COBIT V41 VF - bm.com.tn · Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter...

C BITreg

OC BITregO 41

C a d r e d e R eacute f eacute r e n c e

O b j e c t i f s d e C o n t r ocirc l e

G u i d e d e M a n a g e m e n t

M o d egrave l e s d e M a t u r i t eacute

COBIT41 LIT Governance Institute LIT Governance Institute (ITGI wwwitgiorg) a eacuteteacute creacuteeacute en 1998 pour faire progresser la reacuteflexion et les standards internationaux qui se rapportent agrave la gestion et au controcircle des systegravemes drsquoinformation (SI) dans les entreprises Une gouvernance efficace des SI doit permettre de srsquoassurer que celles-ci vont dans le sens des objectifs de lentreprise qursquoelles permettent drsquooptimiser les investissements informatiques et de geacuterer comme il convient les risques et les opportuniteacutes lieacutes agrave leur existence LrsquoIT Governance Institute met agrave la disposition des dirigeants drsquoentreprises et des conseils drsquoadministration des travaux de recherche originaux des ressources en ligne et des eacutetudes de cas pour les aider agrave faire face agrave leurs responsabiliteacutes dans le domaine de la gouvernance des SI

Avertissement LrsquoIT Governance Institute (le laquo Proprieacutetaire raquo) a conccedilu et reacutedigeacute ce document intituleacute COBIT reg V 41 (lrsquo laquo Œuvre raquo) essentiellement comme une ressource peacutedagogique pour les directeurs de lrsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle Le Proprieacutetaire ne garantit pas que lrsquoutilisation drsquoune partie quelconque de lrsquoŒuvre produira de faccedilon certaine un reacutesultat positif On ne doit pas consideacuterer agrave priori que lrsquoŒuvre contient toutes les informations les proceacutedures et les tests neacutecessaires ni qursquoelle exclut le recours agrave drsquoautres informations proceacutedures ou tests qui visent raisonnablement agrave produire des reacutesultats semblables Pour deacuteterminer si une information une proceacutedure ou un test speacutecifique est approprieacute les directeurs des systegravemes drsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle doivent appliquer leur propre jugement aux circonstances particuliegraveres qui se preacutesentent dans leurs environnements informationnels et technologiques speacutecifiques

Droits de proprieacuteteacute Diffusion et Copyright copy 2007 IT Governance Institute Tous droits reacuteserveacutes Il est interdit dutiliser copier reproduire modifier diffuser preacutesenter archiver ou transmettre par quelque moyen que ce soit (eacutelectronique meacutecanique photocopie enregistrement ou autre) une partie quelconque de cette publication sans lautorisation eacutecrite preacutealable de lrsquoIT Governance Institute La reproduction de passages de cette publication pour un usage exclusivement interne et non commercial ou dans un but peacutedagogique est autoriseacutee sous reacuteserve que la source soit mentionneacutee avec preacutecision Aucun autre droit et aucune autre autorisation ne sont accordeacutes pour cette œuvre

IT Governance Institute AFAI 3701 Algonquin Road Suite 1010 Association Franccedilaise de lAudit et du Conseil Informatiques Rolling Meadows IL 60008 Eacutetats-Unis 171 bis avenue Charles de Gaulle Teacutel +18475907491 92200 NEUILLY sur SEINE (France) Fax +18472531443 Teacutel 33 (0)1 40 88 10 44 E-mailinfoitgiorg E-Mail afaiafaifr Sites Internet wwwitgiorg Site Internet wwwafaifr ISBN 1-933284-72-2 ISBN 2-915007-09-8

copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr

COBIT41

Translated into French language from the English language version of COBIT reg Control Objectives for Information and related technology 41th Edition by AFAI the French Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the IT Governance Institute and the Information Systems Audit and Control Foundation AFAI assumes sole responsibility for the accuracy and faithfulness of the translation

Traduction franccedilaise de COBIT reg Objectifs de controcircle de lInformation et des technologies associeacutees Eacutedition 41 reacutealiseacutee par lrsquoAFAI chapitre franccedilais de lrsquoInformation Systems Audit and Control Association (ISACA) avec lrsquoautorisation de lrsquoIT Governance Institute et de la Information Systems Audit and Control Foundation LrsquoAFAI est seule responsable de lrsquoexactitude et de la fideacuteliteacute de la traduction

Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA All rights reserved No part of this publication may be reproduced in any form without the written permission of the IT Governance Institute

Copyright 1996 1998 2000 2005 2007 Information Systems Audit and Control Foundation Inc amp IT Governance Institute Rolling Meadows Illinois USA Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite de lrsquoIT Governance Institute

Copyright 2000 2002 2006 2008 AFAI Tous droits reacuteserveacutes Reproduction mecircme partielle interdite sans lrsquoautorisation eacutecrite du Conseil drsquoAdministration de lrsquoAFAI

REMERCIEMENTS

Lrsquoeacutedition franccedilaise de COBIT 41 est lœuvre de la Commission COBIT de lAFAI preacutesideacutee par Jean-Louis BLEICHER Administrateur de lrsquoAFAI Banque Feacutedeacuterale des Banques Populaires


COBIT41

Page volontairement laisseacutee blanche


COBIT41

REMERCIEMENTS

LrsquoIT Governance Institute tient agrave remercier Les experts les reacutealisateurs et les reacuteviseurs Mark Adler CISA CISM CIA CISSP Allstate Ins Co USA Peter Andrews CISA CITP MCMI PJA Consulting UK Georges Ataya CISA CISM CISSP MSCS PBA Solvay Business School Belgium Gary Austin CISA CIA CISSP CGFM KPMG LLP USA Gary S Baker CA Deloitte amp Touche Canada David H Barnett CISM CISSP Applera Corp USA Christine Bellino CPA CITP Jefferson Wells USA John W Beveridge CISA CISM CFE CGFM CQA Massachusetts Office of the State Auditor USA Alan Boardman CISA CISM CA CISSP Fox IT UK David Bonewell CISA CISSP-ISSEP Accomac Consulting LLC USA Dirk Bruyndonckx CISA CISM KPMG Advisory Belgium Don Canilglia CISA CISM USA Luis A Capua CISM Sindicatura General de la Nacioacuten Argentina Boyd Carter PMP Elegantsolutionsca Canada Dan Casciano CISA Ernst amp Young LLP USA Sean V Casey CISA CPA USA Sushil Chatterji Edutech Singapore Ed Chavennes Ernst amp Young LLP USA Christina Cheng CISA CISSP SSCP Deloitte amp Touche LLP USA Dharmesh Choksey CISA CPA CISSP PMP KPMG LLP USA Jeffrey D Custer CISA CPA CIA Ernst amp Young LLP USA Beverly G Davis CISA Federal Home Loan Bank of San Francisco USA Peter De Bruyne CISA Banksys Belgium Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Philip De Picker CISA MCA National Bank of Belgium Belgium Kimberly de Vries CISA PMP Zurich Financial Services USA Roger S Debreceny PhD FCPA University of Hawaii USA Zama Dlamini Deloitte amp Touche LLP South Africa Rupert Dodds CISA CISM FCA KPMG New Zealand Troy DuMoulin Pink Elephant Canada Bill A Durrand CISA CISM CA Ernst amp Young LLP Canada Justus Ekeigwe CISA MBCS Deloitte amp Touche LLP USA Rafael Eduardo Fabius CISA Republica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Christopher Fox ACA PricewaterhouseCoopers USA Bob Frelinger CISA Sun Microsystems Inc USA Zhiwei Fu Ph D Fannie Mae USA Monique Garsoux Dexia Bank Belgium Edson Gin CISA CFE SSCP USA Sauvik Ghosh CISA CIA CISSP CPA Ernst amp Young LLP USA Guy Groner CISA CIA CISSP USA Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Benjamin K Hsaio CISA Federal Deposit Insurance Corp USA Tom Hughes Acumen Alliance Australia Monica Jain CSQA Covansys Corp US Wayne D Jones CISA Australian National Audit Office Australia John A Kay CISA USA Lisa Kinyon CISA Countrywide USA Rodney Kocot Systems Control and Security Inc USA Luc Kordel CISA CISM CISSP CIA RE RFA Dexia Bank Belgium Linda Kostic CISA CPA USA John W Lainhart IV CISA CISM IBM USA Philip Le Grand Capita Education Services UK Elsa K Lee CISA CISM CSQA AdvanSoft International Inc USA Kenny K Lee CISA CISSP Countrywide SMART Governance USA Debbie Lew CISA Ernst amp Young LLP USA

copy 2008 AFAI Tous droits reacuteserveacutes wwwafaifr 1

COBIT41

REMERCIEMENTS (SUITE)

