiteacutes pour collecter les informations mais sans planification
3 Deacutefinie quand
Le management communique et met en place des processus de surveillance standard Des programmes denseignement et de formation sur la surveillance sont mis en place On deacuteveloppe et formalise une base de connaissances qui conserve lhistorique des performances Leacutevaluation est encore faite individuellement pour certains projets et certains processus informatiques mais elle nest pas geacuteneacuteraliseacutee On met en place des outils de suivi des processus et des niveaux de services internes agrave linformatique On preacutecise comment mesurer la contribution de lrsquoinformatique aux performances de lentreprise en utilisant des critegraveres financiers et opeacuterationnels traditionnels On deacutefinit des mesures de performance des mesures non financiegraveres des mesures strateacutegiques des mesures de la satisfaction des clients et de niveaux de services speacutecifiques agrave lrsquoinformatique On deacutefinit un cadre de reacutefeacuterence pour mesurer la performance
4 Geacutereacutee et mesurable quand
Le management deacutefinit les marges de toleacuterance acceptables pour les processus Les rapports sur les reacutesultats de la surveillance sont standardiseacutes et normaliseacutes On integravegre des outils de mesure agrave tous les projets et processus informatiseacutes Les systegravemes de reporting de gestion de la fonction informatique de lrsquoentreprise sont formaliseacutes On integravegre des outils automatiques de collecte et de surveillance des informations sur lactiviteacute dans toute lentreprise et on les mobilise pour faire le suivi des applications des systegravemes et des processus Le management est capable drsquoeacutevaluer la performance en se basant sur des critegraveres approuveacutes par les parties prenantes Les mesures effectueacutees par la fonction informatique sont conformes aux objectifs geacuteneacuteraux de lrsquoentreprise
5 Optimiseacutee quand
On deacuteveloppe un processus continu dameacutelioration de la qualiteacute pour mettre agrave niveau les standards et les politiques de surveillance agrave leacutechelle de lentreprise et pour adopter les meilleures pratiques de la profession Tous les processus de surveillance sont optimiseacutes et travaillent pour les objectifs geacuteneacuteraux de lentreprise On utilise couramment des meacutetriques inspireacutees par les meacutetiers pour mesurer les performances et on les integravegre dans les scheacutemas deacutevaluation strateacutegiques comme le tableau de bord eacutequilibreacute La surveillance et lrsquoameacutelioration permanente des processus sont conformes aux plans drsquoameacutelioration des processus meacutetiers dans lrsquoensemble de lrsquoentreprise Les tests comparatifs avec les autres entreprises et avec les principaux concurrents se sont formaliseacutes et utilisent des critegraveres de comparaison bien compris
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 156
GOUVERNANCE
DES SI
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SS S SS
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
DESCRIPTION DU PROCESSUS
SE2 Surveiller et eacutevaluer le controcircle interne
Eacutetablir un programme efficace de controcircle interne de lrsquoinformatique impose de bien deacutefinir un processus de surveillance Ce processus comporte la surveillance et les rapports sur les anomalies releveacutees les reacutesultats des autoeacutevaluations et des revues par des tiers Un des beacuteneacutefices essentiel de la surveillance du controcircle interne est de fournir lrsquoassurance drsquoune exploitation efficace et efficiente et la conformiteacute aux lois et reacuteglementations en vigueur
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SS S SS
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Surveiller et eacutevaluer le controcircle interne
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI
en se concentrant sur
la surveillance des processus de controcircle interne pour les activiteacutes lieacutees aux SI et identifier les actions qui permettront des ameacuteliorations
atteint son objectif en
bull deacutefinissant un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull surveillant et en rendant compte de lrsquoefficaciteacute des controcircles internes des SI bull rapportant au management les anomalies deacutetecteacutees par les controcircles pour action
et est mesureacute par
bull le nombre de manquements majeurs au controcircle interne bull le nombre dinitiatives visant agrave lameacutelioration du controcircle bull le nombre des autoeacutevaluations de controcircle interne et lrsquoeacuteventail drsquoactiviteacutes couvertes
SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 157
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
OBJECTIFS DE CONTROcircLE
SE2 Surveiller et eacutevaluer le controcircle interne
SE21 Surveillance du reacutefeacuterentiel de controcircle interne Surveiller comparer agrave lrsquoaide drsquoanalyses et ameacuteliorer de faccedilon continue lrsquoenvironnement de controcircle de lrsquoinformatique et le reacutefeacuterentiel de controcircle pour atteindre les objectifs de lrsquoentreprise
SE22 Revue geacuteneacuterale Surveiller et eacutevaluer lrsquoefficaciteacute et lrsquoefficience des revues de controcircle interne effectueacutees par le management de lrsquoinformatique
SE23 Anomalies deacutetecteacutees par le controcircle Identifier les anomalies deacutetecteacutees par le controcircle les analyser et en identifier les causes sous-jacentes Faire remonter les anomalies et en produire un rapport pertinent aux parties prenantes Mettre en place les actions correctives neacutecessaires
SE24 Autoeacutevaluation du controcircle Veacuterifier que les controcircles du management sur les processus informatiques les politiques et les contrats sont complets et efficaces et reacutealiseacutes au moyen drsquoun programme permanent drsquoautoeacutevaluation
SE25 Assurance de controcircle interne Obtenir en fonction des besoins lrsquoassurance suppleacutementaire de lrsquoexhaustiviteacute et de lrsquoefficaciteacute des controcircles internes par des revues effectueacutees par des tiers
SE26 Controcircle interne des tiers Eacutevaluer la situation des controcircles internes des fournisseurs de services externe Confirmer que les fournisseurs de services externes se conforment aux exigences leacutegales et reacuteglementaires ainsi qursquoagrave leurs obligations contractuelles
SE27 Actions correctives Deacutefinir initier mettre en place et suivre les actions correctives reacutesultant des eacutevaluations et les rapports de controcircle
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 158
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
it
Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2
GUIDE DE MANAGEMENT
SE2 Surveiller et eacutevaluer le controcircle interne
De Entreacutees
SE1 Rapports sur la performance des processus
Sorties Vers Rapports sur lrsquoefficaciteacute des controcircles des SI PO4 PO6 SE1 SE4
Surveiller et controcircler les activiteacutes du controcircle interne des SI A R R R R
Surveiller le processus drsquoautoshyeacutevaluation I A R R R C
Surveiller la performance des revues indeacutependantes des audits et des investigations I A R R R C
Surveiller le processus drsquoobtention drsquoune assurance sur les controcircles opeacutereacutes par des tiers I I I A R R R C
Surveiller le processus drsquoidentification et drsquoeacutevaluation des anomalies deacutetecteacutees I I I A I R R R C
Surveiller le processus drsquoidentification et de correction des anomalies deacutetecteacutees I I I A I R R R C
Rendre compte aux principales parties prenantes I I I AR I
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Tableau RACI
Activiteacutes
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique Processus
Objectifs
bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Preacuteserver le succegraves des objectifs informatiques bull Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements bull Proteacuteger tous les actifs informatiques et en ecirctre comptable
induinduit
bull Freacutequence des incidents de controcircle interne bull Nb de faiblesses identifieacutees par les rapports de qualification et de certification externes bull Nb dinitiatives visant agrave lameacutelioration du controcircle bull Nb dincidents de non-conformiteacute aux lois ou regraveglements bull Nb drsquoactions entreprises au bon moment sur des problegravemes de controcircle interne
bull Nb et couverture des auto-eacutevaluations de controcircle interne bull Nb et couverture des controcircles internes sujets agrave des revues geacuteneacuterales bull Deacutelai entre les deacutefaillances de controcircle interne et le rapport qui en est fait bull Nb et freacutequence des rapports de la conformiteacute interne et eacuteventail couvert
Activiteacutes
bull Deacutefinir un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull Surveiller et rendre compte de lrsquoefficaciteacute des controcircles internes des SI bull Rapporter au management les anomalies deacutetecteacutees par les controcircles pour action
bull Surveiller la reacutealisation des objectifs de controcircle interne deacutefinis pour les processus informatiques bull Identifier les actions drsquoameacutelioration du controcircle interne
deacutefinit deacutefinit
mesure mesure mesure
Meacutetriq
ues
bull Taux de satisfaction du management agrave propos des rapports de surveillance du controcircle interne bull Nb de manquements majeurs au controcircle interne
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 159
Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne
MODEgraveLE DE MATURITEacute
SE2 Surveiller et eacutevaluer le controcircle interne
La gestion du processus Surveiller et Eacutevaluer le controcircle interne qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI est
0 Inexistante quand
Lentreprise na pas les proceacutedures quil faut pour surveiller lefficaciteacute des controcircles internes Il ny a pas de meacutethode de reporting pour les controcircles internes Les questions de seacutecuriteacute opeacuterationnelle informatique et dassurance de controcircle interne ne sont en geacuteneacuteral pas eacutevoqueacutees Le management et les employeacutes ne sont globalement pas sensibiliseacutes aux controcircles internes
1 Initialiseacutee au cas par cas quand
Le management admet le besoin drsquoune assurance reacuteguliegravere sur le management de lrsquoinformatique et son controcircle On se fie lorsque le besoin sen fait sentir agrave des compeacutetences individuelles pour eacutevaluer ladeacutequation du controcircle interne La direction informatique na pas formellement deacutesigneacute de responsable pour la veacuterification de lefficaciteacute des controcircles internes Les eacutevaluations du controcircle interne de lrsquoinformatique sont faites agrave loccasion des audits financiers traditionnels avec des meacutethodologies et des compeacutetences qui ne reflegravetent pas les besoins de la fonction informatique
2 Reproductible mais intuitive quand
Lentreprise utilise des rapports de controcircle informels pour initier des actions correctives Lrsquoeacutevaluation du controcircle interne deacutepend des compeacutetences drsquoindividus cleacutes Lentreprise prend de plus en plus conscience du besoin de surveillance du controcircle interne La direction des SI surveille reacuteguliegraverement lefficaciteacute de ce qursquoelle pense ecirctre les controcircles internes les plus sensibles On commence agrave utiliser des meacutethodologies et des outils de surveillance des controcircles internes mais sans plan On identifie les facteurs de risques speacutecifiques agrave lrsquoenvironnement informatique gracircce aux compeacutetences drsquoindividus cleacutes
3 Deacutefinie quand
Le management apporte son soutien agrave la surveillance du controcircle interne et la institutionnaliseacutee On deacuteveloppe des politiques et des proceacutedures pour eacutevaluer et rendre compte des activiteacutes de surveillance du controcircle interne On deacutefinit un programme denseignement et de formation agrave la surveillance du controcircle interne On deacutefinit un processus drsquoautoeacutevaluation des controcircles internes et de revues drsquoassurance qui preacutecisent les rocircles et responsabiliteacutes des responsables meacutetiers et de la direction des SI On utilise des outils qui ne sont cependant pas inteacutegreacutes agrave tous les processus On met en œuvre des politiques deacutevaluation des risques informatiques selon des reacutefeacuterentiels de controcircle deacuteveloppeacutes speacutecifiquement pour les SI On deacutefinit des politiques speacutecifiques drsquoacceptation et de reacuteduction des risques
4 Geacutereacutee et mesurable quand
Le management met en place un reacutefeacuterentiel de surveillance du controcircle interne de lrsquoinformatique Lentreprise eacutetablit des niveaux de toleacuterance pour les processus de surveillance du controcircle interne On met en place des outils pour standardiser les eacutevaluations et pour que les controcircles deacutetectent automatiquement les anomalies Une fonction de controcircle interne informatique est formellement mise en place Elle renferme des professionnels speacutecialiseacutes et certifieacutes et utilise un reacutefeacuterentiel de controcircle formel approuveacute par la direction geacuteneacuterale Les informaticiens particuliegraverement compeacutetents participent reacuteguliegraverement aux eacutevaluations de controcircle interne On constitue une base de connaissances des mesures issues de la surveillance du controcircle interne pour en conserver lhistorique On organise des eacutevaluations par des pairs de cette surveillance
5 Optimiseacutee quand
Le management eacutetablit un programme continu dameacutelioration de la surveillance du controcircle interne agrave leacutechelle de lentreprise qui prend en compte lexpeacuterience et les bonnes pratiques de la profession Lrsquoentreprise utilise des outils modernes inteacutegreacutes lorsque crsquoest adapteacute qui permettent une eacutevaluation efficace des controcircles informatiques critiques et une deacutetection rapide des incidents de surveillance des controcircles informatiques On a formellement institutionnaliseacute le partage des connaissances speacutecifiques agrave la fonction informatique On a formaliseacute des tests comparatifs sur la base des standards et des bonnes pratiques de la profession
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 160
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
P S
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3 DESCRIPTION DU PROCESSUS
SE3 Srsquoassurer de la conformiteacute aux obligations externes
Un processus de revue est neacutecessaire pour garantir efficacement la conformiteacute aux lois aux regraveglements et aux obligations contractuelles Ce processus implique drsquoidentifier les obligations de conformiteacute drsquoeacutevaluer et drsquooptimiser la reacuteponse agrave donner drsquoavoir lrsquoassurance drsquoecirctre conforme aux obligations et au final drsquointeacutegrer les rapports sur la conformiteacute des SI agrave ceux du reste de lrsquoentreprise
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
P S
Planifier et Organiser
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Surveiller et Evaluer
Le controcircle du processus informatique
Srsquoassurer de la conformiteacute aux obligations externes
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles
en se concentrant sur
identifier toutes les lois reacuteglementations et contrats applicables et le niveau de conformiteacute des SI agrave cet eacutegard et optimiser les processus informatiques pour reacuteduire le risque de non-conformiteacute
atteint son objectif en
bull faisant la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull eacutevaluant lrsquoimpact des obligations reacuteglementaires bull surveillant la conformiteacute aux obligations et en rendant compte
et est mesureacute par
bull coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull temps moyen entre lidentification dun problegraveme de conformiteacute agrave des exigences externes
et sa reacutesolution bull freacutequence des revues de conformiteacute
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE G
ESTION DES
RISQUES
APPORTDE
VALEUR
SecondairePrimaire SecondairePrimaire
ALIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 161
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
OBJECTIFS DE CONTROcircLE
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE31 Identification des obligations externes lois regraveglements et contrats Identifier de faccedilon permanente les obligations externes auxquelles il faut se conformer lois nationales et internationales reacuteglementations et autres de faccedilon agrave les prendre en compte dans les politiques normes proceacutedures et meacutethodologies informatiques de lrsquoentreprise
SE32 Optimisation de la reacuteponse aux obligations externes Reacuteviser et optimiser les politiques normes proceacutedures et meacutethodologies informatiques pour srsquoassurer que les exigences leacutegales reacuteglementaires et contractuelles sont prises en compte et font lrsquoobjet drsquoune communication
SE33 Eacutevaluation de la conformiteacute aux obligations externes Valider la conformiteacute des politiques normes proceacutedures et meacutethodologies informatiques aux obligations externes
SE34 Assurance positive de la conformiteacute Obtenir lrsquoassurance du respect de la conformiteacute par toutes les politiques internes issues de directives internes ou drsquoobligations externes leacutegales reacuteglementaires et contractuelles et en rendre compte Srsquoassurer que toutes les actions correctives ont eacuteteacute entreprises en temps opportun par le proprieacutetaire du processus responsable pour traiter tous les manquements agrave la conformiteacute
SE35 Inteacutegration des rapports Inteacutegrer les rapports de lrsquoinformatique sur les obligations leacutegales reacuteglementaires et contractuelles aux reacutesultats similaires drsquoautres fonctions meacutetiers
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 162
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3
GUIDE DE MANAGEMENT
SE3 Srsquoassurer de la conformiteacute aux obligations externes
De Entreacutees
Exigences leacutegales et reacuteglementaires Entreacutees externes agrave CobiT
Sorties Vers Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
PO4 SE4
Rapport sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes
SE1
Tableau RACI
Activiteacutes Deacutefinir et mettre en œuvre un processus pour identifier les exigences leacutegales contractuelles politiques et reacuteglementaires
AR C I I I C I R
Eacutevaluer la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques I I I I AR I R R R R R R
Rendre compte de lrsquoassurance positive de la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques
AR C C C C C C R
Fournir les entreacutees permettant drsquoaligner les politiques les plans et les proceacutedures sur les exigences de conformiteacute
AR C C C C C R
Inteacutegrer les rapports des SI sur les exigences reacuteglementaires aux reacutesultats similaires drsquoautres fonctions meacutetiers AR I I I R I R
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Assurer la conformiteacute des SI aux lois regraveglements et contrats
induit
induit
Meacutetriq
ues