Donald Lorete CPA Deloitte amp Touche LLP USA Addie CP Lui MCSA MCSE First Hawaiian Bank USA Debra Mallette CISA CSSBB Kaiser Permanente USA Charles Mansour CISA Charles Mansour Audit amp Risk Service UK Mario Micallef CPAA FIA National Australia Bank Group Australia Niels Thor Mikkelsen CISA CIA Danske Bank Denmark John Mitchell CISA CFE CITP FBCS FIIA MIIA QiCA LHS Business Control UK Anita Montgomery CISA CIA Countrywide USA Karl Muise CISA City National Bank USA Jay S Munnelly CISA CIA CGFM Federal Deposit Insurance Corp USA Sang Nguyen CISA CISSP MCSE Nova Southeastern University USA Ed OrsquoDonnell PhD CPA University of Kansas USA Sue Owen Department of Veterans Affairs Australia Robert G Parker CISA CA CMC FCA Robert G Parker Consulting Canada Robert Payne Trencor Services (Pty) Ltd South Africa Thomas Phelps IV CISA PricewaterhouseCoopers LLP USA Vitor Prisca CISM Novabase Portugal Martin Rosenberg PhD IT Business Management UK Claus Rosenquist CISA TrygVesata Denmark Jaco Sadie Sasol South Africa Max Shanahan CISA FCPA Max Shanahan amp Associates Australia Craig W Silverthorne CISA CISM CPA IBM Business Consulting Services USA Chad Smith Great-West Life Canada Roger Southgate CISA CISM FCCA CubeIT Management Ltd UK Paula Spinner CSC USA Mark Stanley CISA Toyota Financial Services USA Dirk E Steuperaert CISA PricewaterhouseCoopers Belgium Robert E Stroud CA Inc USA Scott L Summers PhD Brigham Young University USA Lance M Turcato CISA CISM CPA City of Phoenix IT Audit Division USA Wim Van Grembergen PhD University of Antwerp Management School Belgium Johan Van Grieken CISA Deloitte Belgium Greet Volders Voquals NV Belgium Thomas M Wagner Gartner Inc USA Robert M Walters CISA CPA CGA Office of the Comptroller General Canada Freddy Withagels CISA Capgemini Belgium Tom Wong CISA CIA CMA Ernst amp Young LLP Canada Amanda Xu CISA PMP KPMG LLP USA

Le Conseil drsquoAdministration de lrsquoITGI Everett C Johnson CPA Deloitte amp Touche LLP (retired) USA International President Georges Ataya CISA CISM CISSP Solvay Business School Belgium Vice President William C Boni CISM Motorola USA Vice President Avinash Kadam CISA CISM CISSP CBCP GSEC GCIH Miel e-Security Pvt Ltd India Vice President Jean-Louis Leignel MAGE Conseil France Vice President Lucio Augusto Molina Focazzio CISA Colombia Vice President Howard Nicholson CISA City of Salisbury Australia Vice President Frank Yam CISA FHKIoD FHKCS FFA CIA CFE CCP CFSA Focus Strategic Group Hong Kong Vice President Marios Damianides CISA CISM CA CPA Ernst amp Young LLP USA Past International President Robert S Roussey CPA University of Southern California USA Past International President Ronald Saull CSP Great-West Life and IGM Financial Canada Trustee

Le Comiteacute IT Governance Tony Hayes FCPA Queensland Government Australia Chair Max Blecher Virtual Alliance South Africa Sushil Chatterji Edutech Singapore Anil Jogani CISA FCA Tally Solutions Limited UK John W Lainhart IV CISA CISM IBM USA Roacutemulo Lomparte CISA Banco de Creacutedito BCP Peru Michael Schirmbrand PhD CISA CISM CPA KPMG LLP Austria Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada


COBIT41 Le Comiteacute de pilotage COBIT Roger Debreceny PhD FCPA University of Hawaii USA Chair Gary S Baker CA Deloitte amp Touche Canada Dan Casciano CISA Ernst amp Young LLP USA Steven De Haes University of Antwerp Management School Belgium Peter De Koninck CISA CFSA CIA SWIFT SC Belgium Rafael Eduardo Fabius CISA Repuacuteblica AFAP SA Uruguay Urs Fischer CISA CIA CPA (Swiss) Swiss Life Switzerland Erik Guldentops CISA CISM University of Antwerp Management School Belgium Gary Hardy IT Winners South Africa Jimmy Heschl CISA CISM KPMG Austria Debbie A Lew CISA Ernst amp Young LLP USA Maxwell J Shanahan CISA FCPA Max Shanahan amp Associates Australia Dirk Steuperaert CISA PricewaterhouseCoopers LLC Belgium Robert E Stroud CA Inc USA

Les conseillers de lrsquoITGI Ronald Saull CSP Great-West Life Assurance and IGM Financial Canada Chair Roland Bader F Hoffmann-La Roche AG Switzerland Linda Betz IBM Corporation USA Jean-Pierre Corniou Renault France Rob Clyde CISM Symantec USA Richard Granger NHS Connecting for Health UK Howard Schmidt CISM RampH Security Consulting LLC USA Alex Siow Yuen Khong StarHub Ltd Singapore Amit Yoran Yoran Associates USA

Les sponsors et membres affilieacutes de lrsquoITGI ISACA chapters American Institute for Certified Public Accountants ASIS International The Center for Internet Security Commonwealth Association of Corporate Governance FIDA Inform Information Security Forum The Information Systems Security Association Institut de la Gouvernance des Systegravemes drsquoInformation Institute of Management Accountants ISACA ITGI Japan Solvay Business School University of Antwerp Management School Aldion Consulting Pte Lte CA Hewlett-Packard IBM LogLogic Inc Phoenix Business and Systems Process Inc Symantec Corporation Wolcott Group LLC World Pass IT Solutions


COBIT41 TABLE DES MATIEgraveRES

SYNTHEgraveSE 5

CADRE DE REacuteFEacuteRENCE COBIT 9

PLANIFIER ET ORGANISER 29

ACQUEacuteRIR ET IMPLEacuteMENTER 73

DEacuteLIVRER ET SUPPORTER 101

SURVEILLER ET EVALUER 153

ANNEXE I ndash LIENS ENTRE OBJECTIFS ET PROCESSUS 169

ANNEXE II ndash LIENS ENTRE LES PROCESSUS INFORMATIQUES ET LES DOMAINES DE LA GOUVERNANCE DES SI LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT 173

ANNEXE III ndash MODEgraveLES DE MATURITEacute POUR LE CONTROcircLE INTERNE 175

ANNEXE IV - DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41 177

ANNEXE V ndash TABLEAU DES CORRESPONDANCES ENTRE COBIT 3E EacuteDITION ET COBIT 41 179

ANNEXE VI ndash APPROCHE RECHERCHE ET DEacuteVELOPPEMENT 187

ANNEXE VII ndash GLOSSAIRE 189

ANNEXE VIII ndash COBIT ET PRODUITS DE LA FAMILLE COBIT 195


SY

NT

HEgrave

SE

SYNTHEgraveSE

SYNTHEgraveSE

SYNTHEgraveSE

Pour beaucoup dentreprises linformation et la technologie sur laquelle elle sappuie constituent les actifs les plus preacutecieux mecircme si elles sont souvent les moins bien perccedilues Les entreprises qui reacuteussissent connaissent les avantages des technologies de linformation et les utilisent pour apporter de la valeur agrave leurs parties prenantes Ces entreprises comprennent et gegraverent aussi les contraintes et les risques connexes comme lobligation de se soumettre agrave des regravegles de conformiteacute de plus en plus contraignantes et la deacutependance de plus en plus forte de nombreux processus meacutetiers vis-agrave-vis des systegravemes dinformation (SI)

Le besoin de sassurer de la valeur des SI la gestion des risques qui leur sont lieacutes et les exigences croissantes de controcircle sur linformation sont deacutesormais reconnus comme des eacuteleacutements cleacutes de la gouvernance dentreprise Valeur risque et controcircle constituent le cœur de la gouvernance des SI

La gouvernance des SI est de la responsabiliteacute des dirigeants et du conseil dadministration et elle est constitueacutee des structures et processus de commandement et de fonctionnement qui conduisent linformatique de lentreprise agrave soutenir les strateacutegies et les objectifs de lentreprise et agrave lui permettre de les eacutelargir

De plus la gouvernance des SI integravegre et institutionnalise les bonnes pratiques pour sassurer quelles soutiennent la mise en œuvre des objectifs meacutetiers La gouvernance des SI permet agrave lentreprise de tirer pleinement profit de ses donneacutees maximisant ainsi ses beacuteneacutefices capitalisant sur les opportuniteacutes qui se preacutesentent et gagnant un avantage concurrentiel Pour y parvenir il convient dutiliser un reacutefeacuterentiel pour le controcircle des SI qui adopte les principes du Committee of Sponsoring Organisations of the Treadway Commission (COSO) Internal Control-Integrated Framework reacutefeacuterentiel de gouvernance dentreprise et de gestion des risques largement reconnu et dautres reacutefeacuterentiels semblables qui se conforment aux mecircmes principes

Les entreprises doivent satisfaire aux exigences fiduciaires ainsi quaux exigences de qualiteacute et de seacutecuriteacute pour leur information comme pour tous leurs autres actifs Les dirigeants doivent aussi optimiser lutilisation des ressources informatiques disponibles applications donneacutees infrastructures et personnels Pour sacquitter de ces responsabiliteacutes comme pour atteindre ces objectifs ils doivent connaicirctre la situation de leur architecture systegraveme et deacutecider quelle gouvernance et quels controcircles informatiques ils doivent mettre en place

Objectifs de Controcircle de lInformation et des technologies associeacutees (Control Objectives for Information and related Technology COBITreg) propose les bonnes pratiques dans un cadre de reacutefeacuterence par domaine et par processus et preacutesente les activiteacutes dans une structure logique facile agrave appreacutehender Les bonnes pratiques de COBIT sont le fruit dun consensus dexperts Elles sont tregraves axeacutees sur le controcircle et moins sur lexeacutecution des processus Elles ont pour but daider agrave optimiser les investissements informatiques agrave assurer la fourniture des services et agrave fournir des outils de mesure (meacutetriques) auxquels se reacutefeacuterer pour eacutevaluer les dysfonctionnements

Pour que linformatique reacuteponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systegraveme de controcircle ou un cadre de controcircle interne Pour reacutepondre agrave ce besoin le cadre de reacutefeacuterence de controcircle de COBIT bull eacutetablit un lien avec les exigences meacutetiers de lentreprise bull structure les activiteacutes informatiques selon un modegravele de processus largement reconnu bull identifie les principales ressources informatiques agrave mobiliser bull deacutefinit les objectifs de controcircle agrave prendre en compte

Lorientation meacutetiers de COBIT consiste agrave lier les objectifs meacutetiers aux objectifs informatiques agrave fournir les meacutetriques (ce qui doit ecirctre mesureacute et comment) et les modegraveles de maturiteacute pour faire apparaicirctre leur degreacute de reacuteussite et agrave identifier les responsabiliteacutes communes aux proprieacutetaires de processus meacutetiers et aux proprieacutetaires de processus informatiques

Lorientation processus de COBIT est illustreacutee par un modegravele de processus qui subdivise la gestion des Systegravemes dInformation en quatre domaines et 34 processus reacutepartis entre les domaines de responsabiliteacutes que sont planifier mettre en place faire fonctionner et surveiller donnant ainsi une vision complegravete de lactiviteacute informatique Les concepts darchitecture dentreprise aident agrave identifier les ressources essentielles au bon deacuteroulement des processus comme les applications linformation les infrastructures et les personnes

En reacutesumeacute pour fournir les informations dont lentreprise a besoin pour reacutealiser ses objectifs les ressources informatiques doivent ecirctre geacutereacutees par un ensemble de processus regroupeacutes selon une certaine logique

Mais comment controcircler les systegravemes dinformation pour quils fournissent les donneacutees dont lentreprise a besoin Comment gegraverent-ils les risques lieacutes aux ressources informatiques dont elles sont si deacutependantes et comment seacutecuriser celles-ci Comment lentreprise peut-elle sassurer que linformatique atteint ses objectifs et concourt au succegraves des siens propres

Les dirigeants ont dabord besoin dobjectifs de controcircle qui deacutefinissent les objectifs ultimes des politiques des plans des proceacutedures et des structures organisationnelles de lentreprise conccedilues pour fournir lassurance raisonnable que bull les objectifs de lentreprise seront atteints bull des dispositifs sont en place pour preacutevenir ou deacutetecter et corriger les eacuteveacutenements indeacutesirables


ndash

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT D

E

VALEURA

LIGNEMENT

STRATEGIQUE

Tableaux de bord

Tableaux de bord eacutequilibreacutes

Tests comparatifs

Figure 1 ndash Information du management

ndash

COBIT41 Ensuite dans les environnements complexes daujourdhui le management est continuellement agrave la recherche dinformations condenseacutees et disponibles en temps utile lui permettant de prendre rapidement des deacutecisions difficiles en matiegravere de valeur de risque et de controcircle Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer objectivement ougrave elles en sont et ougrave elles doivent apporter des ameacuteliorations et elles ont besoin dimpleacutementer des outils de gestion pour surveiller ces ameacuteliorations La figure 1 montre certaines questions classiques et les outils de gestion de linformation utiliseacutes pour trouver les reacuteponses Mais ces tableaux de bord neacutecessitent des indicateurs les tableaux de bord eacutequilibreacutes des mesures et les tests comparatifs une eacutechelle de comparaison

Comment les responsables maintiennentshyils

le navire sur le bon cap

Comment obtenir des reacutesultats satisfaisantspour le plus grand nombre possible desparties prenantes

Comment adapter en temps utile lrsquoentrepriseaux tendances et aux deacuteveloppements deson environnement professionnel

Indicateurs

Mesures

Echelles

Tableaux de bord


Tests comparatifs



Comment obtenir des reacutesultats satisfaisants pour le plus grand nombre possible des parties prenantes

Comment adapter en temps utile lrsquoentreprise aux tendances et aux deacuteveloppements de son environnement professionnel

Indicateurs

Mesures

Echelles

Figure 1 Information du management

La reacuteponse agrave ce besoin de deacuteterminer et de surveiller les niveaux approprieacutes de controcircle et de performance de linformatique est la deacutefinition donneacutee par COBIT des eacuteleacutements suivants bull Tests comparatifs de la capaciteacute et des performances des processus informatiques preacutesenteacutes sous la forme de modegraveles de maturiteacute inspireacutes

du Capability Maturity Model (CMM) du Software Engineering Institute bull Objectifs et meacutetriques des processus informatiques pour deacutefinir et mesurer leurs reacutesultats et leurs performances selon les principes du

tableau de bord eacutequilibreacute (Balanced Scorecard) de Robert Kaplan et David Norton bull Objectifs des activiteacutes pour mettre ces processus sous controcircle en se basant sur les objectifs de controcircle de COBIT

Leacutevaluation de la capaciteacute des processus au moyen des modegraveles de maturiteacute de COBIT est un eacuteleacutement cleacute de la mise en place dune gouvernance des SI Lorsquon a identifieacute les processus et les controcircles informatiques essentiels le modegravele de maturiteacute permet de mettre en eacutevidence les deacutefauts de maturiteacute et den faire la deacutemonstration au management On peut alors concevoir des plans daction pour amener ces processus au niveau de maturiteacute deacutesireacute

COBIT concourt ainsi agrave la gouvernance des SI (figure 2) en fournissant un cadre de reacutefeacuterence qui permet de sassurer que bull les SI sont aligneacutes sur les meacutetiers de lentreprise bull les SI apportent un plus aux meacutetiers et maximisent ses reacutesultats bull les ressources des SI sont utiliseacutees de faccedilon responsable bull les risques lieacutes aux SI sont geacutereacutes comme il convient

La mesure de la performance est essentielle agrave la gouvernance des SI Elle est un eacuteleacutement de COBIT et consiste entre autres agrave fixer et agrave surveiller des objectifs mesurables pour ce que les processus informatiques sont censeacutes fournir (reacutesultat du processus) et pour la faccedilon dont ils le fournissent (capaciteacute et performance du processus) De nombreuses eacutetudes ont montreacute que le manque de transparence des coucircts de la valeur et des risques des SI est lune de motivations principales pour mettre en place une gouvernance des SI Si dautres domaines y contribuent cest essentiellement la mesure des performances qui permet la transparence

Figure 2 Domaines de la Gouvernance des SI

bull LrsquoAlignement Strateacutegique consiste agrave srsquoassurer que les plans informatiques restent aligneacutes sur les plans des meacutetiers agrave deacutefinir tenir agrave jour et valider les propositions de valeur ajouteacutee de lrsquoinformatique et agrave aligner le fonctionnement de lrsquoinformatique sur le fonctionnement de lrsquoentreprise

GOUVERNANCE

DES SI

GESTION DES RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE

bull LrsquoApport de valeur consiste agrave mettre en œuvre la proposition de valeur ajouteacutee tout au long du cycle de fourniture du service agrave srsquoassurer que lrsquoinformatique apporte bien les beacuteneacutefices attendus sur le plan strateacutegique agrave srsquoattacher agrave optimiser les coucircts et agrave prouver la valeur intrinsegraveque des SI

bull La Gestion des ressources consiste agrave optimiser lrsquoinvestissement dans les ressources informatiques vitales et agrave bien les geacuterer applications informations infrastructures et personnes Les questions cleacutes concernent lrsquooptimisation des connaissances et de lrsquoinfrastructure

bull La Gestion des risques exige une conscience des risques de la part des cadres supeacuterieurs une vision claire de lrsquoappeacutetence de lrsquoentreprise pour le risque une bonne connaissance des exigences de conformiteacute de la transparence agrave propos des risques significatifs encourus par lrsquoentreprise et lrsquoattribution des responsabiliteacutes en matiegravere de gestion des risques au sein de lrsquoentreprise

bull La Mesure de la performance consiste en un suivi et une surveillance de la mise en œuvre de la strateacutegie de lrsquoaboutissement des projets de lrsquoutilisation des ressources de la performance des processus et de la fourniture des services en utilisant par exemple des tableaux de bord eacutequilibreacutes qui traduisent la strateacutegie en actions orienteacutees vers lrsquoatteinte drsquoobjectifs mesurables autrement que par la comptabiliteacute conventionnelle