bull Coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull Nb de problegravemes de non-conformiteacute rapporteacutes au CA ou provoquant des commentaires embarrassants pour lrsquoentreprise
bull Nb de problegravemes seacuterieux de non-conformiteacute deacutetecteacutes chaque anneacutee bull Freacutequence des revues de conformiteacute
bull Deacutelai moyen entre lidentification dun problegraveme de conformiteacute agrave des obligations externes et sa reacutesolution bull Deacutelai moyen entre la publication drsquoune nouvelle loi ou drsquoun nouveau regraveglement et la mise en œuvre drsquoune revue de conformiteacute bull Nb de jours de formation agrave la conformiteacute par collaborateur informatique et par an
Processus
bull Identifier toutes les lois regraveglements et contrats applicables et deacuteterminer le niveau de conformiteacute des SI bull Geacuterer lrsquoalignement des politiques plans et proceacutedures de faccedilon agrave geacuterer efficacement les risques de non-conformiteacute des SI bull Reacuteduire le plus possible pour les meacutetiers lrsquoimpact des problegravemes de conformiteacute identifieacutes dans les SI
Activiteacutes
bull Faire la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull Instruire le personnel informatique sur ses responsabiliteacutes vis-agrave-vis de la conformiteacute bull Eacutevaluer lrsquoimpact des obligations externes bull Surveiller la conformiteacute aux obligations externes et en rendre comptedeacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 163
Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes
MODEgraveLE DE MATURITEacute
SE3 Srsquoassurer de la conformiteacute aux obligations externes
La gestion du processus Srsquoassurer de la conformiteacute aux obligations externes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles est
0 Inexistante quand
Il y a peu de prise de conscience des obligations externes relatives aux SI et aucun processus ne concerne la mise en conformiteacute vis-agrave-vis des obligations leacutegales reacuteglementaires et contractuelles
1 Initialiseacutee au cas par cas quand
On est conscient des conseacutequences des obligations reacuteglementaires contractuelles et leacutegales pour lrsquoentreprise On suit des processus informels pour maintenir la conformiteacute mais seulement lorsque le besoin est mis en eacutevidence par de nouveaux projets des audits ou des revues
2 Reproductible mais intuitive quand
Le besoin de se conformer aux obligations externes est compris et on communique sur ce thegraveme Lorsque ce besoin de mise en conformiteacute est reacutecurrent comme dans les reacuteglementations financiegraveres ou la leacutegislation sur la vie priveacutee on a mis en place des proceacutedures individuelles avec un suivi annuel Il nrsquoy a cependant pas drsquoapproche standard On se repose beaucoup sur les connaissances et la responsabiliteacute des individus et on peut srsquoattendre agrave des erreurs La formation sur ces questions reste informelle
3 Deacutefinie quand
On deacuteveloppe documente et communique les politiques plans proceacutedures et processus destineacutes agrave assurer la conformiteacute aux obligations reacuteglementaires contractuelles et leacutegales mais on ne les suit pas toujours et certaines peuvent ecirctre obsolegravetes ou difficiles agrave mettre en œuvre Il y a peu de surveillance et la conformiteacute agrave certaines exigences nrsquoest pas assureacutee Des formations sont programmeacutees sur les obligations leacutegales et reacuteglementaires affectant lentreprise et sur les processus de mise en conformiteacute deacutefinis Il existe des contrats standards pro-forma et des processus leacutegaux pour minimiser les risques qui deacutecoulent des responsabiliteacutes lieacutees aux contrats
4 Geacutereacutee et mesurable quand
On a pleinement compris les problegravemes et les risques lieacutes aux obligations externes et le besoin dassurer la conformiteacute agrave tous les niveaux Il existe un programme de formation formel qui permet de sassurer que tous les personnels sont conscients de leurs obligations en matiegravere de mise en conformiteacute Les responsabiliteacutes sont claires et la notion de proprieacuteteacute du processus est comprise Le processus comprend une revue de lenvironnement pour mettre en eacutevidence les obligations externes et les changements en cours On a mis en place un meacutecanisme qui permet de relever les cas de non-conformiteacute dappliquer les pratiques internes et de prendre des mesures correctives Les causes de non-conformiteacute sont analyseacutees selon un processus standardiseacute dans le but de mettre en place des solutions durables On utilise les bonnes pratiques internes standard pour des besoins speacutecifiques tels que les reacuteglementations en vigueur et les contrats de services reacutecurrents
5 Optimiseacutee quand
Pour se conformer aux obligations externes on applique un processus efficace et bien organiseacute baseacute sur une seule fonction centrale qui permet dinformer et de coordonner toute lorganisation On connaicirct bien les obligations externes applicables on se tient informeacute de leurs eacutevolutions on anticipe les changements et on preacutepare des solutions nouvelles Lentreprise participe agrave des groupes de discussion externes avec des groupes professionnels ou des instances de reacutegulation pour comprendre et influencer les obligations externes qui laffecte On deacuteveloppe les meilleures pratiques pour assurer la conformiteacute aux obligations externes ce qui se traduit par un tregraves petit nombre de cas de non-conformiteacute Il existe un systegraveme de suivi centraliseacute agrave leacutechelle de lentreprise qui permet au management de documenter le flux de travail (workflow) et de mesurer et dameacuteliorer lefficaciteacute du processus de surveillance de la conformiteacute On utilise un processus dautoeacutevaluation des obligations externes et on lameacuteliore pour lamener au niveau des bonnes pratiques Le style et la culture du management de lentreprise en ce qui concerne la conformiteacute sont suffisamment forts et les processus sont suffisamment bien deacuteveloppeacutes pour que la formation se limite aux nouveaux personnels et aux changements significatifs
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 164
GESTION DES
RESSOURCES
MESURE DE LA
PERFORMANCE
APPORT DE
VALEURA
LIGNEMENT
STRATEGIQUE
GOUVERNANCE
DES SI
GESTION DES
RISQUES
ALIGNEMENT
STRATEGIQUE
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
Deacutelivrer et Supporter
Acqueacuterir et Impleacutementer
Planifier et Organiser
Surveiller et Evaluer
PP SSS S S
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
DESCRIPTION DU PROCESSUS
SE4 Mettre en place une gouvernance des SI
Mettre en place un reacutefeacuterentiel de gouvernance efficace impose de deacutefinir des structures organisationnelles des processus un leadership des rocircles et des responsabiliteacutes pour srsquoassurer que les investissements informatiques de lrsquoentreprise sont aligneacutes sur ses strateacutegies et ses objectifs et qursquoils travaillent pour eux
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fiab
iliteacute
Efficac
iteacute
Inteacute
griteacute
Confid
entia
liteacute
Efficience
Dispon
ibiliteacute
Confo
rmiteacute
Fi
abilit
eacute
PP SSS S S
Planifier et Organiser
Acqueacuterir et Impleacutementer
Deacutelivrer et Supporter
Surveiller et Evaluer
Le controcircle du processus informatique
Mettre en place une gouvernance des SI
qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique
inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats
en se concentrant sur
la reacutedaction de rapports au CA sur la strateacutegie les performances et les risques des SI et la reacuteponse aux exigences de gouvernance conformeacutement aux orientations du CA
atteint son objectif en
bull eacutetablissant un reacutefeacuterentiel de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull obtenant une assurance indeacutependante sur la situation de la gouvernance des SI
et est mesureacute par
bull la freacutequence des rapports au CA sur les SI agrave lrsquointention des parties prenantes (entre autres sur la maturiteacute)
bull la freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull la freacutequence des revues indeacutependantes de conformiteacute des SI
SecondairePrimaire
GESTION DES RESSOURCES
MESURE DE LA
PERFORMANCE
APPORTDE
VALEURA
LIGNEMENT
STRATEGIQUE
SecondairePrimaire SecondairePrimaire
GOUVERNANCE
DES SI
GESTION DES
RISQUES
Applications
Personnes
Informatio
ns
Infrastr
uctures
Applications
Personnes
Informatio
ns
Infrastr
uctures
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 165
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
OBJECTIFS DE CONTROcircLE
SE4 Mettre en place une gouvernance des SI
SE41 Mise en place drsquoun cadre de gouvernance des SI Deacutefinir mettre en place et aligner le cadre de gouvernance des SI sur celui de lrsquoentreprise et sur son environnement de controcircle Baser le reacutefeacuterentiel de gouvernance sur un processus et un modegravele de controcircle de lrsquoinformatique adeacutequats Eacuteviter toute ambiguiumlteacute au niveau des responsabiliteacutes et des pratiques qui deacutegraderait le controcircle interne et la surveillance Veiller agrave la conformiteacute aux lois et regraveglements du cadre de gouvernance agrave son alignement sur les objectifs et la strateacutegie de lrsquoentreprise ainsi qursquoagrave sa contribution en la matiegravere Rendre compte sur toutes les composantes de la gouvernance des SI
SE42 Alignement strateacutegique Faciliter la compreacutehension par les instances dirigeantes et le management des questions strateacutegiques concernant les SI comme le rocircle des SI les perspectives offertes par les technologies et leurs capaciteacutes Srsquoassurer qursquoon comprend aussi bien du cocircteacute des meacutetiers que des SI la contribution potentielle des SI agrave la strateacutegie des meacutetiers Travailler avec le CA et les instances en charge de la gouvernance comme le comiteacute strateacutegique informatique pour proposer au management des orientations pour les SI en srsquoassurant que la strateacutegie et les objectifs sont reacutepercuteacutes aux uniteacutes meacutetiers et aux fonctions informatiques et que la confiance se deacuteveloppe entre les meacutetiers et lrsquoinformatique Faciliter lrsquoalignement des SI sur les meacutetiers pour la strateacutegie et le fonctionnement opeacuterationnel en encourageant la co-responsabiliteacute entre les meacutetiers et lrsquoinformatique dans la prise de deacutecisions et lrsquoobtention de beacuteneacutefices des investissements deacutependants de lrsquoinformatique
SE43 Apport de valeur Srsquoassurer que les programmes drsquoinvestissements deacutependants de lrsquoinformatique et les autres actifs et services informatiques apportent le plus de valeur possible au service de la strateacutegie et des objectifs de lrsquoentreprise Srsquoassurer que les reacutesultats des meacutetiers attendus des investissements informatiques et que la totaliteacute des efforts neacutecessaires pour obtenir ces reacutesultats soient compris que des analyses de rentabiliteacute complegravetes et coheacuterentes soient effectueacutees et approuveacutees par les parties prenantes que les actifs et les investissements soient geacutereacutes tout au long de leur cycle de vie et qursquoil existe une gestion active des beacuteneacutefices agrave reacutealiser comme la contribution agrave de nouveaux services des gains drsquoefficience et une reacuteactiviteacute accrue aux demandes des clients Imposer une approche disciplineacutee de la gestion des portefeuilles des programmes et des projets en insistant pour que les meacutetiers assument la proprieacuteteacute de tous les investissements deacutependants de lrsquoinformatique et que lrsquoinformatique assure lrsquooptimisation des coucircts de fourniture de capaciteacutes et de services informatiques
SE44 Gestion des ressources Surveiller lrsquoinvestissement lrsquoutilisation et lrsquoaffectation des actifs informatiques au moyen drsquoeacutevaluations reacuteguliegraveres des actions et de lrsquoexploitation informatique pour srsquoassurer drsquoune gestion adeacutequate des ressources et de leur alignement sur les objectifs strateacutegiques actuels ainsi que sur les besoins des meacutetiers
SE45 Gestion des risques Travailler avec le CA pour deacutefinir lrsquoappeacutetence de lrsquoentreprise pour le risque informatique et obtenir lrsquoassurance raisonnable que les pratiques de gestion des risques sont adeacutequates pour srsquoassurer que le niveau de risque informatique actuel nrsquoexcegravede pas le niveau drsquoappeacutetence au risque du CA Inteacutegrer les responsabiliteacutes de gestion du risque dans lrsquoentreprise en srsquoassurant que les meacutetiers et lrsquoinformatique eacutevaluent reacuteguliegraverement les risques informatiques leurs conseacutequences et en rendent compte et que la position de lrsquoentreprise vis-agrave-vis du risque informatique est transparente pour les parties prenantes
SE46 Mesure de la performance Valider que les objectifs informatiques convenus ont eacuteteacute atteints ou deacutepasseacutes ou que la progression vers ces objectifs est conforme aux attentes Reacuteviser les actions correctives prises par le management pour les cas ougrave les objectifs convenus nrsquoont pas eacuteteacute atteints ou la progression non conforme aux attentes Rendre compte au CA de la performance des portefeuilles des programmes et des SI en lrsquoeacutetayant par des rapports pour permettre agrave la direction geacuteneacuterale de passer en revue la progression de lrsquoentreprise vers les objectifs fixeacutes
SE47 Assurance indeacutependante Obtenir une assurance indeacutependante (interne ou externe) sur la conformiteacute des SI aux lois et regraveglements dont ils relegravevent aux politiques normes et proceacutedures de lrsquoentreprise aux pratiques geacuteneacuteralement accepteacutees et agrave la performance de lrsquoinformatique en termes drsquoefficaciteacute et drsquoefficience
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 166
DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA DG DF Direction meacutetier
DSI
Proprieacutetaire processus meacutetier
Responsable exploitation
Responsable architecture
Responsable deacuteveloppem
ents
Responsable administratif des SI
Bureau projet
Conformiteacute Audit
Risques et Seacutecuriteacute
CA
Surveiller et Evaluer Mettre en place une gouvernance des SI SE4
GUIDE DE MANAGEMENT
SE4 Mettre en place une gouvernance des SI
De Entreacutees
PO4 Reacutefeacuterentiel des processus informatiques
PO5 Rapports coucirctsbeacuteneacutefices
PO9 Eacutevaluations des risques et rapports associeacutes
SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI
SE3 Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques
Sorties Vers Ameacuteliorations du reacutefeacuterentiel des processus PO4 Etat de situation de la gouvernance des SI PO1 SE1 Reacutesultats attendus des investissements meacutetiers qui srsquoappuient sur les SI
PO5
Orientation strateacutegique de lrsquoentreprise pour les SI PO1 Appeacutetence de lrsquoentreprise pour le risque informatique PO9
Tableau RACI
Activiteacutes Mettre en place la supervision et lrsquoaide de la direction et du CA sur les activiteacutes informatiques A R C C C C
Reacuteviser approuver aligner et communiquer les performances la strateacutegie les ressources et la gestion des risques de lrsquoinformatique avec la strateacutegie des meacutetiers
A R I I R C
Obtenir une eacutevaluation peacuteriodique indeacutependante de la performance et de la conformiteacute aux politiques plans et proceacutedures
A R C I C I I I I I R
Reacutesoudre les problegravemes deacutetecteacutes par les eacutevaluations indeacutependantes et assurer la mise en œuvre des recommandations adopteacutees par le management
A R C I C I I I I I R
Geacuteneacuterer un rapport sur la gouvernance des SI A C C C R C I I I I I C
Fonctions
DG DF Directionmeacutetier
DSI
Proprieacutetaire
processusmeacutetier
Responsableexploitation
Responsablearchitecture
Responsabledeacuteveloppem
ents
ResponsableadministratifdesSI
Bureau
projet
Conformiteacute Audit
RisquesetSeacutecuriteacute
CA
Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute
Objectifs et Meacutetriques Informatique
Objectifs
bull Reacutepondre aux exigences de la gouvernance conformeacutement aux orientations du CA bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Assurer la conformiteacute aux lois et regraveglements bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
induit
induit
Meacutetriq
ues
bull Nb de fois ougrave lrsquoinformatique figure sur lrsquoagenda du CA de faccedilon proactive bull Freacutequence des rapports sur les SI au CA agrave lrsquointention des parties concerneacutees (entre autres sur la maturiteacute) bull Nb de problegravemes informatiques reacutecurrents figurant agrave lrsquoagenda du CA
bull Freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull Nb de deacutefaillances de la gouvernance bull Freacutequence des revues indeacutependantes de conformiteacute des SI
bull Pourcentage du personnel formeacute agrave la gouvernance (ex codes de conduite) bull Nb drsquoofficiers drsquoeacutethique par service bull Freacutequence de la preacutesence de la gouvernance des SI sur lrsquoagenda des reacuteunions de pilotagestrateacutegie des SI bull Pourcentage de membres du CA formeacutes agrave la gouvernance des SI ou qui en ont lrsquoexpeacuterience bull Vieillissement des recommandations adopteacutees bull Freacutequence des rapports drsquoenquecirctes de satisfaction des parties prenantes faits au CA
Processus
bull Inteacutegrer la gouvernance des SI aux objectifs de la gouvernance drsquoentreprise bull Preacuteparer des rapports au CA complets et en temps opportun sur la strateacutegie la performance et les risques de lrsquoinformatique bull Reacutepondre aux interrogations et preacuteoccupations du CA sur la strateacutegie les performances et les risques de lrsquoinformatique bull Fournir une assurance indeacutependante sur la conformiteacute aux politiques plans et proceacutedures des SI
Activiteacutes
bull Mettre en place un cadre de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull Obtenir une assurance indeacutependante sur la situation de la gouvernance des SI
deacutefinit deacutefinit
mesure mesure mesure
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 167
Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI
MODEgraveLE DE MATURITEacute
SE4 Mettre en place une gouvernance des SI
La gestion du processus Mettre en place une gouvernance des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique Inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats est
0 Inexistante quand
Il y a un manque complet de tout processus identifiable de gouvernance des SI Lentreprise nenvisage mecircme pas quil puisse y avoir lagrave un problegraveme agrave examiner et il ny a donc pas de communication sur ce thegraveme
1 Initialiseacutee au cas par cas quand
On admet qursquoil existe des problegravemes de gouvernance des SI agrave traiter Il existe des approches individuelles au cas par cas Lapproche du management est reacuteactive et la communication sur ces questions ainsi que la maniegravere de les traiter sont sporadiques et ne montrent aucune meacutethode Le management nrsquoa qursquoune ideacutee vague de la faccedilon dont lrsquoinformatique contribue aux performances de lrsquoactiviteacute Le management ne reacuteagit que lorsqursquoun incident a causeacute des pertes ou une gecircne agrave lentreprise