Comment le conseil

d administration exerce t il sa

responsabiliteacute

Dirigeants et Administrateurs

Comment mesurer la performance Comment se comparer aux autres

Et comment s ameacuteliorer

Responsables meacutetier et informatique

Comment eacutevaluer le reacutefeacuterentiel de

gouvernance des SI

Quel est le reacutefeacuterentiel de

gouvernance des SI

Comment le mettre en place dans l entreprise

Professionnels de la gouvernance de l assurance du controcircle et de la seacutecuriteacute

Gu de de management

Figure 3 ndash Scheacutema du contenu de COBIT

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

ndash

SYNTHEgraveSE Ces domaines de la gouvernance des SI preacutesentent les questions que les dirigeants doivent examiner pour mettre en place cette gouvernance dans leur entreprise La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables meacutetiers de disposer dun modegravele de reacutefeacuterence commun COBIT propose dans lannexe II (Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT) un tableau qui met en regard les processus informatiques et les domaines de gouvernance pour faire le lien entre les tacircches des responsables informatiques et les objectifs de gouvernance de la direction geacuteneacuterale

Pour que cette gouvernance soit efficace les dirigeants doivent exiger des directions informatiques quelles mettent en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus et les controcircles des SI

COBIT sinteacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequats des SI au niveau geacuteneacuteral COBIT se conforme agrave dautres standards informatiques plus deacutetailleacutes et aux bonnes pratiques (voir annexe IV Documents de reacutefeacuterence de COBIT 41) COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un mecircme cadre de reacutefeacuterence geacuteneacuteral qui fait aussi le lien avec les exigences de gouvernance et les exigences opeacuterationnelles

COSO (comme dautres reacutefeacuterentiels compatibles semblables) est couramment accepteacute comme le cadre de reacutefeacuterence du controcircle interne des entreprises COBIT est la reacutefeacuterence geacuteneacuteralement accepteacutee du controcircle interne des SI

Les produits COBIT sorganisent en trois niveaux (figure 3) conccedilus pour apporter leur aide bull aux dirigeants et administrateurs bull aux directions opeacuterationnelles et

informatiques bull aux professionnels de la gouvernance de

lassurance du controcircle et de la seacutecuriteacute

En quelques mots les produits COBIT sont composeacutes des eacuteleacutements suivants bull Conseils aux dirigeants dentreprises pour la

gouvernance des SI 2e eacutedition ce document aide les dirigeants agrave comprendre limportance de la gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre

bull Guide de managementmodegraveles de maturiteacute ces outils permettent de reacutepartir les responsabiliteacutes de mesurer la performance de tester la capaciteacute et de trouver des reacuteponses aux insuffisances dans ce domaine

bull Cadres de reacutefeacuterence ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques par domaine informatique et par processus et de les relier aux exigences meacutetiers

bull Objectifs de controcircle ils fournissent un large

rsquo- -

rsquo

rsquo

rsquo

Guide drsquoaudit des SIGuide drsquoimpleacutementation de lagouvernance des SI

2egraveme eacutedition

Pratiques cleacutes de gestion

Objectifs de Controcircle

Reacutefeacuterentiels COBIT et VALIT

Pratiques de controcircle COBIT


Conseils aux dirigeants pour lagouvernance des SI


Modegraveles de maturiteacute

i

Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour desfonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT etGouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprisesspeacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dunprogramme plus large de gouvernance des SI)

rsquo- -

rsquo

rsquo

rsquo











i

rsquo- -

rsquo

rsquo

rsquo

Comment le conseil

drsquoadministration exerce-t-il sa

responsabiliteacute



Et comment srsquoameacuteliorer



gouvernance des SI


gouvernance des SI

Comment le mettre en place dans lrsquoentreprise

Professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute

Guide drsquoaudit des SIGuide drsquoimpleacutementation de la gouvernance des SI







Conseils aux dirigeants pour la gouvernance des SI



i


Guide de management

Ce scheacutema de produit baseacute sur COBIT preacutesente les produits geacuteneacuteralement applicables et leur public principal Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres (Objectifs de controcircle des SI pour SarbanesshyOxley 2egraveme eacutedition) dans des domaines comme la seacutecuriteacute (Bases de seacutecuriteacute COBIT et Gouvernance de la seacutecuriteacute de linformation Recommandations destineacutees aux conseils dadministration et aux directions geacuteneacuterales) ou pour des entreprises speacutecifiques (COBIT Quickstart pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent acceacuteleacuterer la mise en œuvre dun programme plus large de gouvernance des SI)

Figure 3 Scheacutema du contenu de COBIT

eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique

bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT reg et Val ITtrade 2egraveme Eacutedition ce guide fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val ITtrade

bull Pratiques de controcircle COBITreg Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition conseils sur limportance des controcircles et sur la faccedilon de les mettre en place

bull Guide dAudit de lrsquoinformatique Utilisation de COBIT reg ce guide fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes types daudit ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle

Le scheacutema de contenu COBIT de la figure 3 preacutesente les principaux publics leurs questions sur la gouvernance des SI et les produits qui permettent geacuteneacuteralement dy apporter des reacuteponses Il existe eacutegalement des produits deacuteriveacutes pour des fonctions particuliegraveres dans des domaines comme la seacutecuriteacute ou pour des entreprises speacutecifiques


Processus informatiques

Objectifs informatiques

Objectifs de controcircle

Tests de controcircle du reacutesultat

Activiteacutescleacutes

Tableau desresponsabiliteacutes

et des approbations

Indicateurs de performance

Mesures des reacutesultats


Tests de controcircle de

la conception

Pratiques de controcircle

Objectifs meacutetiers

Figure 4 ndash Relations entre les composants de COBIT







et des approbations





la conception





ndash

COBIT41 Tous ces composants COBIT sont relieacutes entre eux et visent agrave reacutepondre aux besoins de gouvernance de gestion de controcircle et dassurances de diffeacuterents acteurs comme le montre la figure 4

Figure 4 Relations entre les composants de COBIT

Tableau des responsabiliteacutes

et des approbations

eeeffffffeeecccttt





Activiteacutes cleacutes





la conception



bbbeeesssoooiiinnnsss iiinnnfffooorrrmmmaaatttiiiooonnn

dddeacuteeacuteeacutecccooommmpppooossseacuteeacuteeacutesss eeennn

uuueacuteeacuteeacuteeeesss pppaaarrr

mmmeeesss

uuurrreacuteeacuteeacutesss pppaaarrr

aaauuudddiiittteacuteeacuteeacutessspppaaarrr

cccooonnntttrrrocircocircocircllleacuteeacuteeacutesss pppaaarrr

dddeacuteeacuteeacutecccooouuulllaaannnttt dddeee

iiimmmpppllleacuteeacuteeacutemmm

eeennnttteacuteeacuteeacutessspppaaarrr

aaauuudddiiittteacuteeacuteeacutesss pppaaarrr

pppooouuurrrlllaaa

mmmaaatttuuurrriiittteacuteeacuteeacute

pppooouuurrr

llleeerrreacuteeacuteeacute

sssuuulllttt

aaattt

pppooouuurrr lllaaapppeeerrr

fffooorrrmmm

aaannnccceee

bbbaaassseacuteeacuteeacutesss sssuuurrr

COBIT est un cadre de reacutefeacuterence et un ensemble doutils permettant aux dirigeants de faire le lien entre les exigences du controcircle les probleacutematiques techniques et les risques meacutetiers et de communiquer avec les parties prenantes sur ce niveau de controcircle COBIT permet deacutelaborer des politiques claires et des bonnes pratiques pour la maicirctrise des SI dans toutes les entreprises COBIT est en permanence tenu agrave jour et harmoniseacute avec les autres standards et recommandations COBIT est ainsi devenu linteacutegrateur des bonnes pratiques en technologies de linformation et le reacutefeacuterentiel geacuteneacuteral de la gouvernance des SI qui aide agrave comprendre et agrave geacuterer les risques et les beacuteneacutefices qui leur sont associeacutes COBIT est organiseacute par processus et sa faccedilon daborder lentreprise par les meacutetiers apporte une vision des SI qui couvre lensemble de leur champ dapplication et des deacutecisions agrave prendre pour ce qui les concerne

Ladoption de COBIT comme cadre de gouvernance des SI offre les avantages suivants bull un meilleur alignement de linformatique sur lactiviteacute de lentreprise du fait de son orientation meacutetiers bull une vision compreacutehensible par le management de ce que fait linformatique bull une attribution claire de la proprieacuteteacute et des responsabiliteacutes du fait de lapproche par processus bull un preacutejugeacute favorable de la part des tiers et des organismes de controcircle bull une compreacutehension partageacutee par toutes les parties prenantes gracircce agrave un langage commun bull le respect des exigences du COSO pour le controcircle de lenvironnement informatique