2 Reproductible mais intuitive quand
On est conscient des problegravemes de gouvernance des SI Cette activiteacute ainsi que les indicateurs de performance sont en cours de deacuteveloppement et incluent la planification informatique et les processus de deacutelivrance et de surveillance On seacutelectionne par des deacutecisions individuelles certains processus informatiques pour les ameacuteliorer Le management deacutetermine les eacutetalons de mesure de base de la gouvernance des SI ainsi que les meacutethodes et techniques deacutevaluation cependant ce processus nest pas encore adopteacute dans lensemble de lentreprise La communication sur les normes de la gouvernance et sur les responsabiliteacutes est laisseacutee agrave linitiative individuelle Certaines personnes pilotent des processus de gouvernance au sein de diffeacuterents projets et processus informatiques Les processus les outils et des meacutetriques pour mesurer la gouvernance des SI sont limiteacutes et ne sont pas toujours utiliseacutes faute de bien connaicirctre leurs fonctionnaliteacutes
3 Deacutefinie quand
Le management comprend lrsquoimportance et le besoin de gouvernance des SI et il en fait part agrave lrsquoentreprise On deacuteveloppe un premier ensemble dindicateurs de gouvernance des SI pour lesquels on deacutefinit et documente les liens entre les mesures de reacutesultats et les inducteurs de performance On standardise et documente les proceacutedures Le management fait de la communication sur ces proceacutedures standardiseacutees et des formations sont mises en place On deacutefinit des outils drsquoaide agrave la supervision de la gouvernance des SI On deacutefinit des tableaux de bord qui font partie du tableau de bord eacutequilibreacute des SI On laisse cependant agrave chacun linitiative de se former dadopter et dappliquer les normes Les processus sont eacuteventuellement surveilleacutes mais les anomalies mecircme si elles sont traiteacutees par des initiatives individuelles ne seront vraisemblablement pas deacutetecteacutees par le management
4 Geacutereacutee et mesurable quand
Les principes de gouvernance des SI sont pleinement compris agrave tous les niveaux On a clairement compris qui eacutetait le client on a deacutefini les responsabiliteacutes et on les surveille au moyen de contrats de services Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Les processus informatiques et la gouvernance des SI sont aligneacutes agrave la fois sur la strateacutegie de lentreprise et sur celle des SI Lameacutelioration des processus informatiques est baseacutee avant tout sur une analyse chiffreacutee des reacutesultats et il est possible de surveiller et de mesurer la conformiteacute aux meacutetriques des proceacutedures et des processus Toutes les parties prenantes des processus sont conscientes des risques mais aussi de limportance de linformatique et des opportuniteacutes quelle peut offrir Le management deacutefinit les marges de toleacuterance acceptables pour les processus Lutilisation des technologies est encore limiteacutee principalement tactique et baseacutee sur des techniques eacuteprouveacutees et sur lrsquoutilisation imposeacutee drsquooutils standard La gouvernance des SI est inteacutegreacutee agrave la planification strateacutegique et opeacuterationnelle et aux processus de surveillance On enregistre et on fait le suivi des indicateurs de performance pour toutes les activiteacutes de gouvernance des SI ce qui conduit agrave des ameacuteliorations agrave leacutechelle de lentreprise On sait clairement agrave qui a eacuteteacute attribueacutee la responsabiliteacute geacuteneacuterale de la performance des processus cleacutes et la mesure de cette performance sert de base agrave la reacutecompense du management
5 Optimiseacutee quand
La compreacutehension des principes de gouvernance des SI et de leur mise en œuvre est de bon niveau et orienteacutee vers lavenir La formation et la communication sappuient sur des concepts et des techniques de pointe On perfectionne les processus pour les amener au niveau des meilleures pratiques de la profession gracircce aux reacutesultats drsquoameacuteliorations continues et agrave la comparaison avec les autres entreprises baseacutee sur les modegraveles de maturiteacute La mise en place de politiques informatiques conduit agrave une organisation agrave des personnels et des processus qui sadaptent rapidement et qui sont en plein accord avec les exigences de la gouvernance des SI On pratique lanalyse causale de tous les problegravemes et de toutes les anomalies et on trouve rapidement des solutions efficaces quon met en œuvre sans tarder On utilise lrsquoinformatique largement et de faccedilon inteacutegreacutee et optimiseacutee pour automatiser les flux de travail et fournir des outils qui ameacuteliorent la qualiteacute et lefficaciteacute On sait quels sont les risques et les avantages des processus informatiques on cherche le bon eacutequilibre et on communique sur ce thegraveme dans lentreprise On mobilise des experts externes et on pratique des tests comparatifs pour se guider La surveillance lautoeacutevaluation et la communication agrave propos des attentes de la gouvernance se reacutepandent dans toute lentreprise et on utilise les technologies au mieux pour faciliter les mesures lanalyse la communication et la formation Il y a un lien strateacutegique entre la gouvernance dentreprise et celle des SI mobilisant les ressources technologiques humaines et financiegraveres pour accroicirctre lavantage concurrentiel de lentreprise Les activiteacutes de gouvernance des SI sont inteacutegreacutees au processus de gouvernance de lentreprise
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 168
AN
NE
XE
I
OB
JEC
TIF
S
ANNEXE I
TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS ET LES OBJECTIFS INFORMATIQUES
Cette annexe donne une vision globale de la faccedilon dont les objectifs des meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres drsquoinformation Il y a trois tableaux
1 Le premier tableau met en regard des objectifs des meacutetiers preacutesenteacutes selon les quatre dimensions du tableau de bord eacutequilibreacute les objectifs informatiques et les critegraveres drsquoinformation Cela aide agrave montrer pour un objectif meacutetier geacuteneacuterique donneacute les objectifs informatiques qui assistent typiquement cet objectif et les critegraveres drsquoinformation COBIT qui sont en rapport avec cet objectif meacutetier Les 17 objectifs meacutetiers pris en compte ne doivent pas ecirctre consideacutereacutes comme lrsquoensemble des objectifs meacutetiers possibles mais comme un extrait drsquoobjectifs meacutetiers pertinents ayant un impact certain sur les SI (objectifs meacutetiers relatifs agrave lrsquoinformatique)
2 Le second tableau met en regard les objectifs informatiques les processus informatiques COBIT impliqueacutes et les critegraveres drsquoinformation sur lesquels se base chaque objectif de lrsquoinformatique
3 Le troisiegraveme tableau inverse la lecture en montrant pour chaque processus informatique les objectifs informatiques concerneacutes
Les tableaux aident agrave visualiser le champ drsquoapplication de COBIT et les relations geacuteneacuterales entre COBIT et les facteurs qui influent sur lrsquoactiviteacute permettant aux objectifs meacutetiers typiquement relatifs agrave lrsquoinformatique drsquoecirctre relieacutes aux processus informatiques dont ils ont besoin via les objectifs informatiques Les tableaux se basent sur des objectifs geacuteneacuteriques Ils doivent donc ecirctre utiliseacutes comme un guide et adapteacutes aux speacutecificiteacutes de lrsquoentreprise
Pour permettre de faire le lien avec les critegraveres drsquoinformation utiliseacutes pour les exigences meacutetiers de la 3egrave eacutedition de COBIT les tableaux donnent aussi une indication des principaux critegraveres drsquoinformation relatifs aux objectifs meacutetiers et informatiques
Notes 1 Les critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs Les
critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs informatiques concerneacutes et une eacutevaluation subjective de ceux qui sont les plus pertinents pour les objectifs meacutetiers Nous nrsquoavons pas essayeacute drsquoindiquer srsquoils eacutetaient primaires ou secondaires Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs meacutetiers
2 Les reacutefeacuterences aux critegraveres drsquoinformation primaires et secondaires se basent sur une synthegravese entre les critegraveres de chaque processus informatique et une eacutevaluation subjective de ce qui est primaire et secondaire pour lrsquoobjectif informatique puisque certains processus ont plus drsquoimpact que drsquoautres sur lrsquoobjectif informatique Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs informatiques
AN
NE
XE
I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
ANNEXE 1 minus TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS
ET LES OBJECTIFS INFORMATIQUES
LIER LES OBJECTIFS METIERS AUX OBJECTIFS INFORMATIQUES
Objectifs meacutetiers Objectifs Informatiques Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
2221
27
20
26
19
26
24
22
28
18
23
24
20
15
21
11
13
17
22
25
10
12
11
13
20
6
11
28
14
18
23
24
16
5
8
4
7
8
19
13
5
8
11
24
2
2
3
5
10
1
7
2
6
7
2
2
1
7
5
9
Obtenir un bon retour sur investissement des investissements informatiques pour les meacutetiers
Geacuterer les risques meacutetiers lieacutes aux SI
Ameacuteliorer la gouvernance de lrsquoentreprise et la transparence
Ameacuteliorer lrsquoorientation client et le service client
Offrir des produits et des services compeacutetitifs
Assurer la continuiteacute et la disponibiliteacute des services
Deacutevelopper lrsquoagiliteacute pour srsquoadapter aux modifications des exigences des meacutetiers
Reacuteussir agrave optimiser les coucircts de la fourniture de services
Obtenir de lrsquoinformation fiable et utile pour prendre des deacutecisions strateacutegiques
Ameacuteliorer et maintenir agrave niveau le fonctionnement des processus meacutetiers
Abaisser les coucircts des processus
Assurer la conformiteacute aux lois reacuteglementations et contrats externes
Assurer la conformiteacute aux politiques internes
Geacuterer les changements meacutetiers
Ameacuteliorer et maintenir la productiviteacute opeacuterationnelle et celle du personnel
Geacuterer lrsquoinnovation produit et meacutetiers
Se procurer et conserver un personnel compeacutetent et motiveacute
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Perspectivefinanciegravere
Perspectiveclient
Perspectiveinterne
Perspectiveapprentissageet croissance
169
LIER LES OBJECTIFS INFORMATIQUES AUX PROCESSUS INFORMATIQUES A
NN
EX
E I
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
Objectifs Informatiques Processus
Fiabiliteacute
Conformiteacute
Disponibiliteacute
Inteacutegri teacute
Confidentiali teacute
Efficience
Efficaci teacute
Critegraveres drsquoinformation COBIT
S
S
S
S
S
S
S
S
S
S
S
P
S
S
S
S
S
S
S
S
S
P
S
S
S
S
P
S
S
P
S
S
P
P
P
P
S
S
P
S
S
S
P
S
S
P
P
P
S
S
S
P
S
S
P
S
P
P
S
P
P
P
S
P
P
P
P
P
P
P
P
S
S
P
P
P
S
S
S
P
P
P
P
P
P
P
P
P
P
P
S
P
P
P
P
P
S
S
P
P
S
P
P
P
P
S
P
P
P
SE1DS3DS1
DS13
AI7
DS10
SE3
SE2
AI6
DS8
SE1
DS13
AI1
SE4
DS7
DS6
DS8
SE2
DS9
DS10
DS12
PO10
SE1
DS2
AI3
DS2
DS7
DS12
DS7
AI7
DS12
DS5
DS12
DS13
SE4
SE3
PO4
PO10
DS1
PO7
AI6
AI5
AI7
DS1
AI7
DS9
DS3
AI6
SE2
DS11
DS5
DS4
DS4
DS8
SE3
SE1
PO2
PO4
AI4
DS11
PO4
AI2
AI2
AI5
AI5
AI4
PO6
AI4
DS5
AI3
AI4
DS10
DS5
AI7
AI7
AI6
DS4
DS6
PO10
DS5
SE2
DS6
PO1
PO1
PO8
PO2
PO2
AI1
PO3
AI3
PO7
DS2
PO2
PO5
PO6
PO9
PO3
PO8
PO9
PO9
PO6
PO6
PO6
PO6
DS3
PO5
PO8
AI6
DS11
PO5
Reacuteagir aux exigences meacutetiers en accord avec la strateacutegie meacutetiers
Reacuteagir aux exigences de la gouvernance en accord avec les orientations du CA
Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services
Optimiser lrsquoutilisation de lrsquoinformation
Donner de lrsquoagiliteacute agrave lrsquoinformatique
Deacuteterminer comment traduire les exigences meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes
Acqueacuterir et maintenir fonctionnels des systegravemes applicatifs inteacutegreacutes et standardiseacutes
Acqueacuterir et maintenir opeacuterationnelle une infrastructure informatique inteacutegreacutee et standardiseacutee
Se procurer et conserver les compeacutetences neacutecessaires agrave la mise en œuvre de la strateacutegie informatique
Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les tiers
Srsquoassurer de lrsquointeacutegration progressive des solutions informatiques aux processus meacutetiers
Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI
Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques
Proteacuteger tous les actifs informatiques et en ecirctre comptable
Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques
Reacuteduire le nombre de deacutefauts et de retraitements touchant la fourniture de solutions et de services
Proteacuteger lrsquoatteinte des objectifs informatiques
Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques
Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder
Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables
Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre
Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute
Srsquoassurer que les services informatiques sont disponibles dans les conditions requises
Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise
Livrer les projets en temps et dans les limites budgeacutetaires en respectant les standards de qualiteacute
Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement
Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements
Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
170
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 171
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
OBJECTIFS INFORMATIQUES POUR CHAQUE PROCESSUS INFORMATIQUE
Reacutea
gir
au
x ex
igen
ces
meacutet
ier
en a
cco
rd a
vec
la s
trat
eacutegie
meacutet
ier
Reacutea
gir
au
x ex
igen
ces
de
la g
ou
vern
ance
en
acco
rd a
vec
les
ori
enta
tio
ns
du
CA
Srsquoa
ssu
rer
de
la s
atis
fact
ion
des
uti
lisat
eurs
fin
aux
agrave lrsquoeacute
gar
d d
eso
ffre
s et
des
niv
eau
x d
e se
rvic
es
Op
tim
iser
lrsquou
tilis
atio
n d
e lrsquoi
nfo
rmat
ion
Do
nn
er d
e lrsquoa
gili
teacute agrave
lrsquoin
form
atiq
ue
Deacutet
erm
iner
co
mm
ent
trad
uir
e le
s ex
igen
ces
meacutet
ier
de
fon
ctio
nn
emen
t et
de
con
trocirc
le e
n so
luti
on
s au
tom
atis
eacutees
effi
cace
s et
eff
icie
nte
s
Acq
ueacuter
ir e
t m
ain
ten
ir f
on
ctio
nn
els
des
sys
tegravem
es a
pp
licat
ifs
inteacute
greacute
s et
sta
nd
ard
iseacutes
Acq
ueacuter
ir e
t m
ain
ten
ir o
peacuter
atio
nn
elle
un
e in
fras
tru
ctu
rein
form
atiq
ue
inteacute
greacute
e et
sta
nd
ard
iseacutee
Se
pro
cure
r et
co
nse
rver
les
co
mp
eacuteten
ces
neacutec
essa
ires
agrave l
am
ise
en œ
uvr
e d
e la
str
ateacuteg
ie i
nfo
rmat
iqu
e
Srsquoa
ssu
rer
de
la s
atis
fact
ion
reacuteci
pro
qu
e d
ans
les
rela
tio
ns
avec
les
tier
s
Inteacute
gre
r p
rog
ress
ivem
ent
des
so
luti
on
s in
form
atiq
ues
au
xp
roce
ssu
s m
eacutetie
r
Srsquoa
ssu
rer
de
la t
ran
spar
ence
et
la b
on
ne
com
preacute
hen
sio
n d
esco
ucircts
beacuten
eacutefic
es s
trat
eacutegie
po
litiq
ues
et
niv
eau
x d
e se
rvic
esd
es S
I
Srsquoa
ssu
rer
drsquou
ne
bo
nn
e u
tilis
atio
n et
des
bo
nn
es p
erfo
rman
ces
des
ap
plic
atio
ns
et d
es s
olu
tio
ns
info
rmat
iqu
es
Pro
teacuteg
er t
ou
s le
s ac
tifs
in
form
atiq
ues
et
en ecirc
tre
com
pta
ble
Op
tim
iser
lrsquoin
fras
tru
ctu
re l
es r
esso
urc
es e
t le
s ca
pac
iteacutes
info
rm a
tiq
ues
Reacuted
uir
e le
no
mb
re d
e d
eacutefau
ts e
t d
e re
trai
tem
ents
to
uch
ant
lafo
urn
itu
re d
e so
luti
on
s et
de
serv
ices
Pro
teacuteg
er l
rsquoatt
ein
te d
es o
bje
ctif
s in
form
atiq
ues
Mo
ntr
er c
lair
emen
t le
s co
nseacute
qu
ence
s p
ou
r lrsquoe
ntr
epri
se d
esri
squ
es l
ieacutes
aux
ob
ject
ifs
et a
ux
ress
ou
rces
in
form
atiq
ues
Srsquoa
ssu
rer
qu
e li
nfo
rmat
ion
crit
iqu
e et
co
nfi
den
tiel
le n
rsquoest
pas
acce
ssib
le agrave
ceu
x qu
i ne
do
iven
t p
as y
acc
eacuteder
Srsquoa
ssu
rer
qu
e le
s tr
ansa
ctio
ns
meacutet
ier
auto
mat
iseacutee
s et
les
eacutech
ang
es d
rsquoinfo
rmat
ion
s so
nt
fiab
les
Srsquoa
ssu
rer
qu
e le
s se
rvic
es e
t lrsquoi
nfr
astr
uct
ure
in
form
atiq
ue
peu
ven
t reacute
sist
ers
e reacute
tab
lir c
on
ven
able
men
t en
cas
de
pan
ne
du
e agrave
un
e er
reu
r agrave
un
e at
taq
ue
deacutel
ibeacuter
eacutee o
u agrave
un
sin
istr
e
Srsquoa
ssu
rer
qu
rsquoun
inci
den
t o
u u
ne
mo
dif
icat
ion
dan
s la
fo
urn
itu
red
rsquoun
serv
ice
info
rmat
iqu
e n
rsquoait
qu
rsquoun
imp
act
min
imu
m s
ur
lrsquoact
ivit
eacute
Srsquoa
ssu
rer
qu
e le
s se
rvic
es i
nfo
rmat
iqu
es s
on
t d
isp
on
ible
s d
ans
les
con
dit
ion
s re
qu
ises
Am
eacutelio
rer
la r
enta
bili
teacute d
e lrsquoi
nfo
rmat
iqu
e et
sa
con
trib
uti
on
agrave la
pro
fita
bili
teacute d
e lrsquoe
ntr
epri
se
Liv
rer
les
pro
jets
en
tem
ps
et d
ans
les
limit
es b
ud
geacutet
aire
s en
resp
ecta
nt
les
stan
dar
ds
de
qu
alit
eacute
Mai
nte
nir
lrsquoin
teacuteg
riteacute
de
lrsquoin
form
atio
n et
de
lrsquoin
fras
tru
ctu
re d
etr
aite
m e
nt
Ass
ure
r la
co
nfo
rmit
eacute d
e lrsquoi
nfo
rmat
iqu
e au
x lo
is e
t regrave
gle
men
ts
Srsquoa
ssu
rer
qu
e lrsquoi
nfo
rmat
iqu
e fa
it p
reu
ve d
rsquoun
e q
ual
iteacute
dese
rvic
e ef
fici
ente
en
mat
iegravere
de
coucirc
ts d
rsquoam
eacutelio
rati
on
con
tin
ue
et d
e ca
pac
iteacute
agrave srsquo
adap
ter
agrave d
es c
han
gem
ents
fu
turs
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
PO1 Deacutefinir un plan informatique strateacutegique
PO2 Deacutefinir larchitecture de lrsquoinformation
PO3 Deacuteterminer lorientation technologique
PO4 Deacutefinir les processus lorganisation et les relations de travail
PO 5 Geacuterer les investissements informatiques
PO6 Faire connaicirctre les buts et les orientations du management
PO7 Geacuterer les ressources humaines de lrsquoinformatique
PO8 Geacuterer la qualiteacute
PO9 Eacutevaluer et geacuterer les risques
PO10 Geacuterer les projets
AI1 Trouver des solutions informatiques
AI2 Acqueacuterir des applications et en assurer la maintenance
AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et lrsquoutilisation
AI5 Acqueacuterir des ressources informatiques
AI6 Geacuterer les changements
AI7 Installer et valider les solutions et les modifications
DS1 Deacutefinir et geacuterer les niveaux de services
DS2 Geacuterer les services tiers
DS3 Geacuterer la performance et la capaciteacute
DS4 Assurer un service continu
DS5 Assurer la seacutecuriteacute des systegravemes
DS6 Identifier et imputer les coucircts
DS7 Instruire et former les utilisateurs
DS8 Geacuterer le service drsquoassistance client et les incidents
DS9 Geacuterer la configuration
DS10 Geacuterer les problegravemes
DS11 Geacuterer les donneacutees
DS12 Geacuterer lrsquoenvironnement physique
DS13 Geacuterer lrsquoexploitation
SE1 Surveiller et eacutevaluer la performance des SI
SE2 Surveiller et eacutevaluer le controcircle interne
SE3 Srsquoassurer de la conformiteacute aux obligations externes
SE4 Mettre en place une gouvernance des SI
AN
NE
XE
I
172
ANNEXE II
RELATIONS DES PROCESSUS INFORMATIQUES AVEC LES DOMAINES DE LA GOUVERNANCE DES SI
LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT
Cette annexe met en regard les processus informatiques de COBIT et les cinq domaines de la gouvernance des SI les composantes du COSO les ressources informatiques et les critegraveres drsquoinformation Le tableau propose aussi un indicateur de lrsquoimportance relative (Haute Moyenne Basse) qui se base sur une eacutevaluation comparative disponible sur COBIT Online Cette grille montre sur une seule page et au niveau geacuteneacuteral comment le cadre de reacutefeacuterence de COBIT fait reacutefeacuterence aux exigences du COSO et de la gouvernance des SI et montre les relations entre les processus informatiques et les critegraveres drsquoinformation P indique une relation primaire S une relation secondaire Srsquoil nrsquoy a ni P ni S cela ne veut pas dire qursquoil nrsquoy a pas de relation mais qursquoelle est moins importante ou marginale Ces valeurs se basent sur les reacutesultats drsquoeacutetudes et sur lrsquoopinion drsquoexperts et ne sont que des indications Les utilisateurs doivent deacutecider quels sont les processus importants dans leur propre entreprise
AN
NE
XE
II
RE
LA
TIO
NS
PRO
CE
SSU
S
AN
NE
XE
II R
EL
AT
ION
S DE
S PR
OC
ESS
US IN
FOR
MA
TIQ
UE
S AV
EC
L
ES D
OM
AIN
ES D
E L
A G
OU
VE
RN
AN
CE
DE
S SI L
E C
OSO
LE
S RE
SSO
UR
CE
S INF
OR
MA
TIQ
UE
S CO
BIT
E
T L
ES C
RIT
EgraveR
ES D
rsquoINFO
RM
AT
ION
CO
BIT
IMPO
RTA
NCE
Domaine de la gouvernance des SI COSO Ressources SI COBIT Critegraveres drsquoinformation COBIT
Alignem
ent strateacutegique
Apport de valeur
Gestion des
ressources
Gestion des risques
Mesures de la
performance
Environnement de
controcircle
Eacutevaluation des risques
Activiteacutes de
controcircle
Information et
communication
Surveillance
Applications
Informations
Infrastructures
Personnes
Efficaciteacute
Efficience
Confidentialiteacute
Inteacutegriteacute
Disponibiliteacute
Conform
iteacute
Fiabiliteacute
Planifier et Organiser Deacutefinir un plan informatique strateacutegique
Deacutefinir larchitecture de lrsquoinformation
Deacuteterminer lorientation technologique
Deacutefinir les processus lorganisation et les relations de travail
Geacuterer les investissements informatiques
Faire connaicirctre les buts et les orientations du management
Geacuterer les ressources humaines de lrsquoinformatique
Geacuterer la qualiteacute
Eacutevaluer et geacuterer les risques
Geacuterer les projets
PO1
PO2
PO3
PO4
PO 5
PO6
PO7
PO8
PO9
PO10
H P S S P S S P S
B P S P S P P S P S P
M S S P S S P S P P
B S P P P S S P P
M S P S S S P P P S
M P P P P P S
B P P S S P S P P
M P S S P P S P P P S S
H P P P S S P P P S S
H P S S S S S S P S P P Acqueacuterir et Impleacutementer
Trouver des solutions informatiques
Acqueacuterir des applications et en assurer la maintenance
Acqueacuterir une infrastructure technique et en assurer la maintenance
Faciliter le fonctionnement et lrsquoutilisation
Acqueacuterir des ressources informatiques
Geacuterer les changements
Installer et valider les solutions et les modifications
AI1
AI2
AI3
AI4
AI5
AI6
AI7
M P P S S P P S
M P P S P P P S S
B P P S P S S
B S P S S P S P P S S S S
M S P P S P S
H P S S P S P P P P S
M S P S S S P S S P S S S Deacutelivrer et Supporter
Deacutefinir et geacuterer les niveaux de services
Geacuterer les services tiers
Geacuterer la performance et la capaciteacute
Assurer un service continu
Assurer la seacutecuriteacute des systegravemes
Identifier et imputer les coucircts
Instruire et former les utilisateurs
Geacuterer le service drsquoassistance client et les incidents
Geacuterer la configuration
Geacuterer les problegravemes
Geacuterer les donneacutees
Geacuterer lrsquoenvironnement physique
Geacuterer lrsquoexploitation
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8
DS9
DS10
DS11
DS12
DS13
M P P P P S P S S P P S S S S S
B P S P S P S P S P P S S S S S
B S S P S S P S P P S
M S P S P S S P S P S P
H P P S S P P S S S
B S P S P P P
B S P S P S P S
B S P S S P P P P
M P S P P S S S
M P S P S S P P S
H P P P P P P
B S P S P P P
B P P S P P S S Surveiller et Evaluer
Surveiller et eacutevaluer la performance des SI
Surveiller et eacutevaluer le controcircle interne
Srsquoassurer de la conformiteacute aux obligations externes
Mettre en place une gouvernance des SI
SE1
SE2
SE3
SE4
H P S P P P S S S S S
M P P P P P S S S S S
H P P P S S P S
H P P P P P P S S P P P S S S S S
Note La grille du COSO est baseacutee sur le reacutefeacuterentiel original COSO Cette grille srsquoapplique aussi en geacuteneacuteral agrave lrsquoEnterprise Risk ManagementshyIntegrated Framework publieacute ensuite par le COSO qui eacutelargit le controcircle interne apportant un eacuteclairage plus robuste et plus eacutetendu sur le sujet plus large de la gestion du risque dans lrsquoentreprise Bien que COBIT ne soit pas conccedilu pour remplacer le reacutefeacuterentiel de controcircle interne original du COSO (il lrsquointegravegre en fait) les utilisateurs de COBIT peuvent choisir de se reacutefeacuterer agrave ce reacutefeacuterentiel de gestion du risque dans lrsquoentreprise agrave la fois pour satisfaire leurs besoins de controcircle interne et pour eacutevoluer vers un processus plus complet de gestion du risque
copy 2008 A
FAI T
ous droits reacuteserveacutes ww
wafaifr
173
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 174
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Lrsquoannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lrsquoenvironnement de controcircle interne et ce qui existe comme controcircles internes dans une entreprise Elle montre comment la gestion du controcircle interne et la conscience du besoin de mettre en place de meilleurs controcircles internes font typiquement progresser drsquoun niveau donneacute agrave un niveau optimiseacute Ce modegravele propose un guide geacuteneacuteral pour aider les utilisateurs de COBIT agrave juger de ce qui est neacutecessaire pour des controcircles internes efficaces de lrsquoinformatique et pour les aider agrave positionner leur entreprise par rapport au modegravele de maturiteacute
AN
NE
XE
III
M
AT
UR
ITEacute
CO
NT
ROcirc
LE
S
ANNEXE III
MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE
Niveau de maturiteacute Situation de lrsquoenvironnement de controcircle interne Mise en place de controcircles internes
0 Inexistant On ne reconnaicirct pas le besoin drsquoun controcircle interne Le controcircle ne fait pas partie de la culture ou de la mission de lrsquoentreprise Il existe un risqueacute eacuteleveacute de deacutefaillances des controcircles et drsquoincidents
On nrsquoest pas deacutecideacute agrave eacutevaluer le besoin drsquoun controcircle interne On traite les incidents quand ils surviennent
1 Initialiseacute On reconnaicirct en partie le besoin drsquoun controcircle interne Lrsquoapproche On nrsquoest pas conscient du besoin drsquoune eacutevaluation de ce qui est au cas par cas du risque et des exigences de controcircle se fait au cas par cas est
mal organiseacutee sans communication ni surveillance On ne sait pas identifier les deacutefaillances Les employeacutes ne sont pas conscients de leurs responsabiliteacutes
neacutecessaire pour les controcircles de lrsquoinformatique Lorsqursquoon en fait ce nrsquoest qursquoau cas par cas agrave un niveau geacuteneacuteral et en reacuteaction agrave des incidents seacuterieux Les eacutevaluations ne concernent que les incidents aveacutereacutes
2 Reproductible Les controcircles sont en place mais ils ne sont pas documenteacutes Leur Lrsquoeacutevaluation des besoins en controcircles nrsquoa lieu que lorsqursquoil est mais intuitif fonctionnement deacutepend des connaissances et des motivations
drsquoindividus particuliers Lrsquoeacutevaluation de lrsquoefficaciteacute nrsquoest pas bien faite Les controcircles ont de nombreuses faiblesses et on ne les utilise pas comme il faut les conseacutequences peuvent ecirctre graves Les actions du management pour reacutesoudre les problegravemes du controcircle ne sont ni hieacuterarchiseacutees ni logiques Les employeacutes ne sont pas toujours conscients de leurs responsabiliteacutes agrave lrsquoeacutegard du controcircle
neacutecessaire de deacuteterminer pour certains processus informatiques particuliers le niveau actuel de maturiteacute des controcircles la cible viseacutee et lrsquoeacutecart qui existe On utilise une approche informelle drsquoatelier de travail avec les responsables de lrsquoinformatique et lrsquoeacutequipe impliqueacutee dans le processus pour deacutefinir une approche adeacutequate des controcircles pour ce processus et pour convenir drsquoun plan drsquoaction
3 Deacutefini Les controcircles sont en place et ils sont correctement documenteacutes On eacutevalue peacuteriodiquement lrsquoefficaciteacute fonctionnelle et le nombre de problegravemes nrsquoest ni tregraves eacuteleveacute ni tregraves bas En revanche le processus drsquoeacutevaluation nrsquoest pas documenteacute Bien que le management soit capable de traiter couramment les problegravemes de controcircle certaines faiblesses persistent qui pourraient encore avoir de graves conseacutequences Les employeacutes sont conscients de leurs responsabiliteacutes agrave lrsquoeacutegard des controcircles
On a identifieacute les processus informatiques critiques en fonction drsquoinducteurs de valeur et de risques On fait une analyse deacutetailleacutee pour deacuteterminer les exigences de controcircle et les causes des carences et pour trouver des possibiliteacutes drsquoameacutelioration En plus drsquoateliers organiseacutes on utilise des outils et on pratique des entretiens pour enrichir lrsquoanalyse et pour srsquoassurer que les processus drsquoeacutevaluation et drsquoameacutelioration sont bien attribueacutes agrave un proprieacutetaire et que celui-ci les met en œuvre
4 Geacutereacute et mesurable Il existe un environnement de gestion du controcircle interne et du risque efficace On fait freacutequemment une eacutevaluation documenteacutee des controcircles De nombreux controcircles sont automatiseacutes et reacuteguliegraverement examineacutes Le management deacutetecte la plupart des problegravemes lieacutes aux controcircles mais ce nrsquoest pas systeacutematique Il existe un suivi seacuterieux qui permet de traiter les faiblesses reconnues des controcircles Lrsquoinformatique est utiliseacutee de faccedilon limiteacutee et tactique pour automatiser les controcircles
Lrsquoaspect critique des processus informatiques est reacuteguliegraverement deacutetermineacute avec le soutien et lrsquoaccord complets des proprieacutetaires de processus meacutetiers concerneacutes Lrsquoeacutevaluation des exigences de controcircle se base sur la politique et sur le niveau de maturiteacute de ces processus selon une analyse complegravete et chiffreacutee qui implique les parties prenantes les plus concerneacutees On sait clairement qui a la responsabiliteacute finale de ces eacutevaluations et on veacuterifie qursquoil lrsquoassume Les strateacutegies drsquoameacutelioration srsquoappuient sur des analyses de rentabiliteacute On veacuterifie constamment si la performance aboutit au reacutesultat souhaiteacute On organise occasionnellement des revues de controcircles externes
5 Optimiseacute Lrsquoentreprise a un programme geacuteneacuteral risquecontrocircle qui permet de reacutesoudre les problegravemes de faccedilon efficace et continue La gestion du controcircle et du risque est inteacutegreacutee dans les pratiques de lrsquoentreprise assisteacutee par une surveillance automatique en temps reacuteel et la responsabiliteacute finale de la surveillance des controcircles de la gestion des risques et du respect de la conformiteacute est pleinement assumeacutee Lrsquoeacutevaluation des controcircles est continue baseacutee sur des autoshyeacutevaluations et sur lrsquoanalyse des carences et des causes Les employeacutes srsquoimpliquent activement dans lrsquoameacutelioration des controcircles
Les modifications meacutetiers prennent en compte la dimension critique des processus informatiques et couvrent tous les besoins de reacuteeacutevaluation des capaciteacutes des controcircles des processus Les proprieacutetaires de processus informatiques effectuent reacuteguliegraverement des auto-eacutevaluations pour confirmer que les controcircles sont au bon niveau de maturiteacute pour satisfaire les besoins meacutetiers et ils prennent en compte les attributs de maturiteacute pour trouver comment rendre les controcircles plus efficients et plus efficaces Lrsquoentreprise se compare aux bonnes pratiques externes et cherche des conseils agrave lrsquoexteacuterieur sur lrsquoefficaciteacute du controcircle interne Pour les processus cruciaux on fait des revues indeacutependantes pour apporter lrsquoassurance raisonnable que les controcircles sont au niveau de maturiteacute deacutesireacute et qursquoils fonctionnent selon les preacutevisons
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 175
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 176
ANNEXE IV
DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
AN
NE
XE
IV
DO
CU
ME
NT
S D
E R
EacuteFEacute
RE
NC
E
ANNEXE IV
ANNEXE IV minus DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41
Pour les activiteacutes de deacuteveloppement et de mise agrave jour preacuteceacutedentes de COBIT une importante base de 40 standards internationaux deacutetailleacutes relatifs agrave lrsquoinformatique de reacutefeacuterentiels guides et meilleures pratiques a eacuteteacute utiliseacutee pour garantir lrsquoexhaustiviteacute de COBIT dans son approche de tous les domaines de gouvernance et de controcircle des SI
Comme COBIT srsquointeacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequat des SI il se positionne au niveau geacuteneacuteral Les standards et les meilleures pratiques informatiques deacutecrivent cependant en deacutetail comment geacuterer et controcircler les aspects speacutecifiques de lrsquoinformatique COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un cadre de reacutefeacuterence geacuteneacuteral qui fait ausi le lien avec les exigences de gouvernance et les exigences des meacutetiers
Pour cette mise agrave jour de COBIT (COBIT 41) six des standards reacutefeacuterentiels et pratiques les plus reconnus mondialement ont eacuteteacute pris en compte comme reacutefeacuterences majeures garantissant que la couverture la coheacuterence et lrsquoalignement soient les meilleurs possibles Ce sont
bull COSO Internal Control-Integrated Framework 1994 Enterprise Risk Mangement-Integrated Framework 2004
bull Office of Government Commerce (OGCreg) IT Infrastructure Libraryreg (ITILreg) 1999-2004
bull International Organisation for Standardisation ISOIEC 27000
bull Software Engineering Institute (SEIreg) SEI Capability Maturity Model (CMMreg) 1993 SEI Capability Maturity Model Integration (CMMIreg) 2000
bull Project Management Institute (PMIreg) A Guide to the Project Management Body of Knlowledge (PMBOKreg) 2004
bull Information Security Forum (ISF) The Standard of Good Practice for Information Security 2003
Des reacutefeacuterences compleacutementaires ont eacuteteacute utiliseacutees pour COBIT 41 bull IT Control Objectives for Sarbanes-Oxley The Role of IT in the Design and Implementation of Internal Control Over Financial
Reporting 2nd Edition IT Governance Institute USA 2006 bull CISA Review Manual ISACA 2006
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 177
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 178
ANNEXE V
CORRESPONDANCE ENTRE COBIT 3EgraveME EacuteDITION ET COBIT 41
AN
NE
XE
V
CO
MPA
RA
ISO
N C
OB
IT 3
CO
BIT
41
ANNEXE V ANNEXE V minus CORRESPONDANCE ENTRE COBIT 3Egrave EacuteDITION ET COBIT 41
Modifications au niveau du Cadre de Reacutefeacuterence Les modifications majeures au cadre de reacutefeacuterence de COBIT reacutesultant de la mise agrave jour COBIT 40 sont les suivantes bull Le domaine S est devenu SE pour Surveiller et Eacutevaluer bull S3 et S4 eacutetaient des processus drsquoaudit et non des processus informatiques On les a enleveacutes puisqursquoils sont correctement traiteacutes par un
certain nombre de standards drsquoaudit informatique mais on a fourni un certain nombre de reacutefeacuterences dans la mise agrave jour du cadre de reacutefeacuterence pour souligner le besoin qursquoa le management de disposer des fonctions drsquoassurance et de les utiliser
bull SE3 est le processus qui srsquointeacuteresse agrave la supervision reacuteglementaire laquelle eacutetait auparavant couverte par PO8 bull SE4 concerne le processus de supervision des SI par la gouvernance ce qui correspond agrave lrsquoambition de COBIT drsquoecirctre un reacutefeacuterentiel de
gouvernance des SI En positionnant ce processus en dernier on a voulu souligner que tous les autres processus preacuteceacutedents contribuent au but ultime qui consiste agrave mettre en place une gouvernance efficace des SI dans lrsquoentreprise
bull Du fait que PO8 a eacuteteacute supprimeacute et pour conserver la numeacuterotation de PO9 Eacutevaluer les risques et de PO10 Geacuterer les projets comme dans COBIT 3e eacutedition PO8 devient maintenant Geacuterer la qualiteacute lrsquoancien processus PO11 Le domaine PO a donc deacutesormais 10 processus au lieu de 11
bull Le domaine AI a neacutecessiteacute deux modifications lrsquoajout drsquoun processus achats et le besoin drsquoinclure dans AI5 les aspects de la gestion des versions Ces derniegraveres modifications ont fait penser que ce processus devrait ecirctre le dernier du domaine AI il est donc devenu AI7 Le creacuteneau ainsi libeacutereacute en AI5 a eacuteteacute utiliseacute pour ajouter le nouveau processus achats Le domaine AI a deacutesormais 7 processus au lieu de 6
COBIT 41 est une version increacutementale de COBIT 40 comprenant bull Une ameacutelioration de la partie Synthegravese bull Une preacutesentation des objectifs et des meacutetriques dans la partie Cadre de Reacutefeacuterence bull De meilleures deacutefinitions des concepts essentiels Il est important de mentionner que la deacutefinition de lrsquoobjectif de controcircle a eacutevolueacutee pour
devenir davantage lrsquoexposeacute drsquoune pratique de management bull Une ameacutelioration des objectifs de controcircle reacutesultant drsquoune mise agrave jour des pratiques de controcircle et de la prise en compte de Val IT Certains
objectifs de controcircle ont eacuteteacute regroupeacutes etou reacuteeacutecrits pour eacuteviter les redondances et rendre la liste des objectifs de controcircle plus coheacuterente Il en a reacutesulteacute une renumeacuterotation des objectifs de controcircle restants Quelques objectifs de controcircle ont eacuteteacute reacuteeacutecrits afin de les rendre plus coheacuterents et davantage tourneacutes vers lrsquoaction Plus preacuteciseacutement minus AI55 et AI56 ont eacuteteacute regroupeacutes avec AI54 minus AI 79 AI710 et AI711 ont eacuteteacute regroupeacutes avec AI78 minus SE3 integravegre deacutesormais la conformiteacute aux obligations contractuelles en plus des obligations leacutegales et reacuteglementaires
bull Les controcircles applicatifs ont eacuteteacute retravailleacutes afin de les rendre plus efficaces pour aider agrave eacutevaluer et rendre compte de lrsquoefficaciteacute des controcircles Il en reacutesulte une liste de six controcircles applicatifs au lieu des 18 de COBIT 40 avec des deacutetails additionnels provenant des Pratiques de Controcircle COBIT 2egraveme version
bull La liste des objectifs meacutetiers et informatiques de lrsquoAnnexe I a eacuteteacute ameacutelioreacutee sur la base drsquoun nouveau regard reacutesultant des travaux de recherche meneacutes par lrsquoEcole de Management de Universiteacute drsquoAnvers (Belgique)
bull Le hors texte a eacuteteacute enrichi Il integravegre une liste de reacutefeacuterence rapide des processus COBIT et le diagramme de synthegravese de description des domaines a eacuteteacute revu afin drsquointeacutegrer une reacutefeacuterence aux controcircles de processus et aux controcircles applicatifs du Cadre de Reacutefeacuterence COBIT
bull Les ameacuteliorations proposeacutees par les utilisateurs de COBIT (COBIT 40 et COBIT Online) ont eacuteteacute revues et inteacutegreacutees quand cela eacutetait opportun
Objectifs de Controcircle Comme on peut le comprendre drsquoapregraves ce que nous venons drsquoexpliquer sur les modifications au niveau du cadre de reacutefeacuterence et sur le travail qui a permis de clarifier et de recentrer le contenu des objectifs de controcircle la mise agrave jour du cadre de reacutefeacuterence de COBIT a significativement modifieacute les objectifs de controcircle Ces composants ont eacuteteacute reacuteduits de 215 agrave 210 parce que tous les eacuteleacutements geacuteneacuteriques ne se retrouvent deacutesormais plus qursquoau niveau du cadre de reacutefeacuterence et ils ne sont pas reproduits pour chaque processus De mecircme toutes les reacutefeacuterences aux controcircles applicatifs ont migreacute vers le cadre de reacutefeacuterence et les objectifs de controcircle speacutecifiques ont eacuteteacute regroupeacutes dans de nouvelles rubriques Pour aider agrave faire la transition dans ce contexte les deux ensembles de tableaux qui suivent eacutetablissent des reacutefeacuterences croiseacutees entre les nouveaux objectifs de controcircle et les anciens
Guide de Management On a ajouteacute des entreacutees et des sorties pour illustrer ce dont les processus ont besoin (entreacutees) et ce qursquoen principe on attend drsquoeux (sorties) On a aussi preacutesenteacute les activiteacutes et les responsabiliteacutes qui y sont associeacutees Les entreacutees et les objectifs activiteacute remplacent les facteurs critiques de succegraves de COBIT 3e eacutedition Les meacutetriques sont deacutesormais baseacutees sur une deacuteclinaison coheacuterente drsquoobjectifs meacutetiers informatique processus et activiteacutes Les ensembles de meacutetriques de COBIT 3e eacutedition ont aussi eacuteteacute reacuteviseacutes et ameacutelioreacutes pour les rendre plus repreacutesentatifs et plus mesurables
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 179
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 3e eacutedition agrave C OBIT 41
COBIT 3e eacutedition COBIT 41 PO1 Deacutefinir un plan informatique strateacutegique 11 Inteacutegration des TI au plan agrave 14 long et agrave court terme de lentreprise 12 Plan informatique agrave long 14 terme 13 Approche et structure de la 14 planification des TI agrave long terme 14 Modifications du plan 14 informatique agrave long terme 15 Planification agrave court terme 15 de la fonction informatique 16 Communication des plans 14 informatiques 17 Surveillance et eacutevaluation 13 des plans informatiques 18 Eacutevaluation des systegravemes 13 existants PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation
21
22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO4 Deacutefinir lorganisation et les relations de travail
COBIT 3e eacutedition 41 Comiteacute de planification ou de pilotage de la fonction informatique
COBIT 41 43
42 Position de la fonction informatique au sein de lentreprise
44
43 Reacutevision des reacutealisations de la fonction
45
44 Rocircles et responsabiliteacutes 46 45 Responsabiliteacute de lassurance qualiteacute
47
46 Responsabiliteacute de la seacutecuriteacute physique et logique
48
47 Statuts de proprieacutetaire et de gardien
49
48 Proprieacuteteacute des donneacutees et du systegraveme
49
49 Supervision 410 410 Seacuteparation des tacircches 411 411 Gestion du personnel informatique
412
412 Description des fonctions ou des postes du personnel de la fonction informatique
46
413 Personnel cleacute des TI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations de travail 415 PO5 Geacuterer linvestissement informatique 51 Budget annuel de fonctionnement de la fonction informatique
53
52 Surveillance des coucircts et des gains
54
53 Justification des coucircts et des gains
11 54 55
PO6 Faire connaicirctre les buts et orientations du management 61 Dispositif de controcircle positif de linformation
61
62 Responsabiliteacute du management vis-agrave-vis des politiques
63 64 65
63 Communication des politiques de lentreprise
63 64 65
64 Ressources utiliseacutees pour la mise en œuvre de la politique
64
65 Maintenance des politiques 63 64 66 Conformiteacute aux politiques aux proceacutedures et aux standards
63 64 65
67 Engagement vis-agrave-vis de la qualiteacute
63 64 65
68 Cadre de seacutecuriteacute et de controcircle interne
62
69 Droits relatifs agrave la proprieacuteteacute intellectuelle
63 64 65
610 Politiques speacutecifiques 63 64 65 611 Sensibilisation agrave la seacutecuriteacute informatique
63 64 65
PO7 Geacuterer les ressources humaines 71 Recrutement et promotion du personnel
71
72 Qualification du personnel 72 73 Rocircles et responsabiliteacutes 74 74 Formation 75 75 Organisation des remplacements ou formations croiseacutees
76
COBIT 3e eacutedition 76 Proceacutedures de seacutecuriteacute concernant le personnel
COBIT 41 77
77 Eacutevaluation des performances
78
78 Gestion des changements de poste et des deacuteparts
78
PO8 Se conformer aux exigences externes 81 Revue des impeacuteratifs externes
SE31
82 Pratiques et proceacutedures pour se conformer aux exigences externes
SE32
83 Conformiteacute en matiegravere de seacutecuriteacute et dergonomie
SE31
84 Vie priveacutee proprieacuteteacute intellectuelle et transfert de donneacutees
SE31
85 Commerce eacutelectronique SE31 86 Conformiteacute des contrats dassurance
SE31
PO9 Eacutevaluer les risques91 Eacutevaluation du risque dentreprise
91 92 94
92 Approche drsquoeacutevaluation des risques
94
93 Identification des risques 93 94 Evaluation des risques 91 92 93
94 95 Plan daction pour parer aux risques
95
96 Acceptation des risques 95 97 Choix des mesures de sauvegarde
95
98 Engagement dans leacutevaluation des risques
91
PO10 Geacuterer des projets 101 Structure de gestion de projets
102
102 Participation du deacutepartement utilisateur agrave linitialisation du projet
104
103 Appartenance agrave leacutequipe projet et responsabiliteacutes
108
104 Deacutefinition du projet 105 105 Approbation du projet 106 106 Approbation des phases du projet
106
107 Plan directeur du projet 107 108 Plan dassurance qualiteacute du systegraveme
1010
109 Planification des meacutethodes dassurance qualiteacute
1012
1010 Gestion formelle des risques du projet
109
1011 Plan de test AI72 1012 Plan de formation AI71 1013 Plan de reacutevision apregraves mise en œuvre
1014 (partiel)
PO11 Geacuterer la qualiteacute 111 Plan geacuteneacuteral de qualiteacute 85 112 Approche de lassurance qualiteacute
81
113 Planification de lrsquoassurance qualiteacute
81
114 Reacutevision par lassurance qualiteacute du respect des normes et des proceacutedures de la fonction informatique
81 82
115 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 180
ANNEXE V COBIT 3e eacutedition 116 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes lors de modifications majeures agrave effectuer sur la technologie existante
COBIT 41 82 83
117 Mise agrave jour de la meacutethodologie du cycle de vie de deacuteveloppement des systegravemes
82 83
118 Coordination et 82 communication
COBIT 3e eacutedition 119 Cadre dacquisition et de maintenance de linfrastructure technologique
COBIT 41 82
1110 Relations avec les tiers DS23 chargeacutes du deacuteveloppement 1111 Normes de AI42 AI43 documentation des AI44 programmes 1112 Normes de test des AI72 AI74 programmes 1113 Normes de test des AI72 AI74 systegravemes
COBIT 3e eacutedition 1114 Test en parallegravelesur pilote
COBIT 41 AI72 AI74
1115 Documentation des tests AI72 AI74 1116 Assurance qualiteacute et eacutevaluation du respect des normes de deacuteveloppement
82
1117 Assurance qualiteacute et revue de latteinte des objectifs de la fonction informatique
82
1118 Indicateurs de qualiteacute 86 1119 Comptes-rendus des revues dassurance qualiteacute
82
COBIT 3e eacutedition COBIT 41 AI1 Trouver des solutions informatiques
11 Deacutefinition des besoins dinformation
11
12 Formulation des solutions alternatives
13 51 PO14
13 Formulation de la strateacutegie dachat
13 51 PO14
14 Exigences pour les services fournis par des tiers
51 53
15 Eacutetude de faisabiliteacute technologique
13
16 Eacutetude de faisabiliteacute eacuteconomique
13
17 Architecture de linformation 13
18 Rapport danalyse des risques
12
19 Controcircles du rapport coucirctefficaciteacute de la seacutecuriteacute
11 12
110 Conception des pistes daudit
11 12
111 Ergonomie 11 112 Seacutelection du logiciel systegraveme
11 13
113 Controcircle des achats 51 114 Acquisition de logiciels 51
115 Maintenance des logiciels par des tiers
54
116 Programmation dapplications sous contrat
54
117 Reacuteception des eacutequipements
54
118 Reacuteception de technologie 31 32 33 54
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Meacutethodes de conception 21 22 Modifications majeures dun systegraveme existant
21 22 26
COBIT 3e eacutedition COBIT 41 23 Approbation de la conception
21
24 Deacutefinition des exigences en matiegravere de fichiers et documentation
22
25 Speacutecifications des programmes
22
26 Conception de la collecte des donneacutees sources
22
27 Deacutefinition et documentation des exigences de saisie
22
28 Deacutefinition des interfaces 22 29 Interface homme - machine 22 210 Deacutefinition et documentation des exigences de traitement
22
211 Deacutefinition et documentation des exigences des sorties
22
212 Les controcircles 23 24 213 La disponibiliteacute facteur cleacute de la conception
22
214 Dispositions pour preacuteserver linteacutegriteacute des applications
23 DS115
215 Tests des applications 28 74 216 Manuels utilisateurs et mateacuteriels de support
43 44
217 Reacuteeacutevaluation de la conception des systegravemes
22
AI3 Acqueacuterir une infrastructure technologique et en assurer la maintenance 31 Eacutevaluation des nouveaux mateacuteriels et logiciels
31 32 33
32 Maintenance preacuteventive du mateacuteriel
DS135
33 Seacutecuriteacute des logiciels systegravemes
31 32 33
34 Installation des logiciels systegravemes
31 32 33
35 Maintenance des logiciels systegravemes
33
36 Controcircle des modifications des logiciels systegravemes
61 73
COBIT 3e eacutedition COBIT 41 37 Utilisation et surveillance des utilitaires systegraveme
32 33 DS93
AI4 Deacutevelopper les proceacutedures et en assurer la maintenance 41 Besoins dexploitation et niveaux de service
41
42 Manuel des proceacutedures utilisateurs
42
43 Manuel dexploitation 44 44 Supports de formation 43 44 AI5 Installer les systegravemes et les valider 51 Formation 71 52 Eacutevaluation des performances des logiciels dapplication
76 DS31
53 Plan de mise en place 72 73 54 Conversion du systegraveme 75 55 Conversion des donneacutees 75 56 Strateacutegie et plans de tests 72 57 Test des modifications 74 76 58 Critegraveres et performances des tests en parallegravelesur pilote
76
59 Tests de recette deacutefinitive 77 510 Tests de seacutecuriteacute et validation
76
511 Tests dexploitation 76 512 Transfert en production 78 513 Eacutevaluation de ladeacutequation de lapplication aux besoins des utilisateurs
79
514 Revue par le management apregraves mise en place
79
AI6 Geacuterer les changements 61 Lancement et controcircle des demandes de modification
61 64
62 Eacutevaluation de limpact 62 63 Controcircle des modifications 79 64 Modifications durgence 63 65 Documentation et proceacutedures
65
66 Maintenance autoriseacutee DS53 67 Preacuteparation de la diffusion des logiciels
79
68 Diffusion des logiciels 79
COBIT 3e eacutedition COBIT 41 DS1 Deacutefinir et geacuterer des niveaux de services 11 Contrat de niveaux de services
11
12 Contenu des contrats de servivce
13
13 Proceacutedures de fonctionnement
11
14 Surveillance et comptesshyrendus
15
COBIT 3e eacutedition COBIT 41 15 Revue des conventions de 16 niveaux de services et des contrats 16 Charges facturables 13 17 Programme dameacutelioration de service
16
DS 2 Geacuterer des services tiers 21 Interfaces fournisseurs 21 22 Titulaire de la relation 22 23 Contrats avec des tiers AI52 24 Qualification des tiers AI53 25 Contrat dexternalisation AI52
COBIT 3e eacutedition 26 Continuiteacute des services
COBIT 41 23
27 Relations seacutecuriteacute 23 28 Surveillance 24 DS3 Geacuterer la performance et la capaciteacute 31 Impeacuteratifs de disponibiliteacute et de performance
31
32 Plan de disponibiliteacute 34 33 Surveillance et comptesshyrendus
35
34 Outils de modeacutelisation 31 35 Gestion proactive de la performance
33
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 181
COBIT41 COBIT 3e eacutedition 36 Preacutevisions de charge de travail
COBIT 41 33
37 Gestion de la capaciteacute des ressources
32
38 Disponibiliteacute des ressources 34 39 Planification des ressources 34 DS4 Assurer un service continu 41 Plan de continuiteacute informatique
41
42 Plan de continuiteacute informatique strateacutegie et philosophie
41
43 Contenu du plan de continuiteacute informatique
42
44 Minimiser les besoins de continuiteacute informatique
43
45 Maintenance du plan de continuiteacute informatique
44
46 Test du plan de continuiteacute informatique
45
47 Formation au plan de continuiteacute informatique
46
48 Diffusion du plan de continuiteacute informatique
47
49 Proceacutedures alternatives de traitement pour le secours des deacutepartements utilisateurs
48
410 Ressources informatiques critiques
43
411 Site et mateacuteriel de secours 48 412 Sauvegarde hors site 49 413 Proceacutedures deacutevaluation apregraves sinistre
410
DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion des mesures de seacutecuriteacute
51
52 Identification authentification et accegraves
53
53 Seacutecuriteacute daccegraves en ligne aux donneacutees
53
54 Gestion des comptes utilisateurs
54
55 Revue des comptes utilisateurs par le management
54
56 Controcircle des utilisateurs sur leurs comptes
54 55
57 Surveillance de la seacutecuriteacute 55 58 Classification des donneacutees PO23 59 Gestion centraliseacutee des identifiants et des droits daccegraves
53
510 Rapports dactiviteacute sur la seacutecuriteacute et les violations de la seacutecuriteacute
55
511 Gestion des incidents 56 512 Proceacutedure de revalidation 51 513 Controcircle des contreparties 53 CA6 514 Autorisation des transactions
53
515 Non-reacutepudiation 511 516 Chemin seacutecuriseacute 511 517 Protection des fonctions de seacutecuriteacute
57
518 Gestion des clefs de chiffrement
58
519 Preacutevention deacutetection et correction des virus
59
COBIT 3e eacutedition 520 Architectures de pare-feu (firewall) et connexions aux reacuteseaux publics
COBIT 41 510
521 Protection des valeurs eacutelectroniques
134
DS6 Identifier et imputer les coucircts 61 Charges facturables 61 62 Proceacutedures deacutevaluation des coucircts
63
63 Proceacutedures dimputation et de refacturation aux utilisateurs
62 64
DS7 Instruire et former les utilisateurs 71 Identification des besoins de formation
71
72 Organisation de la formation 72 73 Sensibilisation et formation aux regravegles de seacutecuriteacute
PO74
DS8 Aider et conseiller les clients 81 Assistance help desk 81 85 82 Enregistrement des demandes des clients
82 83 84
83 Escalade des demandes des clients
83
84 Surveillance du traitement 103 85 Analyse des tendances et compte-rendu
101
DS9 Geacuterer la configuration 91 Enregistrement de la configuration
91
92 Configuration de base 91 93 Situation comptable 93 94 Controcircle de configuration 93 95 Logiciels non autoriseacutes 93 96 Stockage des logiciels AI34 97 Proceacutedures de gestion de la configuration
92
98 Responsabiliteacute des logiciels 91 92 DS10 Geacuterer les problegravemes et les incidents 101 Systegraveme de gestion des problegravemes
101 102 103 104
102 Escalade des problegravemes 102 103 Suivi des problegravemes et piste daudit
82 102
104 Autorisations daccegraves temporaires ou en urgence
54 123 AI63
105 Prioriteacutes des traitements durgence
101 83
DS11 Geacuterer les donneacutees 111 Proceacutedures de preacuteparation de donneacutees
CA1
112 Proceacutedures dautorisation des documents sources
CA1
113 Collecte des donneacutees des documents sources
CA1
114 Traitement des erreurs dans les documents sources
CA1
115 Conservation des documents sources
DS112
116 Proceacutedures dautorisation dentreacutee de donneacutees
CA2
117 Controcircles dexactitude drsquoexhaustiviteacute et dautorisation
CA3
118 Traitement des erreurs de saisie de donneacutees
CA2 CA4
119 Inteacutegriteacute du traitement des donneacutees
CA4
1110 Validation et preacuteparation du traitement des donneacutees
CA4
COBIT 3e eacutedition COBIT 41 1111 Gestion des erreurs de CA4 traitement des donneacutees 1112 Traitement et CA5 112 conservation des fichiers de sortie 1113 Distribution des sorties CA5 CA6 1114 Reacuteconciliation et ajustage CA5 des sorties 1115 Revue des sorties et CA5 traitement des erreurs 1116 Clauses de seacutecuriteacute des 116 eacutetats en sortie 1117 Protection des CA6 116 informations sensibles pendant la transmission et le transport 1118 Protection des 114 CA6 informations sensibles mises agrave disposition 1119 Gestion du stockage 112 1120 Peacuteriodes de conservation 112 et conditions de stockage 1121 Systegraveme de gestion de la meacutediathegraveque
113
1122 Responsabiliteacutes de la 113 gestion de la meacutediathegraveque 1123 Sauvegarde et 115 restauration 1124 Travaux de sauvegarde 114 1125 Stockage des sauvegardes
49 113
1126 Archivage 112 1127 Protection des messages sensibles
116
1128 Authentification et CA6 inteacutegriteacute 1129 Inteacutegriteacute des transactions eacutelectroniques
511
1130 Inteacutegriteacute permanente des 112 donneacutees enregistreacutees DS12 Geacuterer les installations 121 Seacutecuriteacute physique 121 122 122 Discreacutetion du site 121 122 informatique 123 Accompagnement des visiteurs
123
124 Santeacute et seacutecuriteacute du 121125 personnel SE31 125 Protection contre les 124 129 risques lieacutes agrave lenvironnement 126 Continuiteacute de lrsquoalimentation 125 eacutelectrique DS13 Geacuterer lrsquoexploitation 131 Proceacutedures dexploitation et manuels dinstructions
131
132 Documentation du processus de deacutemarrage du systegraveme et des autres tacircches dexploitation
131
133 Planification des travaux 132 134 Travaux non planifieacutes 132 135 Continuiteacute des traitements 131 136 Journaux dexploitation 131 137 Peacuteripheacuteriques de sortie et supports particuliers de sauvegarde
134
138 Exploitation agrave distance 511
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 182
ANNEXE V COBIT 3e eacutedition COBIT 41 S1 Surveiller les processus 11 Collecter les donneacutees de controcircle
12
12 Eacutevaluer les performances 14 13 Eacutevaluer la satisfaction des clients de linformatique
12
14 Rapports de gestion 15 S2 Eacutevaluer lrsquoadeacutequation du controcircle interne 21 Surveillance du controcircle interne
22
22 Exploitation en temps opportun des controcircles internes
21
23 Rapports sur le niveau de controcircle interne
22 23
24 Assurance sur lrsquoefficaciteacute de la seacutecuriteacute et du controcircle interne
24
S3 Acqueacuterir une assurance indeacutependante 31 Certification Validation indeacutependante de la seacutecuriteacute et du controcircle interne des services informatiques
25 47
COBIT 3e eacutedition 32 Certification Validation indeacutependante des services fournis par des prestataires
COBIT 41 25 47
33 Eacutevaluation indeacutependante 25 47 de lefficaciteacute de la fonction informatique 34 Eacutevaluation indeacutependante des tiers fournisseurs de services