Le reste de ce document propose une description du Cadre de Reacutefeacuterence de COBIT et tous les composants essentiels de COBIT preacutesenteacutes par domaine (les 4 domaines informatiques) et par processus (les 34 processus informatiques) de COBIT Lensemble constitue un manuel de reacutefeacuterence facile agrave consulter des principaux constituants de COBIT Plusieurs annexes proposent eacutegalement des reacutefeacuterences utiles

Les informations les plus complegravetes et les plus reacutecentes sur COBIT et les produits connexes (outils en ligne guides de mise en œuvre eacutetudes de cas lettres dinformation mateacuteriel peacutedagogique etc) sont disponibles sur wwwisacaorgcobit


CADRE DE REacuteFEacuteRENCE

CA

DR

E D

E

REacute

FEacuteR

EN

CE


CADRE DE REacuteFEacuteRENCE COBIT

La mission de COBIT

Elle consiste agrave imaginer mettre au point publier et promouvoir un cadre de reacutefeacuterence de controcircle de la gouvernance des SI actualiseacute reconnu dans le monde entier et faisant autoriteacute Ce cadre de reacutefeacuterence devra ecirctre adopteacute par les entreprises et utiliseacute quotidiennement par les dirigeants les professionnels de linformatique et les professionnels de lassurance

LE BESOIN DUN CADRE DE REacuteFEacuteRENCE POUR LA GOUVERNANCE DES SI

Le cadre de reacutefeacuterence pour la gouvernance des SI deacutefinit les raisons pour lesquelles la gouvernance des SI est neacutecessaire les diffeacuterentes parties prenantes et sa mission

Pourquoi

Les dirigeants ont de plus en plus conscience de limpact significatif de linformation sur le succegraves de lentreprise Ils sattendent agrave ce que lon comprenne de mieux en mieux comment sont utiliseacutees les technologies de linformation et la probabiliteacute quelles contribuent avec succegraves agrave donner un avantage concurrentiel agrave lentreprise Ils veulent savoir en particulier si la gestion des SI peut leur permettre bull datteindre leurs objectifs bull davoir assez de reacutesilience pour apprendre et sadapter bull de geacuterer judicieusement les risques auxquels ils doivent faire face bull de savoir bien identifier les opportuniteacutes et dagir pour en tirer parti

Les entreprises qui reacuteussissent comprennent les risques exploitent les avantages des SI et trouvent comment bull aligner la strateacutegie de linformatique sur celle de lentreprise bull assurer aux investisseurs et aux actionnaires que lentreprise respecte une norme de prudence et de diligence relative agrave la reacuteduction des

risques informatiques bull reacutepercuter la strateacutegie et les objectifs de linformatique dans lentreprise bull faire en sorte que linvestissement informatique produise de la valeur bull apporter les structures qui faciliteront la mise en œuvre de cette strateacutegie et de ces objectifs bull susciter des relations constructives entre les meacutetiers et linformatique et avec les partenaires externes bull mesurer la performance des SI

Les entreprises ne peuvent pas reacutepondre efficacement agrave ces exigences meacutetiers et agrave celles de la gouvernance sans adopter et mettre en œuvre un cadre de reacutefeacuterence pour la gouvernance et pour les controcircles qui permette aux directions des SI bull deacutetablir un lien avec les exigences meacutetiers de lentreprise bull de rendre leurs performances transparentes par rapport agrave ces exigences bull dorganiser leurs activiteacutes selon un modegravele de processus largement reconnu bull didentifier les principales ressources informatiques agrave mobiliser bull de deacutefinir les objectifs de controcircle de management agrave envisager

Par ailleurs les reacutefeacuterentiels de gouvernance et de controcircle font deacutesormais partie des bonnes pratiques de gestion des SI ils sont aussi un moyen de faciliter la mise en place de la gouvernance des SI et de se conformer aux exigences reacuteglementaires toujours plus nombreuses

Les bonnes pratiques informatiques ont gagneacute leurs galons gracircce agrave un certain nombre de facteurs bull lexigence du meilleur retour sur investissements de leurs SI par les dirigeants et les administrateurs autrement dit il convient de faire en

sorte que linformatique fournisse agrave lentreprise ce dont elle a besoin pour apporter une valeur accrue aux parties prenantes bull la preacuteoccupation de voir le niveau de deacutepenses informatiques augmenter assez systeacutematiquement bull le besoin de reacutepondre aux exigences reacuteglementaires de controcircle des SI dans des domaines comme le respect de la vie priveacutee et la

publication des reacutesultats financiers (par exemple la loi ameacutericaine Sarbanes-Oxley Bacircle II) et dans des secteurs speacutecifiques comme la finance les produits pharmaceutiques et la santeacute

bull la seacutelection de fournisseurs de services la gestion de services externaliseacutes et la gestion des achats bull la complexiteacute croissante des risques informatiques comme la seacutecuriteacute des reacuteseaux bull les initiatives de la gouvernance des SI qui font une place aux reacutefeacuterentiels de controcircle et aux bonnes pratiques pour aider agrave la surveillance

et agrave lameacutelioration des activiteacutes informatiques strateacutegiques de faccedilon agrave augmenter la valeur et reacuteduire les risques pour lentreprise bull le besoin doptimiser les coucircts en adoptant chaque fois que cest possible des approches standardiseacutees plutocirct quindividualiseacutees bull une plus grande maturiteacute caracteacuteriseacutee par ladoption de reacutefeacuterentiels reacuteputeacutes comme COBIT ITIL (IT Infrastructure Library) la seacuterie ISO

27000 sur les normes lieacutees agrave la seacutecuriteacute de linformation la norme ISO 90012000 Systegravemes de management de la qualiteacute - Exigences le CMMI (Capability Maturity Modelreg Integration) PRINCE2 (Projects in Controlled Environments 2) et PMBOK (A Guide to the Project Management Body of Knowledge)

bull le besoin queacuteprouvent les entreprises deacutevaluer leurs performances par rapport aux normes communeacutement accepteacutees et vis-agrave-vis de leurs pairs (analyse comparative - benchmarking)


Exigencesmeacutetiers

InformationsEntreprise

Ressourcesinformatiques

Processusinformatiques

COBIT

Figure 5 ndash Principe de base de COBIT

ndash

COBIT41 Qui

Un reacutefeacuterentiel de gouvernance et de controcircle sert les inteacuterecircts de diverses parties prenantes internes et externes dont chacune a des besoins speacutecifiques bull Les parties prenantes internes agrave lrsquoentreprise qui ont inteacuterecirct agrave voir les investissements informatiques geacuteneacuterer de la valeur sont

minus celles qui prennent les deacutecisions drsquoinvestissements minus celles qui deacutefinissent les exigences minus celles qui utilisent les services informatiques

bull Les parties prenantes internes et externes qui fournissent les services informatiques sont minus celles qui gegraverent lrsquoorganisation et les processus informatiques minus celles qui en deacuteveloppent les capaciteacutes minus celles qui exploitent les systegravemes drsquoinformation au quotidien

bull Les parties prenantes internes et externes qui ont des responsabiliteacutes dans le controcircle et le risque sont minus celles qui sont en charge de la seacutecuriteacute du respect de la vie priveacutee etou des risques minus celles qui sont en charge des questions de conformiteacute minus celles qui fournissent des services drsquoassurance ou qui en ont besoin

Quoi

Pour faire face agrave ces exigences un cadre de reacutefeacuterence pour la gouvernance et le controcircle des SI doivent respecter les speacutecifications geacuteneacuterales suivantes bull Fournir une vision meacutetiers qui permette drsquoaligner les objectifs de lrsquoinformatique sur ceux de lrsquoentreprise bull Eacutetablir un scheacutema par processus qui deacutefinisse ce que chacun drsquoeux recouvre avec une structure preacutecise qui permette de srsquoy retrouver

facilement bull Faire en sorte que lrsquoensemble puisse ecirctre geacuteneacuteralement accepteacute en se conformant aux meilleures pratiques et aux standards informatiques

et en restant indeacutependant des technologies speacutecifiques bull Fournir un langage commun avec son glossaire qui puisse ecirctre geacuteneacuteralement compris par toutes les parties prenantes bull Aider agrave remplir les obligations reacuteglementaires en se conformant aux standards geacuteneacuteralement accepteacutes de la gouvernance des entreprises

(ex COSO) et du controcircle informatique tels que les pratiquent les reacutegulateurs et les auditeurs externes

COMMENT COBIT REacutePOND Agrave CES BESOINS

Le cadre de reacutefeacuterence de COBIT reacutepond agrave ces besoins par quatre caracteacuteristiques principales il est centreacute sur les meacutetiers de lentreprise organiseacute par processus baseacute sur des controcircles et sappuie systeacutematiquement sur des mesures

Centreacute sur les meacutetiers

Lorientation meacutetiers est lideacutee centrale de COBIT Il est conccedilu non seulement pour ecirctre employeacute par les fournisseurs de services informatiques les utilisateurs et les auditeurs mais eacutegalement ce qui est le plus important comme un guide compreacutehensible par le management et par les proprieacutetaires de processus meacutetiers