25 47
35 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels
25 47
36 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels des tiers fournisseurs de services
25 26 47
37 Compeacutetence de lassurance indeacutependante
25 47
38 Implication proactive de laudit
25 47
COBIT 3e eacutedition S4 Disposer drsquoun audit indeacutependant
COBIT 41
41 Charte daudit 25 47 42 Indeacutependance 25 47 43 Eacutethique et normes professionnelles
25 47
44 Compeacutetence 25 47 45 Planification 25 47 46 Reacutealisation du travail 25 47 daudit 47 Rapports daudit 25 47 48 Activiteacutes de suivi 25 47
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 183
COBIT41 Reacutefeacuterences croiseacutees de C OBIT 41 agrave COBIT 3e eacutedition
COBIT 41 COBIT 3e
eacutedition PO1 Deacutefinir un plan informatique strateacutegique 11 Gestion de la valeur des SI 53 12 Alignement meacutetiersshyinformatique
Nouveau
13 Eacutevaluation de la performance actuelle
17 18
14 Plan informatique strateacutegique
11 12 13 14 16 AI12 AI13
15 Plans informatiques tactiques
15
16 Gestion du portefeuille informatique
Nouveau
PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation de lrsquoentreprise
21
22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise
22
23 Systegraveme de classification des donneacutees
23 24 DS58
24 Gestion de linteacutegriteacute Nouveau PO3 Deacuteterminer lorientation technologique 31 Planification de lrsquoorientation technologique
31 33 34
32 Planification de linfrastructure technologique
Nouveau
33 Surveillance des tendances et de la reacuteglementation
32
34 Standards informatiques 35 35 Comiteacute architecture des TI 35 PO4 Deacutefinir les processuslorganisation et les relations de travail 41 Ca dre de reacutefeacuterence des processus informatiques
Nouveau
42 Comiteacute strateacutegique informatique
Nouveau
43 Comiteacute de pilotage informatique
41
44 Position de la fonction informatique au sein de lentreprise
42
45 Structure du service informatique
43
46 Rocircles et responsabiliteacutes 44 412 47 Responsabiliteacute de lassurance qualiteacute informatique
45
48 Responsabiliteacute du risque de la seacutecuriteacute et de la conformiteacute
46
49 Proprieacuteteacute des donneacutees et du systegraveme
47 48
COBIT 41 COBIT 3e
eacutedition 410 Supervision 49 411 Seacuteparation des tacircches 410 412 Recrutement informatique 411 413 Personnel informatique cleacuteI 413 414 Proceacutedures de gestion du personnel sous contrat
414
415 Relations 415 PO5 Geacuterer linvestissement informatique 51 Reacutefeacuterentiel de gestion financiegravere
Nouveau
52 Deacutefinition des prioriteacutes dans le budget informatique
Nouveau
53 Processus de budgeacutetisation informatique
51 53
54 Gestion des coucircts 52 53 55 Gestion des beacuteneacutefices 53 PO6 Faire connaicirctre les buts et les orientations du management 61 Politique informatique et environnement de controcircle
61
62 Risque informatique pour lrsquoentrepriqe et cadre de controcircle interne
6 8
63 Gestion des politiques informatiques
62 63 65 66 67 69 610 611
64 Deacuteploiement des politiques 62 63 64 65 66 67 69 610 611
65 Communication des objectifs et des orientations informatiques
62 63 65 66 67 69 610 611
PO7 Geacuterer les ressources humaines informatiques 71 Recrutement et maintien du personnel
71
72 Compeacutetences du personnel 72 73 Affectation des rocircles Nouveau 74 Formation 73 DS73 75 Deacutependance agrave lrsquoeacutegard drsquoindividus
74
76 Proceacutedures de seacutecuriteacute concernant le personnel
75
77 Eacutevaluation des performances
76
78 Gestion des changements de poste et des deacuteparts
77 78
PO8 Geacuterer la qualiteacute
COBIT 41 COBIT 3e
eacutedition 81 Systegraveme de gestion de la qualiteacute
112 113 114
82 Standards informatiques et pratiques qualiteacute
115 116 117 118 19 1110 1116 1117 1119
83 Standards de deacuteveloppement et drsquoacquisition
115 116 117
84 Orientation client Nouveau 85 Ameacutelioration continue Nouveau 86 Mesure surveillance et revue qualiteacute
1118
PO9 Eacutevaluer et geacuterer les risques 91 Reacutefeacuterentiel de gestion des risque informatiques
91 94 98
92 Eacutetablissement du contexte du risque
91 94
93 Identification des eacuteveacutenements
93 94
94 Eacutevaluation des risques 91 92 94 95 Reacuteponse aux risques 95 96 97 96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques
Nouveau
PO10 Geacuterer des projets 101 Cadre de gestion de programme
Nouveau
102 Cadre de gestion de projet 101 103 Approche de la gestion de projets
Nouveau
104 Implication des parties prenantes
102
105 Eacutenonceacute du peacuterimegravetre du projet
104
106 Deacutemarrage drsquoune phase du projet
105 106
107 Plan de projet inteacutegreacute 107 108 Ressources du projet 103 109 Gestion des risques des projets
1010
1010 Plan qualiteacute du projet 108 1011 Controcircle des changements du projet
Nouveau
1012 Planification des meacutethodes dassurance
109
1013 Meacutetrique reporting et surveillance de la performance du projet
Nouveau
1014 Clocircture du projet 1013 (partiel)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 184
ANNEXE V COBIT 41 COBIT 3e
eacutedition AI1 Trouver des solutions informatiques 11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles
11 19 110 111 112
12 Rapport danalyse des risques 18 19 110 13 Eacutetudes de faisabiliteacute et formulation drsquoalternatives
13 17 112
14 Deacutecision et approbation concernant les exigences et la faisabiliteacute
Nouveau
AI2 Acqueacuterir des applications et en assurer la maintenance 21 Conception geacuteneacuterale 21 22 22 Conception deacutetailleacutee 22 24 25
26 27 28 29 210 211 213 217
23 Controcircle applicatif et auditabiliteacute
212 214
24 Seacutecuriteacute et disponibiliteacute des applications
212
25 Configuration et impleacutementation des logiciels applicatifs acquis
Nouveau
26 Mises agrave jour majeures des systegravemes existants
22
27 Deacuteveloppement dapplications Nouveau 28Assurance qualiteacute des logiciels 215 29 Gestion des exigences des applications
Nouveau
210 Maintenance des applications
Nouveau
COBIT 41 COBIT 3e
eacutedition AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance 31 Plan drsquoacquisition drsquoune infrastructure technique
PO34 118 31 33 34
32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure
118 31 33 34 37
33 Maintenance de lrsquoinfrastructure
118 31 33 34 35 37
34 Environnement de test de faisabiliteacute
Nouveau
AI4 Faciliter le fonctionnement et lrsquoutilisation 41 Planification pour rendre les solutions exploitables
41
42 Transfert de la connaissance au secteur meacutetier
PO1111 42
43 Transfert des connaissances aux utilisateurs finaux
PO1111 216 44
44 Transfert des connaissances vers le personnel drsquoexploitation et du support
PO1111 216 43 44
AI5 Acqueacuterir des ressources informatiques 51 Controcircle des achats 12 13 14
113 114 52 Gestion des contrats fournisseurs
DS23 DS25
53 Seacutelection des fournisseurs 14 DS24 54 Acquisition de ressources informatiques
115 116 117 118
AI6 Geacuterer les changements 61 Standards et proceacutedures de changement
36 61
COBIT 41 COBIT 3e
eacutedition 62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation
62
63 Modifications durgence DS10 64 64 Suivi et compte-rendu des changements
61
65 Clocircture et documentation des changements
65
AI7 Installer et valider les solutions et les modifications 71 Formation PO1011
PO1012 51 72 Programme de test PO1011
PO1112 PO1113 PO1114 PO1115 53 56
73 Plan drsquoimpleacutementation 36 53 74 Environnement de tests PO1112
PO1113 PO1114 PO1115 215 57
75 Conversion des systegravemes et des donneacutees
54 55
76 Test des modifications 52 57 58 510 511
77 Tests de recette deacutefinitive 59 78 Transfert en production 512 79 Revue post-deacutemarrage 513 514
COBIT 41 COBIT 3e
eacutedition DS1 Deacutefinir et geacuterer les niveaux de services 11 Reacutefeacuterentiel pour la gestion des niveaux de services
11 13
12 Deacutefinition des services Nouveau 13 Contrats de services 12 14 Contrats drsquoexploitation Nouveau 15 Surveillance et comptesshyrendus des niveaux de services atteints
14
16 Revue des conventions de service et des contrats
15 16
DS 2 Geacuterer les services tiers 21 Identification des relations avec tous les fournisseurs
21
22 Gestion des relations fournisseurs
22
23 Gestion du risque fournisseurs PO1110 26 27
24 Surveillance des performances fournisseurs
28
DS3 Geacuterer la performance et la capaciteacute 31 Planification de la performance et de la capaciteacute
AI52 31 34
32 Performance et capaciteacute actuelles
37
33 Performance et capaciteacute futures
35 36
34 Disponibiliteacute des ressources informatiques
32 38 39
35 Surveillance et comptes rendus
33
DS4 Assurer un service continu 41 Reacutefeacuterentiel de continuiteacute informatique
41 42
COBIT 41 COBIT 3e
eacutedition 42 Plans de continuiteacute informatique
43
43 Ressources informatiques critiques
44 410
44 Maintenance du plan de continuiteacute des SI
45
45 Tests du plan de continuiteacute des SI
46
46 Formation au plan de continuiteacute des SI
47
47 Diffusion du plan de continuiteacute des SI
48
48 Restauration et redeacutemarrage des services informatiques
49 411
49 Stockage de sauvegardes hors site
412 1125
410 Revue apregraves redeacutemarrage 413 DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion de la seacutecuriteacute informatique
51 512
52 Plan de seacutecuriteacute informatique Nouveau 53 Gestion des identiteacutes 52 53 59
514 AI66 54 Gestion des comptes utilisateurs
54 55 56 513 104
55 Tests de seacutecuriteacute vigilance et surveillance
56 57 510
56 Deacutefinition des incidents de seacutecuriteacute
511
57 Protection de la technologie de seacutecuriteacute
517
58 Gestion des clefs de chiffrement
518
COBIT 41 COBIT 3e
eacutedition 59 Preacutevention deacutetection et neutralisation des logiciels malveillants
519
510 Seacutecuriteacute des reacuteseaux 520 511 Eacutechange de donneacutees sensibles
515 516 1129 138
DS6 Identifier et imputer les coucircts 61 Deacutefinition des services 61 62 Comptabiliteacute de lrsquoinformatique
63
63 Modegravele de coucircts et facturation
62
64 Maintenance du modegravele de coucircts
63
DS7 Instruire et former les utilisateurs 71 Identification des besoins en savoir et en formation
71
72 Fourniture de formation et drsquoenseignement
72
73 Eacutevaluation de la formation reccedilue
Nouveau
DS8 Geacuterer le service drsquoassistance client et les incidents 81 Servie drsquoassistance client 81 82 Enregistrement des demandes des clients
82 103
83 Escalade des incidents 82 83 105
84 Clocircture des incidents 82 85 Analyse des tendances 81 DS9 Geacuterer la configuration 91 Reacutefeacuterentiel de configuration et configuration de base
91 92 98
92 Identification et maintenance des eacuteleacutements de configuration
97 98
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 185
COBIT41 COBIT 41 COBIT 3e
eacutedition 93 Revue drsquointeacutegriteacute des 93 94 95 configurations DS10 Geacuterer les problegravemes 101 Identification et 85 101 classification des problegravemes 105 102 Suivi et reacutesolution des Nouveau problegravemes 103 Clocircture des problegravemes 84 101 104 Inteacutegration des modifications de la gestion des configurations et de la gestion des problegravemes
Nouveau 101
DS11 Geacuterer les donneacutees 111 Exigences meacutetiers pour la gestion des donneacutees
Nouveau
COBIT 41 COBIT 3e
eacutedition 112 Dispositifs de stockage et de conservation
1112 1119 1120 1126 1130
113 Systegraveme de gestion de la meacutediathegraveque
1121 1122 1125
114 Mise au rebut 1118 1124 115 Sauvegarde et restauration
AI214 1123
116 Exigences seacutecuriteacute pour la gestion des donneacutees
1116 1117 1127
DS 12 Geacuterer lrsquoenvironnement physique 121 Seacutelection du site et agencement
121 122 124
122 Mesures de seacutecuriteacute physique
121 122
COBIT 41 COBIT 3e
eacutedition 123 Accegraves physique 104 123 124 Protection contre les 125 risques lieacutes agrave lenvironnement 125 Gestion des installations 124 126 mateacuterielles 129 DS 13 Geacuterer lrsquoexploitation 131 Proceacutedures et instructions 131 132 drsquoexploitation 135 136 132 Planification des travaux 133 134 133 Surveillance de Nouveau lrsquoinfrastructure informatique 134 Documents sensibles et 521 137 dispositifs de sortie 135 Maintenance preacuteventive AI32 du mateacuteriel
COBIT 41 COBIT 3e
eacutedition SE1 Surveiller et eacutevaluer la performance des SI 11 Approche de la surveillance 10 12 Deacutefinition et collationnement des donneacutees de surveillance
11 13
13 Meacutethode de surveillance Nouveau 14 Eacutevaluation de la performance
12
15 Comptes-rendus destineacutes au CA et agrave la DG
14
16 Actions correctives Nouveau SE2 Surveiller et eacutevaluer le controcircle interne 21 Surveillance du reacutefeacuterentiel de controcircle interne
20
22 Revue geacuteneacuterale 21 23
COBIT 41 COBIT 3e
eacutedition 23 Anomalies deacutetecteacutees par le controcircle
Nouveau
24 Auto-eacutevaluation du controcircle 24 25 Assurance de controcircle interne
Nouveau
26 Controcircle interne des tiers 36 27 Actions correctives Nouveau SE3 Garantir la conformiteacute aux obligations externes 31 Identification des obligations externes de conformiteacute lois regraveglements et contrats
PO81 PO83 PO84 PO85 PO86 DS124
32 Optimisation de la reacuteponse aux obligations externes
PO82
COBIT 41 COBIT 3e
eacutedition 33 Eacutevaluation de la conformiteacute aux obligations
Nouveau
34 Assurance positive de la conformiteacute
Nouveau
35 inteacutegration des rapports Nouveau SE4 Mettre en place une gouvernance des SI 41 Mise en place drsquoun cadre de gouvernance des SI
Nouveau
42 Alignement strateacutegique Nouveau 43 Apport de valeur Nouveau 44 Gestion des ressources Nouveau 45 Gestion des risques Nouveau 46 Mesure de la performance Nouveau 47 Assurance indeacutependante Nouveau
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 186
ANNEXE VI
APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
AN
NE
XE
VI
A
PPR
OC
HE
RE
CH
amp D
EacuteV
ANNEXE VI
ANNEXE VI minus APPROCHE RECHERCHE ET DEacuteVELOPPEMENT
Le deacuteveloppement du contenu du reacutefeacuterentiel COBIT est superviseacute par le Comiteacute de Pilotage COBIT constitueacute de repreacutesentants internationaux drsquoentreprises drsquouniversiteacutes du gouvernement et de professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute Des groupes de travail internationaux ont eacuteteacute mis en place dans le but de reacuteviser dans une perspective dassurance qualiteacute les versions intermeacutediaires du travail fait en recherche et deacuteveloppement Le IT Governance Institute (ITGI) a superviseacute lensemble du projet
Eacuteditions preacuteceacutedentes de COBIT
Deacutefinis dans le Cadre de Reacutefeacuterence COBIT de la premiegravere eacutedition lapplication des standards internationaux des principes directeurs et des meilleures pratiques mises agrave jour par les recherches ont conduit au deacuteveloppement des objectifs de controcircle Le Guide dAudit a ensuite eacuteteacute conccedilu pour veacuterifier si ces objectifs de controcircle eacutetaient correctement mis en œuvre Pour la 1egravere et la 2egraveme eacutedition la recherche a porteacute entre autres sur le collationnement et lanalyse de sources internationales et a eacuteteacute meneacutee agrave bien par des eacutequipes europeacuteennes (Free University of Amsterdam) ameacutericaines (California Polytechnic University) et australiennes (University of New South Wales) Les chercheurs ont eacuteteacute chargeacutes de la compilation de la reacutevision de leacutevaluation et de lincorporation adeacutequate des standards internationaux dans les domaines des techniques des codes de conduite de la qualiteacute des audits et des pratiques et exigences des entreprises pour ce qui concerne le Cadre de Reacutefeacuterence et les objectifs de controcircles individuels Apregraves collationnement et analyse on a demandeacute aux chercheurs dexaminer chaque domaine et chaque processus en deacutetail et soit de suggeacuterer des modifications des objectifs de controcircle soit den proposer de nouveaux pour chaque processus consideacutereacute La synthegravese des reacutesultats a eacuteteacute reacutealiseacutee par le Comiteacute de Pilotage COBIT
Le projet de la 3egraveme eacutedition de COBIT a consisteacute agrave eacutelaborer le Guide de Management et agrave actualiser la 2egraveme eacutedition en fonction de reacutefeacuterences internationales soit reacuteviseacutees soit nouvelles De plus le Cadre de Reacutefeacuterence COBIT a eacuteteacute reacuteviseacute et enrichi pour permettre un meilleur controcircle de gestion pour introduire la gestion de performance et pour deacutevelopper davantage la gouvernance des SI Pour fournir au management une application du Cadre de Reacutefeacuterence et lui permettre ainsi de faire des choix pour la mise en place de controcircles et pour ameacuteliorer ses systegravemes informatiques ainsi que pour mesurer les performances le Guide de Management inclut des Modegraveles de Maturiteacute des Facteurs Cleacutes de Succegraves des Indicateurs Cleacutes dObjectif et des Indicateurs Cleacutes de Performance tous lieacutes aux Objectifs de Controcircle
Le Guide de Management a requis un panel mondial de 40 experts du monde universitaire gouvernemental et des professions de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute informatiques Ces experts se sont reacuteunis en un atelier animeacute par des professionnels du travail de groupe qui utilisaient des principes de deacuteveloppement deacutefinis par le Comiteacute de Pilotage de COBIT Latelier a eacuteteacute activement soutenu par le Gartner Group et par PricewaterhouseCoopers qui ont non seulement fourni le leadership intellectuel mais ont aussi envoyeacute plusieurs de leurs experts en controcircle gestion de la performance et seacutecuriteacute de linformation Les reacutesultats de cet atelier furent les eacutebauches des modegraveles de maturiteacute des facteurs cleacutes de succegraves des indicateurs cleacutes dobjectifs et des indicateurs cleacutes de performances pour chacun des 34 processus de COBIT Lassurance qualiteacute des premiegraveres livraisons fut conduite par le Comiteacute de Pilotage de COBIT et les reacutesultats ont eacuteteacute proposeacutes pour consultation sur le site Internet de lISACA Le Guide de Management a eacuteteacute constitueacute pour offrir un nouvel ensemble doutils orienteacutes management susceptibles de sinteacutegrer de faccedilon coheacuterente au Cadre de Reacutefeacuterence
Lactualisation des Objectifs de Controcircle de la 3e eacutedition de COBIT baseacutee sur de nouvelles reacutefeacuterences et des reacutefeacuterences internationales reacuteviseacutees a eacuteteacute conduite par des membres des Chapitres de lISACA sous la direction de membres du Comiteacute de Pilotage de COBIT Lintention neacutetait pas de reacutealiser une analyse globale de tous les mateacuteriaux ni un nouveau deacuteveloppement des Objectifs de Controcircle mais de fournir un processus dactualisation increacutementiel Les reacutesultats du deacuteveloppement du Guide de Management furent alors utiliseacutes pour reacuteviser le Cadre de Reacutefeacuterence COBIT particuliegraverement les consideacuterations buts et exposeacutes des facteurs favorisants pour les objectifs de controcircle geacuteneacuteraux La version originale en anglais de COBIT 3e eacutedition a eacuteteacute publieacutee en juillet 2000 la version en franccedilais en 2002