Le cadre de reacutefeacuterence de COBIT se base sur le principe suivant (figure 5)

Pour fournir linformation dont elle a besoin pour atteindre ses objectifs lentreprise doit investir dans des ressources informatiques les geacuterer et les controcircler au moyen dun ensemble de processus structureacute pour fournir les services qui transmettent les donneacutees dont lentreprise a besoin

La gestion et le controcircle des informations sont au cœur du cadre de reacutefeacuterence de COBIT et permettent de sassurer que linformatique est aligneacutee sur les exigences meacutetiers de lentreprise

CRITEgraveRES DINFORMATION DE COBIT Pour satisfaire aux objectifs meacutetiers lentreprise linformation doit se conformer agrave certains critegraveres de controcircle que COBIT deacutefinit comme les exigences de lentreprise en matiegravere dinformation Agrave partir des impeacuteratifs plus larges de qualiteacute fiduciaires et de seacutecuriteacute on deacutefinit sept critegraveres dinformation distincts dont certains se recoupent bull LEfficaciteacute qualifie toute information pertinente utile aux processus meacutetiers livreacutee au moment opportun sous une forme correcte

coheacuterente et utilisable bull LEfficience qualifie la mise agrave disposition de linformation gracircce agrave lutilisation optimale (la plus productive et la plus eacuteconomique) des

ressources bull La Confidentialiteacute concerne la protection de linformation sensible contre toute divulgation non autoriseacutee

quireacutepondent

aux

pourfournir

qui sontutiliseacutees par

geacutenegraverent desInvestissements

dans

Exigences meacutetiers

Informations Entreprise

Ressources informatiques


COBIT

qui reacutepondent

aux

pour fournir

qui sont utiliseacutees par

geacutenegraverent des Investissements

dans

Figure 5 Principe de base de COBIT


Objectifs meacutetiers pour les SI

impliquent

influencentexigent

Critegraveresd information

Services informatiques

Exigences de la gouvernance


ont besoin


font tourner

Infrastructures et personnes

Applications

Informationsfournissent

Architecture informatique de l entreprise

Strateacutegie de

l entrepriseObjectifs

meacutetiers pour SI

Objectifs

informatiques

Architectureinformatique

de l entreprise

Tableaude bord

informatique

Figure 6 ndash Deacutefinir les objectifs informatiques et lrsquoarchitecture de lrsquoentreprise pour les SI


impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques


de l entreprise

Tableaude bord

informatique


impliquent

influencentexigent





ont besoin


font tourner


Applications





Applications

Informations

ndash rsquo rsquo

CADRE DE REacuteFEacuteRENCE bull LInteacutegriteacute touche agrave lexactitude et agrave lexhaustiviteacute de linformation ainsi quagrave sa validiteacute au regard des valeurs de lentreprise et de ses

attentes bull La Disponibiliteacute qualifie linformation dont peut disposer un processus meacutetier tant dans limmeacutediat quagrave lavenir Elle concerne aussi la

sauvegarde des ressources neacutecessaires et les moyens associeacutes bull La Conformiteacute consiste agrave se conformer aux lois aux reacuteglementations et aux clauses contractuelles auxquelles le processus meacutetier est

soumis cest-agrave-dire aux critegraveres professionnels imposeacutes par lexteacuterieur comme par les politiques internes bull La Fiabiliteacute concerne la fourniture dinformations approprieacutees qui permettent au management de piloter lentreprise et dexercer ses

responsabiliteacutes fiduciaires et de gouvernance

OBJECTIFS MEacuteTIERS ET OBJECTIFS INFORMATIQUES Si les critegraveres dinformation constituent un moyen geacuteneacuterique de deacutefinir les exigences meacutetiers eacutetablir un ensemble geacuteneacuterique dobjectifs meacutetiers et informatiques constitue une base plus deacutetailleacutee lieacutee agrave lactiviteacute de lentreprise pour deacutefinir les exigences meacutetiers et pour deacutevelopper les meacutetriques qui permettent de mesurer les reacutesultats par rapport agrave ces objectifs Chaque entreprise utilise linformatique pour favoriser les initiatives meacutetiers et celles-ci peuvent ecirctre consideacutereacutees comme des objectifs meacutetiers pour linformatique Lannexe I propose un tableau qui croise objectifs meacutetiers objectifs informatiques et critegraveres dinformation On peut utiliser ces exemples geacuteneacuteriques comme guide pour deacuteterminer les exigences meacutetiers les objectifs et les meacutetriques speacutecifiques agrave lentreprise

Si on veut que linformatique reacuteussisse agrave fournir les services qui favoriseront la strateacutegie de lentreprise le meacutetier (le client) doit ecirctre clairement responsable de fixer ses exigences et linformatique (le fournisseur) doit avoir une bonne compreacutehension de ce qui doit ecirctre livreacute et comment La figure 6 illustre comment la strateacutegie de lentreprise doit ecirctre traduite en objectifs lieacutes aux initiatives qui sappuient sur les SI (les objectifs meacutetiers des SI) Ces objectifs doivent conduire agrave une deacutefinition claire des objectifs propres aux SI (les objectifs informatiques) qui agrave leur tour deacutefinissent les ressources et les capaciteacutes informatiques (larchitecture informatique de lentreprise) requises pour le succegraves de la partie de la strateacutegie qui leur incombe1

Figure 6 Deacutefinir les objectifs informatiques et l architecture de l entreprise pour les SI


impliquent

influencentexigent

Critegraveres drsquorsquorsquorsquoinformation




ont besoin


font tourner


Applications

Informations fournissent

Architecture informatique de lrsquorsquorsquorsquoentreprise

Strateacutegie de

lrsquorsquorsquoentreprise Objectifs


Objectifs

informatiques

Architecture informatique

de lrsquorsquorsquoentreprise

Tableau de bord

informatique

Une fois les objectifs aligneacutes deacutefinis il faut les surveiller pour sassurer que ce qui est effectivement fourni correspond bien aux attentes Cela est rendu possible par les meacutetriques conccedilues agrave partir des objectifs et reacutepercuteacutees dans un tableau de bord informatique

Pour que le client puisse comprendre les objectifs informatiques et le tableau de bord informatique tous ces objectifs et les meacutetriques connexes doivent ecirctre exprimeacutes en termes meacutetiers compreacutehensibles par le client Et ceci combineacute agrave un alignement efficace de la hieacuterarchie des objectifs permettra agrave lentreprise de confirmer que ses objectifs seront probablement soutenus par les SI

Lannexe I (Eacutetablissement de liens entre les objectifs et les processus) montre dans un tableau global comment les objectifs meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres dinformation Ce tableau aide agrave comprendre quel est le champ daction de COBIT et quelles sont les relations geacuteneacuterales entre COBIT et les inducteurs de lentreprise Comme lillustre la figure 6 ces inducteurs proviennent du meacutetier et de la strate de gouvernance de lentreprise le premier eacutetant plus axeacute sur la fonctionnaliteacute et la vitesse de livraison tandis que la deuxiegraveme porte davantage sur la rentabiliteacute le retour sur investissement et la conformiteacute

Remarque La deacutefinition et la mise en œuvre dune architecture informatique de lentreprise entraicircneront eacutegalement la creacuteation dobjectifs informatiques internes qui contribuent aux objectifs meacutetier (mais nen deacutecoulent pas directement)


1

Objectifs de l entreprise

Inducteurs de gouvernance

Reacutesultats meacutetiers



Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Figure 7 ndash Geacuterer les ressources informatiques pour remplir les objectifs informatiques






Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

ndash

Planifier et Organiser

Surveiller et Evaluer

Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter

Figure 8 ndash Les quatre domaines interdeacutependants de COBIT



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter

ndash

COBIT41 RESSOURCES INFORMATIQUES Linformatique fournit ses services en fonction de ces objectifs au moyen dun ensemble deacutefini de processus qui utilisent les capaciteacutes des personnes et linfrastructure informatique pour faire fonctionner des applications meacutetiers automatiseacutees tout en tirant parti des informations dentreprise Ces ressources constituent avec les processus une architecture dentreprise pour les SI comme le montre la figure 6

Pour reacutepondre aux exigences meacutetiers des SI lentreprise doit investir dans les ressources neacutecessaires pour creacuteer une capaciteacute technologique approprieacutee (par exemple un progiciel de gestion inteacutegreacute (PGI- ERP)) capable dassister un secteur opeacuterationnel (par exemple mettre en place une chaicircne dapprovisionnement) qui produise le reacutesultat deacutesireacute (par exemple une augmentation des ventes et des beacuteneacutefices financiers)

On peut deacutefinir ainsi les ressources informatiques identifieacutees par COBIT bull Les applications sont entre les mains des utilisateurs les ressources logicielles automatiseacutees et les proceacutedures manuelles qui traitent

linformation bull Linformation est constitueacutee des donneacutees sous toutes leurs formes saisies traiteacutees et restitueacutees par le systegraveme informatique sous diverses

preacutesentations et utiliseacutees par les meacutetiers bull Linfrastructure est constitueacutee de la technologie et des eacutequipements (machines systegravemes dexploitation systegravemes de gestion de bases de

donneacutees reacuteseaux multimeacutedia ainsi que lenvironnement qui les heacuteberge et en permet le fonctionnement) qui permettent aux applications de traiter linformation

bull Les personnes sont les ressources qui soccupent de planifier dorganiser dacheter de mettre en place de livrer dassister de surveiller et deacutevaluer les systegravemes et les services informatiques Ces personnes peuvent ecirctre internes externes ou contractuelles selon les besoins

La figure 7 montre scheacutematiquement comment les objectifs meacutetiers pour les SI influencent la gestion des ressources informatiques par les processus informatiques pour atteindre les objectifs informatiques

Orienteacute processus

COBIT regroupe les activiteacutes informatiques dans un modegravele geacuteneacuterique de processus qui se reacutepartissent en quatre domaines Ces domaines sont Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Eacutevaluer Ils correspondent aux domaines de responsabiliteacutes traditionnels des SI que sont planifier mettre en place faire fonctionner et surveiller

Le cadre COBIT propose un modegravele de processus de reacutefeacuterence et un langage commun pour tous ceux qui dans une entreprise doivent utiliser ou geacuterer les activiteacutes informatiques Adopter un modegravele opeacuterationnel et un langage commun agrave toutes les parties de lentreprise impliqueacutees dans les SI est lune des eacutetapes initiales les plus importantes vers une bonne gouvernance COBIT propose aussi un cadre de reacutefeacuterence pour mesurer et surveiller la performance des SI communiquer avec les fournisseurs de services et inteacutegrer les meilleures pratiques de gestion Un modegravele de processus encourage la proprieacuteteacute des processus ce qui favorise la deacutefinition des responsabiliteacutes opeacuterationnelles et des responsabiliteacutes finales (responsabiliteacute de celui qui agit et responsabiliteacute de celui qui est comptable du reacutesultat)

Figure 7 Geacuterer les ressources informatiques pour remplir les objectifs informatiques

Objectifs de lrsquorsquorsquoentreprise





Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Pour une gouvernance efficace des SI il est important dappreacutecier les activiteacutes et les risques propres aux SI qui neacutecessitent decirctre pris en compte Ils sont geacuteneacuteralement ordonneacutes dans les domaines de responsabiliteacute que sont planifier mettre en place faire fonctionner et surveiller Dans le cadre de COBIT ces domaines porte les appellations suivantes comme le montre la figure 8

Figure 8 Les quatre domaines interdeacutependants de COBIT

bull Planifier et Organiser (PO) fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS)

bull Acqueacuterir et Impleacutementer (AI) fournit les solutions et les transmets pour les transformer en services

bull Deacutelivrer et Supporter (DS) reccediloit les solutions et les rend utilisables par les utilisateurs finals

bull Surveiller et Evaluer (SE) surveille tous les processus pour sassurer que lorientation fournie est respecteacutee

PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la strateacutegie et la tactique et vise agrave identifier la meilleure maniegravere pour les SI de contribuer agrave atteindre les objectifs meacutetiers de lentreprise La mise en œuvre de la vision strateacutegique doit ecirctre planifieacutee communiqueacutee et geacutereacutee selon diffeacuterentes perspectives Il faut mettre en place une organisation adeacutequate ainsi quune infrastructure technologique Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Les strateacutegies de lentreprise et de linformatique sont-elles aligneacutees bull Lentreprise fait-elle un usage optimum de ses ressources bull Est-ce que tout le monde dans lentreprise comprend les objectifs de linformatique bull Les risques informatiques sont-ils compris et geacutereacutes bull La qualiteacute des systegravemes informatiques est-elle adapteacutee aux besoins meacutetiers



Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter


CADRE DE REacuteFEacuteRENCE ACQUEacuteRIR ET IMPLEacuteMENTER (AI) Le succegraves de la strateacutegie informatique neacutecessite didentifier de deacutevelopper ou dacqueacuterir des solutions informatiques de les mettre en œuvre et de les inteacutegrer aux processus meacutetiers Ce domaine recouvre aussi la modification des systegravemes existants ainsi que leur maintenance afin decirctre sucircr que les solutions continuent decirctre en adeacutequation avec les objectifs meacutetiers Ce domaine sinteacuteresse geacuteneacuteralement aux probleacutematiques de management suivantes bull Est-on sucircr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins meacutetiers bull Est-on sucircr que les nouveaux projets aboutiront en temps voulu et dans les limites budgeacutetaires bull Les nouveaux systegravemes fonctionneront-ils correctement lorsquils seront mis en œuvre bull Les changements pourront-ils avoir lieu sans perturber les opeacuterations en cours

DEacuteLIVRER ET SUPPORTER (DS) Ce domaine sinteacuteresse agrave la livraison effective des services demandeacutes ce qui comprend lexploitation informatique la gestion de la seacutecuriteacute et de la continuiteacute le service dassistance aux utilisateurs et la gestion des donneacutees et des eacutequipements Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull Les services informatiques sont-ils fournis en tenant compte des prioriteacutes meacutetiers bull Les coucircts informatiques sont-ils optimiseacutes bull Les employeacutes sont-ils capables dutiliser les systegravemes informatiques de faccedilon productive et sucircre bull La confidentialiteacute linteacutegriteacute et la disponibiliteacute sont-elles mises en œuvre pour la seacutecuriteacute de linformation

SURVEILLER ET EacuteVALUER (SE) Tous les processus informatiques doivent ecirctre reacuteguliegraverement eacutevalueacutes pour veacuterifier leur qualiteacute et leur conformiteacute par rapport aux speacutecifications de controcircle Ce domaine sinteacuteresse agrave la gestion de la performance agrave la surveillance du controcircle interne au respect des normes reacuteglementaires et agrave la gouvernance Il sagit geacuteneacuteralement des probleacutematiques de management suivantes bull La performance de linformatique est-elle mesureacutee de faccedilon agrave ce que les problegravemes soient mis en eacutevidence avant quil ne soit trop tard bull Le management sassure-t-il que les controcircles internes sont efficaces et efficients bull La performance de linformatique peut-elle ecirctre relieacutee aux objectifs meacutetiers bull Des controcircles de confidentialiteacute dinteacutegriteacute et de disponibiliteacute approprieacutes sont-ils mis en place pour la seacutecuriteacute de linformation

Agrave travers ces quatre domaines COBIT a identifieacute 34 processus informatiques geacuteneacuteralement utiliseacutes (pour obtenir la liste complegravete reportezshyvous agrave la figure 22) La plupart des entreprises ont deacutefini des responsabiliteacutes visant agrave planifier mettre en place faire fonctionner et surveiller les activiteacutes informatiques et la plupart disposent des mecircmes processus cleacutes En revanche peu dentre elles auront la mecircme structure de processus ou appliqueront la totaliteacute des 34 processus COBIT COBIT fournit la liste complegravete des processus qui peuvent permettre de veacuterifier lexhaustiviteacute des activiteacutes et des responsabiliteacutes Toutefois il nest pas neacutecessaire de les appliquer tous et en outre ils peuvent ecirctre combineacutes selon les besoins de chaque entreprise

Chacun de ces 34 processus est lieacute aux objectifs meacutetiers et aux objectifs informatiques qui sont pris en charge Des informations sont eacutegalement fournies sur la faccedilon dont les objectifs peuvent ecirctre mesureacutes sur les activiteacutes cleacutes et les principaux livrables et sur les personnes qui en sont responsables

Baseacute sur des controcircles

COBIT deacutefinit les objectifs de controcircle pour les 34 processus ainsi que des controcircles meacutetiers et des controcircles applicatifs preacutedominants

LES PROCESSUS ONT BESOIN DE CONTROcircLES On deacutefinit le controcircle comme les politiques les proceacutedures les pratiques et les structures organisationnelles conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes

Les objectifs de controcircle des SI fournissent un large eacuteventail dexigences eacuteleveacutees dont la direction doit tenir compte pour mettre en œuvre un controcircle efficace de chaque processus informatique Ces exigences bull prennent la forme dannonces de la direction visant agrave accroicirctre la valeur ou agrave reacuteduire le risque bull se composent de politiques proceacutedures pratiques et structures organisationnelles bull sont conccedilues pour fournir lassurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront

preacutevenus ou deacutetecteacutes et corrigeacutes

La direction de lentreprise doit faire des choix concernant ces objectifs de controcircle en bull seacutelectionnant ceux qui sont applicables bull deacutesignant ceux qui seront mis en œuvre bull choisissant la faccedilon de les mettre en œuvre (freacutequence dureacutee automatisation etc) bull acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient sappliquer