Derniegraveres activiteacutes de mise agrave jour du projet
Dans son effort pour faire eacutevoluer en permanence le corpus de connaissances de COBIT le Comiteacute de Pilotage a organiseacute un travail de recherche ces deux derniegraveres anneacutees sur plusieurs aspects de COBIT Ces projets de recherche concernent des composantes des Objectifs de Controcircle et du Guide de Management Ci-dessous la liste de certains domaines speacutecifiquement concerneacutes
Recherche sur les Objectifs de Controcircle
bull Alignement de bas en haut de la gouvernance des SI COBIT bull Alignement de haut en bas de la gouvernance des SI COBIT bull COBIT et les autres standards deacutetailleacutes correspondances entre COBIT ITIL CMM COSO PMBOK ISF Normes de bonnes pratiques pour la
seacutecuriteacute de lrsquoinformation et ISO 27000 pour permettre lrsquoharmonisation du langage des deacutefinitions et des concepts avec ces standards
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 187
COBIT41
Recherche sur le Guide de Management
bull Analyse causale des relations ICO-ICP bull Revue de la qualiteacute des ICOICPFacteurs Cleacutes de Succegraves drsquoapregraves lrsquoanalyse causale des relations ICO-ICP en reacutepartissant les FCS entre
ldquoce que vous avez besoin drsquoobtenir des autresrdquo et ldquoce que vous avez besoin de faire vous-mecircmerdquo bull Analyse deacutetailleacutee des concepts de meacutetriques Deacuteveloppement deacutetailleacute avec des experts pour ameacuteliorer les concepts de meacutetriques en
construisant un scheacutema en cascade de meacutetriques ldquoprocessus-informatique-meacutetiersrdquo et en deacutefinissant des critegraveres de qualiteacute pour les meacutetriques
bull Eacutetablissement de liens entre objectifs meacutetiers objectifs informatiques et processus informatiques Recherche approfondie dans huit professions diffeacuterentes conduisant agrave une perception plus deacutetailleacutee de la faccedilon dont les processus COBIT favorisent la reacutealisation drsquoobjectifs informatiques speacutecifiques et par extension drsquoobjectifs meacutetiers puis geacuteneacuteralisation des reacutesultats
bull Revue du contenu du modegravele de maturiteacute Garantie de coheacuterence et de qualiteacute des niveaux de maturiteacute dans chaque processus et entre les divers processus avec de meilleures deacutefinitions des attributs du modegravele de maturiteacute
Le Comiteacute de Pilotage COBIT a eacuteteacute agrave lrsquoorigine de tous ces projets il les a superviseacutes tandis que la gestion et le suivi au jour le jour eacutetaient pris en charge par une eacutequipe constitueacutee de quelques-uns des principaux responsables de COBIT Lrsquoavancement de la plupart des projets de recherche mentionneacutes a fait lourdement appel aux compeacutetences et au beacuteneacutevolat de membres de lrsquoISACA drsquoutilisateurs de COBIT de conseillers experts et drsquouniversitaires Des groupes de deacuteveloppement locaux ont eacuteteacute constitueacutes agrave Bruxelles Londres Chicago Canberra Cape Town Washington DC et Copenhague ougrave de 5 agrave 10 utilisateurs de COBIT se reacuteunissaient en moyenne deux ou trois fois par an pour travailler sur des recherches particuliegraveres ou agrave des tacircches de reacutevision assigneacutees par les principaux responsables de COBIT De plus certains projets de recherche particuliers ont eacuteteacute assigneacutes agrave des eacutecoles de commercegestion comme lrsquoAntwerp Management School (DAMS) et lrsquoUniversity of Hawaii
Les reacutesultats de ces efforts de recherche et le retour drsquoinformation apporteacute par les utilisateurs de COBIT au fil des ans et des difficulteacutes rencontreacutees agrave lrsquooccasion du deacuteveloppement de nouveaux produits comme les pratiques de controcircle ont eacuteteacute inteacutegreacutes au projet principal de COBIT pour mettre agrave jour et ameacuteliorer les Objectifs de Controcircle le Guide de Management et le Cadre de Reacutefeacuterence COBIT Deux laboratoires de deacuteveloppement majeurs comportant chacun plus de 40 experts de la gouvernance des SI du management et du controcircle (patrons consultants universitaires et auditeurs) du monde entier ont eacuteteacute organiseacutes pour passer en revue et mettre profondeacutement agrave jour les contenus des Objectifs de Controcircle et du Guide de Management Drsquoautres groupes plus petits ont travailleacute pour affiner et finaliser la production importante de ces instances majeures
La version quasi deacutefinitive a eacuteteacute soumise agrave un processus de reacutevision complet par une eacutequipe drsquoenviron 100 personnes Lrsquoabondante moisson de commentaires a eacuteteacute analyseacutee au cours drsquoun dernier atelier de reacutevision du Comiteacute de Pilotage COBIT
Les reacutesultats de ces ateliers ont eacuteteacute mis en forme par le Comiteacute de Pilotage COBIT par les principaux responsables de COBIT et par lrsquoITGI pour reacutediger les nouveaux documents COBIT qursquoon trouve dans ce volume Lrsquoexistence de COBIT Onlinereg teacutemoigne du fait que la technologie existe deacutesormais pour tenir plus facilement agrave jour le contenu essentiel de COBIT et cette ressource sera utiliseacutee comme reacutefeacuterentiel maicirctre du contenu de COBIT Il sera tenu agrave jour par les informations apporteacutees par la base utilisateurs ainsi que par des revues du contenu de certains domaines speacutecifiques Des publications peacuteriodiques (documents papier et eacutelectroniques) permettront de se reacutefeacuterer hors ligne au contenu de COBIT
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 188
Annexe VII
GLOSSAIRE
AN
NE
XE
VII
G
LO
SSA
IRE
ANNEXE VII ANNEXE VII minus GLOSSAIRE
Les termes anglais figurent entre parenthegraveses et en italique agrave la fin de chaque rubrique
Activiteacute ndash Principales actions entreprises pour activer le processus COBIT (Activity)
Analyse causale ndash Processus de diagnostic permettant de remonter agrave lrsquoorigine drsquoun eacuteveacutenement et qui peut ecirctre utiliseacute pour apprendre des conseacutequences typiquement des erreurs et des problegravemes (Root cause analysis)
Approbateur ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne ou au groupe qui a lrsquoautoriteacute pour approuver ou accepter la reacutealisation drsquoune activiteacute (Accountable)
Architecture drsquoentreprise ndash Description de lrsquoarchitecture fonctionnelle des composants fondamentaux des systegravemes meacutetiers ou un des eacuteleacutements de ces systegravemes (par ex technologie) des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture)
Architecture informatique de lrsquoentreprise ndash Description de lrsquoarchitecture technique des composants fondamentaux des systegravemes meacutetiers des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture for IT)
Architecture de lrsquoinformation ndash Une des composantes de lrsquoarchitecture des SI (avec lrsquoarchitecture fonctionnelle et lrsquoarchitecture technique) Voir Architecture des SI (Information architecture)
Architecture des SI ndash Cadre de reacutefeacuterence inteacutegreacute pour faire eacutevoluer ou tenir agrave jour les technologies existantes et en acqueacuterir de nouvelles pour atteindre les objectifs strateacutegiques et les objectifs meacutetiers (IT architecture)
Authentification ndash Action de veacuterifier lrsquoidentiteacute drsquoun utilisateur et son droit agrave acceacuteder agrave lrsquoinformation numeacuteriseacutee Elle a pour but de proteacuteger les systegravemes contre des tentatives drsquointrusion frauduleuses (Authentication)
Bonnes pratiques ndash Activiteacute ou processus qui a fait ses preuves et est appliqueacute avec succegraves par de nombreuses entreprises (Best practice)
Cadre (reacutefeacuterentiel) de controcircle ndash Ensemble de controcircles fondamentaux destineacute agrave aider les proprieacutetaires de processus meacutetiers agrave srsquoacquiter de leur responsabiliteacute de preacutevenir les pertes financiegraveres ou drsquoinformation pour lrsquoentreprise (Control framework)
Capaciteacute ndash Le fait de disposer des caracteacuteristiques neacutecessaires pour fonctionner etou accomplir les tacircches preacutevues (Capability)
CE ndash Contrat drsquoExploitation Accord interne sur la fourniture de services relatif agrave la fourniture de services par lrsquoinformatique (OLA Operational Level Agreement)
Charte drsquoAudit ndash Document deacutefinissant le but lrsquoautoriteacute et la responsabiliteacute de lrsquoactiviteacute drsquoaudit interne approuveacutee par le CA (Audit charter)
Client ndash Personne ou entiteacute interne ou externe destinataire de services informatiques de lrsquoentreprise (Customer)
Comiteacute informatique strateacutegique ndash Comiteacute constitueacute au niveau du CA pour faire en sorte que les administrateurs srsquoimpliquent dans les questionsdeacutecisions majeures qui concernent lrsquoinformatique Le comiteacute est principalement responsable de la gestion des portefeuilles drsquoinvestissements de services et drsquoautres ressources informatiques Le comiteacute est le proprieacutetaire de ces portefeuilles (IT strategy committee)
Consulteacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes dont lrsquoavis sur une activiteacute est rechercheacute (communication montante et descendante) (Consulted)
Continuiteacute ndash Preacutevention reacuteduction des interruptions et restauration du service On peut aussi utiliser dans ce contexte les expressions ldquoplan de reprise drsquoactiviteacuterdquo ldquoplan de restauration apregraves sinistrerdquo et ldquoplan de secoursrdquo elles srsquointeacuteressent toutes agrave la restauration de la continuiteacute (Continuity)
Controcircle drsquoaccegraves ndash Processus qui limite et controcircle lrsquoaccegraves aux ressources drsquoun systegraveme informatique controcircle logique ou physique conccedilu pour proteacuteger contre un accegraves ou une utilisation non autoriseacutes (Access control)
Controcircle applicatif ndash Ensemble de controcircles inteacutegreacutes agrave des solutions automatiseacutees (applications) (Application control)
Controcircle de deacutetection ndash Controcircle utiliseacute pour identifier des eacuteveacutenements (indeacutesirables ou pas) des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils ont un impact mateacuteriel sur un processus ou sur un produit final (Detective control)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 189
COBIT41 Controcircles geacuteneacuteraux informatiques ndash Controcircles autres que les controcircles applicatifs relatifs agrave lrsquoenvironnement informatique de deacuteveloppement de maintenance et drsquoexploitation des applications utiliseacute par toutes les applications Les objectifs des controcircles geacuteneacuteraux sont de srsquoassurer drsquoun deacuteveloppement et drsquoune impleacutementation corrects des applications de lrsquointeacutegriteacute des programmes des donneacutees et des traitements Comme les controcircles applicatifs les controcircles geacuteneacuteraux sont soit manuels soit programmeacutes Ils integravegrent agrave titre drsquoexemples lrsquoeacutelaboration et la mise en oeuvre de la strateacutegie informatique de la politique de seacutecuriteacute des SI de lrsquoorganisation des eacutequipes informatiques pour assurer la seacuteparation des tacircches du plan de secours et de reprise drsquoactiviteacute (General computer control)
Controcircle interne ndash Politiques proceacutedures pratiques et structures organisationnelles conccedilues pour fournir une assurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes (Internal control)
Controcircle preacuteventif ndash Controcircle interne utiliseacute pour preacutevenir des eacuteveacutenements des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils peuvent avoir un impact mateacuteriel neacutegatif sur un processus ou sur un produit final (Preventive control)
Controcircle programmeacute ndash Ensemble de controcircles inteacutegreacutes aux solutions automatiseacutees (applications) (Automated application control)
COSO ndash Committee of Sponsoring Organisations of the Treadway Commission Son rapport de 1992 intituleacute Reacutefeacuterentiel inteacutegreacute de controcircle interne est une norme de gouvernance drsquoentreprise reconnue internationalement Voir wwwcosoorg
Coucirct total de possession ndash En informatique comprend le coucirct initial des serveurs et logiciels les mises agrave jour du materiel et du logiciel la maintenance le support technique la formation certaines activiteacutes assures par les utilisateurs (TCO - Total Cost of Ownership)
CS - Contrat ou convention de services ndash Accord de preacutefeacuterence documenteacute entre un fournisseur de services et le clientutilisateur qui deacutefinit les niveaux convenus pour un service et la faccedilon dont ils sont mesureacutes (SLA Service level agreement)
Cycle de vie de deacuteveloppement des systegravemes ndash Phases successives du deacuteveloppement ou de lrsquoacquisition drsquoun systegraveme logiciel Typiquement comprend eacutetude de faisabiliteacute eacutetude des besoins deacutefinition des besoins conception deacutetailleacutee programmation tests mise en place et revue apregraves mise en œuvre Ne comprend ni la deacutelivrance du service ni les beacuteneacutefices attendus de la reacutealisation des activiteacutes (SDLC Systems development life cycle)
DF ndash Directeur financier le premier responsable de la gestion des risques financiers drsquoune entreprise (CFO)
DG ndash Directeur geacuteneacuteral le rang le plus eacuteleveacute dans une entreprise (CEO)
Dictionnaire de donneacutees ndash Base de donneacutees renfermant nom type valeurs min et max source et autorisation drsquoaccegraves pour chaque donneacutee de la base Elle indique eacutegalement quel programme applicatif utilise cette donneacutee de faccedilon agrave ce que lorsqursquoon envisage de manipuler une donneacutee on puisse geacuteneacuterer une liste des programmes concerneacutes Le dictionnaire de donneacutees est soit un systegraveme drsquoinformation autonome utiliseacute agrave des fins de gestion et de documentation soit un gestionnaire drsquoexploitation de base de donneacutees (Data dictionary)
Domaine ndash Pour COBIT regroupement drsquoobjectifs de controcircle en eacutetapes logiques dans le cycle de vie des actifs de lrsquoinformatique (Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Evaluer (Domain)
DSI ou DIndash Directeur des Systegravemes drsquoInformation ou Directeur Informatique le responsable de lrsquoinformatique drsquoune entreprise Le DSI assure parfois le rocircle de Responsable de la Connaissance (Chief Knowledge Officer - CKO) qui distribue la connaissance et pas seulement lrsquoinformation Voir eacutegalement Directeur des Technologies (CIO)
DTndash Directeur des Technologies a en charge les aspects techniques de lrsquoentreprise Le titre de DT est souvent synonyme de DSI (CTO)
Eacuteleacutement de configuration ndash Composant drsquoune infrastructure ou un eacuteleacutement comme une demande de modification associeacute agrave une infrastructure qui est (ou doit ecirctre) sous le controcircle de la gestion de la configuration Ces eacuteleacutements peuvent diffeacuterer largement en complexiteacute taille et type allant drsquoun systegraveme complet (mateacuteriel logiciel et documentation) agrave un simple module ou agrave un composant mateacuteriel mineur (Configuration item)
Entreprise ndash Groupe de personnes travaillant ensemble dans un but commun typiquement dans le contexte drsquoune organisation drsquoune socieacuteteacute drsquoune agence gouvernementale drsquoune association ou drsquoune fondation (Enterprise)
FCS ndash Facteur Cleacute de Succegraves correspond pour le management aux aspects ou aux actions les plus importantes pour reacuteussir agrave mettre sous controcircle ses processus informatiques (CSF)
Fournisseur de services ndash Entiteacute externe qui fournit des services agrave lrsquoentreprise (Service provider)
Gestion de la configuration ndash Controcircle des modifications apporteacutees agrave un ensemble drsquoeacuteleacutements de configuration au cours du cycle de vie drsquoun systegraveme (Configuration management)
Gestion de la performance ndash En informatique capaciteacute agrave geacuterer tout type de mesure y compris celles qui concernent les employeacutes les eacutequipes les processus les opeacuterations et les finances Ce terme eacutevoque des controcircles en boucle et un suivi reacutegulier des mesures (Performance management)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 190
ANNEXE VII Gouvernance de lrsquoentreprise ndash Ensemble des responsabiliteacutes et pratiques assureacutees par le conseil drsquoadministration et la direction geacuteneacuterale dont le but est de fixer la strateacutegie srsquoassurer que les objectifs sont atteints que les risques sont geacutereacutes correctement et de veacuterifier que les ressources de lrsquoentreprise sont utiliseacutees agrave bon escient (Enterprise governance)
Guide ndash Description drsquoune maniegravere particuliegravere drsquoaccomplir quelque chose moins rigide qursquoune proceacutedure (Guideline)
ICO ndash Indicateur Cleacute drsquoObjectif indicateurs qui informent le management a posteriori si un processus informatique a reacutepondu aux exigences metier Il srsquoexprime habituellement en termes de critegraveres lieacutes agrave lrsquoinformation (KGI -Key Goal Indicator)
ICP ndash Indicateur Cleacute de Performance indicateurs qui deacuteterminent agrave quel point la performance du processus infomatique lui donne des chances drsquoatteindre lrsquoobjectif Ce sont des indicateurs essentiels pour savoir si un objectif a des chances drsquoecirctre atteint ou non et de bons indicateurs des capaciteacutes des pratiques et des compeacutetences Ils mesurent les objectifs de lrsquoactiviteacute agrave savoir les actions que le proprieacutetaire du processus doit entreprendre pour que la performance du processus soit bonne (KPI - Key Performance Indicator)
Incident informatique ndash Tout eacuteveacutenement qui ne fait pas partie du fonctionnement normal drsquoun service et qui cause ou peut causer une interruption ou une reacuteduction de la qualiteacute de ce service (IT Incident deacutefinition conforme agrave lrsquoIT Infrastructure Library ITIL)
Inducteurs de performance ndash Mesures consideacutereacutees comme les inducteurs des indicateurs a posteriori Ils peuvent ecirctre mesureacutes avant la manifestation du reacutesultat et correspondent agrave des indicateurs a priori Il y a une relation preacutesupposeacutee entre les deux qui suggegravere qursquoune meilleure performance drsquoun indicateur a priori induit une meilleure performance de lrsquoindicateur a posteriori On les deacutesigne aussi ICP (Iindicateur Cleacute de Performance) et on les utilise pour mesurer si les objectifs ont des chances drsquoecirctre atteints (Performance drivers)
Informeacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes qui sont tenues au courant du progregraves drsquoune activiteacute (communication descendante) (Informed)
ISO 17799 ndash Norme internationale de deacutefinition des controcircles de confidentialiteacute inteacutegriteacute et disponibiliteacute de lrsquoinformation
ISO 27001 ndash Management de la seacutecuriteacute de lrsquoinformation - Guide drsquoutilisation remplace la norme BS7799-2 Fournit les bases de lrsquoaudit externe de certification et est harmoniseacutee avec les autres normes de gestion telles que ISOIEC 9001 2000 et ISO 14001
ISO 9001 2000 ndash Code de bonnes pratiques pour la gestion de la qualiteacute ISO 90012000 speacutecifie les exigences drsquoun systegraveme de gestion de la qualiteacute pour toute organisation qui a besoin de deacutemontrer sa capaciteacute agrave fournir reacuteguliegraverement des produits ou des services conformes agrave des objectifs particulier de qualiteacute
ITIL ndash IT Infrastructure Library de lrsquoUK Office of Government Commerce (OGC) Ensemble de guides de management et de principes de fonctionnement des services informatiques
Maturiteacute ndash Au niveau meacutetier indique le degreacute de fiabiliteacute ou de deacutependance drsquoun processus auquel le meacutetier peut se fier pour atteindre les objectifs souhaiteacutes (Maturity)
Mesure ou indicateur ndash Norme drsquoeacutevaluation et de communication drsquoun reacutesultat obtenu par rapport agrave reacutesultat attendu Les mesures ou indicateurs sont en regravegle geacuteneacuterale quantitatives et srsquoexpriment en nombre devise (uniteacute moneacutetaire) pourcentage etc mais peuvent aussi srsquoexprimer de faccedilon qualitative comme par exemple un niveau de satisfaction client Rendre compte et surveiller les mesures ou indicateurs aide lrsquoentreprise agrave jauger la mise en œuvre reacuteelle de sa strateacutegie (Measure)
Mesures de reacutesultats ndash Mesures des conseacutequences drsquoactions prises souvent deacutesigneacutees par indicateurs a posteriori Elles srsquointeacuteressent souvent aux reacutesultats obtenus agrave lrsquoissue drsquoune peacuteriode de temps deacutetermineacute et caracteacuterise une performance historique On les deacutesigne eacutegalement ICO (Indicateur Cleacute drsquoObjectif) et on les utilise pour indiquer si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees qursquoapregraves le reacutesultat et pour cette raison sont appeleacutees indicateurs a posteriori (Outcome measures)
Meacutetrique ndash Instrument de mesure speacutecifique drsquoeacutevaluation quantitative et peacuteriodique de la performance Une meacutetrique complegravete preacutecise lrsquouniteacute utiliseacutee la freacutequence la cible agrave atteindre la proceacutedure de mesure et la proceacutedure drsquointerpreacutetation du reacutesultat (Metric)
Modegravele de Maturiteacute de la Capaciteacute (MMC) ndash Le Modegravele de maturiteacute de la capaciteacute des logiciels du Software Engineering Institute (SEI) est un modegravele utiliseacute par de nombreuses organisations pour identifier les meilleures pratiques utiles pour eacutevaluer et ameacuteliorer la maturiteacute de leurs processus de deacuteveloppement de logiciels (CMM)
Objectif de controcircle ndash Exposeacute du reacutesultat deacutesireacute ou du but agrave atteindre par la mise en œuvre de proceacutedures de controcircle pour un processus donneacute (Control Objective)
Organisation ndash Faccedilon dont une entreprise est structureacutee (Organisation)
Performance ndash En informatique mise en place effective ou exeacutecution drsquoun processus (Performance)
Plan drsquoinfrastructure technologique ndash Plan pour les technologies les ressources humaines et les installations qui permet le traitement et lrsquoutilisation des applications actuelles et agrave venir (Technology infrastructure plan)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 191
COBIT41 Plan strateacutegique informatique ndash Plan agrave long terme c-agrave-d 3 agrave 5 ans dans lequel les directions meacutetiers et informatique coopegraverent pour deacutecrire comment les ressources informatique contribueront aux objectifs strateacutegiques de lrsquoentreprise (IT strategic plan)
Plan tactique informatique ndash Plan agrave moyen terme c-agrave-d 6 agrave 18 mois qui convertit les orientations du plan strateacutegique informatique en initiatives requises et en exigences en ressources et qui preacutecise comment les ressources et les beacuteneacutefices seront surveilleacutes et geacutereacutes (IT tactical plan)
PMBOK ndash Project Management Body of Knowledge standard de gestion de projets deacuteveloppeacute par le Project Management Institute (PMI)
PMO ndash Chef du bureau projet responsable de la mise en œuvre de dispositions deacutefinies pour aider agrave la gestion des projets et faire progresser la gestion de projet (Project management officer)
Politique ndash En geacuteneacuteral document qui deacutecrit un principe geacuteneacuteral ou des actions agrave entreprendre sur lesquelles on srsquoest accordeacute Le but drsquoune politique est drsquoinfluencer et de guider la prise de deacutecision actuelle et future pour qursquoelle soit conforme agrave la philosophie aux objectifs et aux plans strateacutegiques eacutetablis par les eacutequipes deacutecisionnaires de lrsquoentreprise Outre leur contenu les politiques doivent exposer les conseacutequences drsquoactions qui ne srsquoy conforment pas les moyens pour traites les anomalies et la faccedilon dont la conformiteacute sera veacuterifieacutee et mesureacutee (Policy)
Portefeuille ndash Groupe de programmes de projets de services ou drsquoactifs seacutelectionneacutes geacutereacutes et surveilleacutes pour optimiser le beacuteneacutefice pour les meacutetiers (Portfolio)
Pratique de controcircle ndash Meacutecanisme de controcircle cleacute qui aide agrave atteindre les objectifs de controcircle gracircce agrave lrsquoutilisation responsable des ressources agrave la bonne gestion des risques et agrave lrsquoalignement des SI sur les meacutetiers (Control practice)
Pratiques cleacutes de management ndash Pratiques de gestion neacutecessaires agrave la bonne exeacutecution des processus des meacutetiers (Key management practices)
PRINCE2 ndashProjects in a Controlled Environment deacuteveloppeacute par lrsquoOGC Meacutethode de gestion de projets qui srsquointeacuteresse agrave la gestion au controcircle et agrave lrsquoorganisation drsquoun projet
Problegraveme ndash En informatique cause agrave la base drsquoun ou plusieurs incidents (Problem)
Proceacutedure ndash Document deacutecrivant et preacutecisant les eacutetapes agrave suivre pour reacutealiser une activiteacute Les proceacutedures font partie des processus (Procedure)
Processus ndash En geacuteneacuteral ensemble de proceacutedures influenceacutees par les politiques et par les standards de lrsquoentreprise il prend ses donneacutees (entreacutees) agrave diffeacuterentes sources y compris agrave drsquoautres processus il traite les entreacutees et produit pour ses clients des sorties qui peuvent ecirctre drsquoautres processus Les processus ont de claires raisons ldquomeacutetiersrdquo drsquoexister ils sont doteacutes de proprieacutetaires responsables en dernier ressort de rocircles et de responsabiliteacutes pour leur exeacutecution et de moyens pour mesurer leur performance (Process)
Processus meacutetier ndash Voir processus (Business process)
Programme ndash Regroupement structureacute de projets interdeacutependants qui comporte lrsquoensemble des activiteacutes requises (agrave la fois neacutecessaires et suffisantes) pour atteindre un reacutesultat meacutetier clairement speacutecifieacute et qui impliquent les meacutetiers certains processus certaines personnes et certains moyens informatiques et organisationnels (Programme)
Programme applicatif application ndash Programme qui traite les donneacutees meacutetiers au travers drsquoactiviteacutes telles que la saisie ou lrsquoentreacutee de donneacutees la mise agrave jour ou la requecircte Il se distingue des programmes systegraveme comme le systegraveme drsquoexploitation ou le programme de controcircle du reacuteseau et des programmes utilitaires comme copier ou trier (Application program)
Projet ndash Ensemble drsquoactiviteacutes structureacutees axeacutees sur la fourniture agrave lrsquoentreprise drsquoune capaciteacute deacutefinie (neacutecessaire mais pas suffisante pour atteindre un reacutesultat meacutetier donneacute) et doteacutees drsquoun planning et drsquoun budget convenus (Project)
Proprieacutetaires de donneacutees ndash Personnes en geacuteneacuteral responsables ou chefs de services qui ont la responsabiliteacute de lrsquointeacutegriteacute de lrsquoexactitude et de lrsquoutilisation des donneacutees informatiseacutees (Data owners)
SGQ ndash Systegraveme de Gestion de la Qualiteacute Systegraveme qui preacutecise les politiques et les proceacutedures neacutecessaires pour ameacuteliorer et controcircler les divers processus qui conduiront finalement agrave une ameacutelioration de la performance des meacutetiers (Quality Management System)
Reacutefeacuterentiel ndash Voir Cadre (reacutefeacuterentiel) de controcircle (Framework)
Reacutesilience ou Reacutesistance aux pannes ndash Dans lrsquoentreprise capaciteacute drsquoun systegraveme ou drsquoun reacuteseau agrave se reacutetablir automatiquement apregraves toute perturbation en geacuteneacuteral avec le minimum drsquoeffets identifiables (Resilience)
Responsable ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne qui doit srsquoassurer que les activiteacutes sont reacutealiseacutees correctement (Responsible)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 192
ANNEXE VII Risque ndash Dans lrsquoentreprise potentialiteacute drsquoune menace donneacutee agrave exploiter les points faibles drsquoun actif ou drsquoun groupe drsquoactifs pour provoquer des pertes etou des dommages agrave ces actifs Il se mesure en geacuteneacuteral par une combinaison de conseacutequences et de probabiliteacutes drsquooccurrence (Risk)
Scheacutema de classification des donneacutees ndash Scheacutema geacuteneacuteral de classement des donneacutees de lrsquoentreprise selon des facteurs comme la criticiteacute la sensibiliteacute et la proprieacuteteacute (Data classification scheme)
Seacuteparation des tacircches ndash Controcircle interne de base qui preacutevient et deacutetecte les erreurs et les irreacutegulariteacutes de seacuteparation des individus en attribuant agrave des personnes diffeacuterentes la responsabiliteacute drsquoinitier et drsquoenregistrer les traitements et celle de veiller sur les actifs Communeacutement pratiqueacutee dans les grandes DSI afin que personne ne puisse introduire un code malveillant ou frauduleux sans deacutetection (Segregationseparation of duties)
Service drsquoassistance (client) ndash Le seul point de contact entre lrsquoinformatique et les utilisateurs de services informatiques (Service desk)
Standard ou Norme ndash Pratique meacutetier ou produit informatique qui constitue une pratique accepteacutee confirmeacutee par lrsquoentreprise ou par lrsquoeacutequipe de direction des SI Les standards ou normes peuvent ecirctre mis en place pour soutenir une politique ou un processus ou comme reacuteponse agrave un besoin opeacuterationnel Comme les politiques les standards ou normes doivent comporter une description de la maniegravere dont on deacutetectera la non conformiteacute (Standard)
SI ou Informatique ndash Systegraveme drsquoinformation Informatique voire Technologies de lrsquoinformation Integravegre le mateacuteriel le logiciel les reacuteseaux et toute les autres installations neacutecessaires agrave lrsquoentreacutee au stockage au traitement agrave la transmission et agrave la sortie des donneacutees sous toutes leurs formes (IT)
Tableau de bord ndash Outil qui permet de repreacutesenter les attentes drsquoune entreprise agrave chaque niveau et de veacuterifier en permanence la situation de la performance par rapport agrave la cible viseacutee (Dashboard)
Tableau de bord des investissements informatiques ndash Outil de mesure des attentes de lrsquoentreprise et de surveillance continue des reacutesultats par rapport aux objectifs des deacutepenses et des retours sur investissements des projets agrave composantes informatiques en termes de valeur pour les meacutetiers (IT investment dashboard)
Tableau de bord eacutequilibreacute ndash Meacutethode pour mesurer les actions drsquoune entreprise en rapport avec sa vision et ses strateacutegies en donnant au management un aperccedilu rapide et complet de la performance de son activiteacute professionnelle Crsquoest un outil de gestion qui cherche agrave mesurer lrsquoactiviteacute de lrsquoentreprise selon les perspectives suivantes financiegravere client meacutetier et acquisition de connaissances (Robert S Kaplan and David Norton 1992) (Balanced scorecard)
Tableau RACI ndash identifie qui est Responsable Approuve est Consulteacute etou Informeacute au sein de lrsquoentreprise (RACI chart)
Tests comparatifs ndash Processus utiliseacute en management particuliegraverement en management strateacutegique au cours duquel les entreprises eacutevaluent divers aspects de leurs processus meacutetiers par rapport aux meilleures pratiques constateacutees en geacuteneacuteral dans leur propre branche (Benchmarking)
Utilisateur informatique ndash Personne qui utilise lrsquoinformatique pour reacutealiser ou atteindre un objectif meacutetier (IT User)
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 193
COBIT41
Page volontairement laisseacutee blanche
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 194
ANNEXE VIII COBIT ET PRODUITS DE LA FAMILLE COBIT
AN
NE
XE
VII
I
PRO
DU
ITS
CO
BIT
ANNEXE VIII
ANNEXE VIII minus COBIT ET PRODUITS DE LA FAMILLE COBIT Le reacutefeacuterentiel COBIT dans sa version 4 et suivantes comprend bull Le cadre de reacutefeacuterence - explique comment COBIT structure les objectifs de la gouvernance des SI les objectifs de controcircle et les bonnes pratiques
par domaine informatique et par processus et les relie aux exigences meacutetiers bull La description des processus - comprend 34 processus informatiques couvrant toutes les domaines de responsabiliteacute de lrsquoinformatique de A agrave Z bull Les objectifs de controcircle - deacutecrivent sous forme de bonnes pratiques geacuteneacuteriques les objectifs de gestion des processus informatiques bull Le guide de management - propose des outils pour aider agrave reacutepartir les responsabiliteacutes mesurer la performance tester par comparaison la capaciteacute et
agrave trouver des reacuteponses aux insuffisances dans ce domaine bull Les modegraveles de maturiteacute - apportent diffeacuterents profils de processus par la description de diffeacuterents eacutetats possibles actuels et futurs
Depuis sa creacuteation le contenu de base de COBIT nrsquoa cesseacute drsquoeacutevoluer au fil des ans et le nombre de produits deacuteriveacutes de COBIT nrsquoa cesseacute drsquoaugmenter Les publications deacuteriveacutees de COBIT sont aujourdrsquohui les suivantes bull Conseils aux dirigeants dentreprises pour la gouvernance des SI 2e eacutedition - ce document aide les dirigeants agrave comprendre limportance de la
gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre bull COBIT Online - permet de personnaliser COBIT afin de lrsquoadapter agrave son entreprise drsquoenregistrer et de modifier les versions agrave volonteacute Les services
en ligne comprennent la reacutealisation drsquoeacutetudes en temps reacuteel une foire aux questions des tests comparatifs et un forum permettant de poser des questions et de partager des expeacuteriences
bull Pratiques de controcircle COBIT Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition shyrecommandations pour limiter les risques et accroicirctre la valeur gracircce agrave la mise en oeuvre drsquoobjectifs de controcircle et indications pour les mettre en place Il est vivement recommandeacute drsquoutiliser les Pratiques de controcircle COBIT avec le Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition
bull Guide dAssurance informatique Utilisation de COBIT - fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes activiteacutes dassurance ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle de COBIT Il remplace le Guide drsquoAudit pour lrsquoaudit ou lrsquoauto-eacutevaluation des objectifs de controcircle de de COBIT 41
bull Objectifs de controcircle informatiques pour Sarbanes-Oxley rocircle de lrsquoinformatique dans la conception et la mise en place du controcircle interne des rapports financiers 2egraveme Eacutedition - fournit un guide pour assurer la conformiteacute agrave la loi de lrsquoenvironnement informatique en srsquoappuyant sur les objectifs de controcircle COBIT
bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition - fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qursquoun ensemble drsquooutils associeacutes
bull COBIT Quickstart 2egraveme Eacutedition - fournit une base de controcircle pour les PMI-PME et peut servir drsquoeacutetape preacuteliminaire pour une grande entreprise bull COBIT Base pour la seacutecuriteacute 2egraveme Eacutedition - se focalise sur les eacutetapes fondamentales de mise en œuvre de la seacutecuriteacute des SI de lrsquoentreprise bull COBIT Mappings actuellement disponibles agrave lrsquoadresse suivante wwwisacaorgdownloads
minus Aligning COBIT ITIL and ISO 17799 for Business Benefit minus COBIT Mapping Overview of International IT Guidance 2nd Edition minus COBIT Mapping Mapping de ISOIEC 177992000 avec COBIT 2nd Edition minus COBIT Mapping Mapping de PMBOK avec COBIT 40 minus COBIT Mapping Mapping de SEIrsquos CMM for Software avec COBIT 40 minus COBIT Mapping Mapping de ITIL avec COBIT 40 minus COBIT Mapping Mapping de PRINCE2 avec COBIT 40
bull Gouvernance de la seacutecuriteacute des SI recommandations aux dirigeants drsquoentreprise 2egraveme Eacutedition - preacutesente la seacutecuriteacute des SI en termes meacutetiers et renferme des outils et des techniques pour aider agrave deacutecouvrir les problegravemes de seacutecuriteacute
VAL IT est le terme geacuteneacuteral retenu pour preacutesenter les publications ainsi que les produits et activiteacutes agrave venir se reacutefeacuterant au reacutefeacuterentiel VAL IT
Les publications actuelles de la famille VAL IT sont bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - le cadre de reacutefeacuterence VAL IT explique comment une entreprise peut
tirer la meilleure valeur possible de ses investissements informatiques Il est baseacute sur COBIT et est structureacute en minus Trois processus - gouvernance de la valeur gestion de portefeuille et gestion de lrsquoinvestissement minus Des pratiques cleacutes de management des SI - les principes de gestion fondamentaux qui facilitent lrsquoatteinte drsquoun but ou du reacutesultat souhaiteacute drsquoune
activiteacute particuliegravere Ils appuient les processus de VAL IT et jouent agrave peu pregraves le mecircme rocircle que les objectifs de controcircle de COBIT bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoanalyse de rentabilisation se focalise sur un eacuteleacutement cleacute du processus
de gestion de lrsquoinvestissement bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoeacutetude de cas ING deacutecrit comment une grande entreprise du secteur
financier gegravere un portefeuille drsquoinvestissements informatiques dans le contexte VAL IT
Visiter les sites wwwisacaorgcobit ou wwwisacaorgvalit pour avoir connaissance des informations les plus agrave jour et les plus complegravetes sur COBIT et VAL IT les produits deacuteriveacutes les eacutetudes de cas les programmes de formation les lettres drsquoinformation et toute autre information particuliegravere sur ces reacutefeacuterentiels En France consulter le site de lrsquoAFAI wwwafaifr
copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 195
COBIT41
Page volontairement laisseacutee blanche
copy 2007 AFAI Tous droits reacuteserveacutes wwwafaifr 196