Normes

Standards

Objectifs

Comparer Processus

Figure 9 ndash Modegravele de controcircle ndash

COBIT41 On peut sappuyer sur le modegravele de controcircle standard illustreacute par la figure 9 Il suit les principes eacutevidents de lanalogie suivante Apregraves reacuteglage du thermostat dambiance (standard) du systegraveme de chauffage (processus) le systegraveme veacuterifie en permanence (comparer) la tempeacuterature de la piegravece (information de controcircle) et deacuteclenche eacuteventuellement laction dadapter la tempeacuterature (agir)

La direction informatique utilise des processus pour organiser et geacuterer les activiteacutes informatiques au quotidien COBIT propose un modegravele de processus geacuteneacuterique qui repreacutesente tous les processus que lon trouve normalement dans les fonctions informatiques ce qui permet aux responsables informatiques comme aux responsables commerciaux de disposer dun modegravele de reacutefeacuterence commun Pour que cette gouvernance soit efficace la direction informatique doit mettre en place des controcircles dans un cadre de reacutefeacuterence deacutefini pour tous les processus informatiques Puisque les objectifs de controcircle de COBIT sont organiseacutes par processus informatique le cadre eacutetablit donc des liens clairs entre les exigences de la gouvernance des SI les processus informatiques et les controcircles informatiques

Figure 9 Modegravele de controcircle

Normes

Standards

Objectifs

AAGGIIRR

CCOONNTTRROcircOcircLLEERR LLrsquorsquoIINNFFOORRMMAATTIIOONN

Comparer Processus

Chacun des processus informatiques de COBIT est associeacute agrave une description et agrave un certain nombre dobjectifs de controcircle Tous ensemble ils sont caracteacuteristiques dun processus bien geacutereacute

Les objectifs de controcircle sont identifieacutes par un domaine de reacutefeacuterence agrave deux caractegraveres (PO AI DS et SE) plus un numeacutero de processus et un numeacutero dobjectif de controcircle En plus des objectifs de controcircle chaque processus COBIT se reacutefegravere agrave des exigences de controcircle geacuteneacuteriques deacutesigneacutees par PCn pour Processus de Controcircle numeacutero n Il faut les prendre en compte en mecircme temps que les objectifs de controcircle du processus pour avoir une vision complegravete des exigences de controcircle

PC1 Buts et objectifs du processus Deacutefinir et communiquer des buts et objectifs speacutecifiques mesurables incitatifs reacutealistes axeacutes sur les reacutesultats et opportuns (SMARRT Specific Measurable Actionable Realistic Results-oriented and Timely) pour lexeacutecution efficace de chaque processus informatique Sassurer quils sont relieacutes aux objectifs meacutetiers et soutenus par des meacutetriques adapteacutees

PC2 Proprieacuteteacute des processus Affecter un proprieacutetaire agrave chaque processus informatique et deacutefinir clairement les rocircles et les responsabiliteacutes du proprieacutetaire du processus Inclure par exemple la charge de conception du processus dinteraction avec les autres processus la responsabiliteacute du reacutesultat final leacutevaluation des performances du processus et lidentification des possibiliteacutes dameacutelioration

PC3 Reproductibiliteacute du processus Deacutefinir et mettre en place chaque processus informatique cleacute de faccedilon agrave ce quil soit reproductible et quil produise invariablement les reacutesultats escompteacutes Fournir un enchaicircnement logique flexible et eacutevolutif dactiviteacutes qui conduiront aux reacutesultats souhaiteacutes et suffisamment souple pour geacuterer les exceptions et les urgences Si possible utiliser des processus coheacuterents et personnaliser uniquement si cest ineacutevitable

PC4 Rocircles et Responsabiliteacutes Deacutefinir les activiteacutes cleacutes et les livrables finaux du processus Attribuer et communiquer des rocircles et responsabiliteacutes non ambigus pour une exeacutecution efficace et efficiente des activiteacutes cleacutes et de leur documentation ainsi que la responsabiliteacute des livrables finaux du processus

PC5 Politique Plans et Proceacutedures Deacuteterminer et indiquer comment tous les plans les politiques et les proceacutedures qui geacutenegraverent un processus informatique sont documenteacutes eacutetudieacutes geacutereacutes valideacutes stockeacutes communiqueacutes et utiliseacutes pour la formation Reacutepartir les responsabiliteacutes pour chacune de ces activiteacutes et au moment opportun veacuterifier si elles sont correctement effectueacutees Sassurer que les politiques plans et proceacutedures sont accessibles corrects compris et agrave jour

PC6 Ameacutelioration des performances du processus Identifier un ensemble de meacutetriques fournissant des indications sur les reacutesultats et les performances du processus Deacutefinir des cibles refleacutetant les objectifs du processus et des indicateurs de performance permettant datteindre les objectifs du processus Deacutefinir le mode dobtention des donneacutees Comparer les mesures reacuteelles et les objectifs et si neacutecessaire prendre des mesures pour corriger les eacutecarts Aligner les meacutetriques les objectifs et les meacutethodes avec lapproche globale de surveillance des performances des SI

Des controcircles efficaces reacuteduisent les risques ameacuteliorent la probabiliteacute de fournir de la valeur et ameacuteliorent lefficience En effet les erreurs seront moins nombreuses et lapproche manageacuteriale sera plus coheacuterente

COBIT y ajoute des exemples pour chaque processus ces exemples ont pour but dillustrer mais pas de prescrire ni decirctre exhaustifs bull entreacutees et sorties geacuteneacuteriques de donneacuteesinformations bull activiteacutes et conseils sur les rocircles et les responsabiliteacutes dans un tableau RACI (Responsable Approuve est Consulteacute est Informeacute) bull objectifs des activiteacutes cleacutes (les choses les plus importantes agrave faire) bull meacutetriques


CADRE DE REacuteFEacuteRENCE Outre la neacutecessiteacute de savoir quels controcircles leur sont neacutecessaires les proprieacutetaires de processus doivent pouvoir dire de quels eacuteleacutements ils ont besoin en entreacutee de la part des autres processus et ce que leurs processus doivent ecirctre capables de fournir aux autres processus COBIT propose des exemples geacuteneacuteriques dentreacutees et de sorties essentiels pour chaque processus qui concernent aussi les services informatiques externes Certaines sorties sont des entreacutees pour tous les autres processus et sont repeacutereacutes par la mention TOUS dans les tableaux de sorties mais ils ne sont pas mentionneacutes comme des entreacutees dans tous les processus cela concerne geacuteneacuteralement les standards de qualiteacute et les impeacuteratifs de mesure le cadre de reacutefeacuterence des processus informatiques les rocircles et responsabiliteacutes deacutetailleacutes le cadre de controcircle de linformatique de lentreprise la politique informatique et les rocircles et responsabiliteacutes du personnel

Comprendre les rocircles et responsabiliteacutes pour chaque processus est fondamental pour une gouvernance efficace COBIT propose un tableau RACI pour chaque processus Garant sapplique au responsable en dernier ressort celui qui donne les orientations et qui autorise une activiteacute Responsable sapplique agrave celui qui fait exeacutecuter la tacircche Les deux autres rocircles (Consulteacute et Informeacute) sappliquent agrave tous ceux qui doivent savoir ce qui se passe et qui doivent soutenir le processus

CONTROcircLES MEacuteTIERS ET CONTROcircLES INFORMATIQUES Le systegraveme de controcircle interne de lentreprise a un impact sur les SI agrave trois niveaux bull Au niveau de la direction geacuteneacuterale on fixe les objectifs meacutetiers on eacutetablit les politiques et on prend les deacutecisions sur la faccedilon de deacuteployer

les ressources de lentreprise pour mettre en œuvre sa strateacutegie Cest le conseil dadministration qui deacutefinit lapproche de gouvernance et de controcircle et qui les diffuse dans lensemble de lentreprise Ce sont ces ensembles de politiques et dobjectifs geacuteneacuteraux qui orientent lenvironnement de controcircle des SI

bull Au niveau des processus meacutetiers les controcircles sappliquent agrave des activiteacutes speacutecifiques de lentreprise La plupart des processus meacutetiers sont automatiseacutes et inteacutegreacutes agrave des applications informatiques ce qui entraicircne que de nombreux controcircles sont eux aussi automatiseacutes agrave ce niveau On les appelle des controcircles applicatifs Certains controcircles de processus meacutetiers restent cependant des proceacutedures manuelles comme les autorisations de transactions la seacuteparation des tacircches et les rapprochements manuels Les controcircles au niveau des processus meacutetiers sont donc une combinaison de controcircles manuels effectueacutes par lentreprise et de controcircles meacutetiers et applicatifs automatiseacutes La responsabiliteacute de ces deux types de controcircles appartient donc aux meacutetiers mecircme si les controcircles applicatifs ont besoin de la fonction informatique pour permettre leur conception et leur deacuteveloppement

bull Pour assister les processus meacutetiers linformatique fournit des services habituellement au sein dun service commun agrave de nombreux processus meacutetiers puisquune grande partie du deacuteveloppement et des processus informatiques sont fournis agrave lensemble de lentreprise et que la majeure partie de linfrastructure informatique constitue un service commun (par ex reacuteseaux bases de donneacutees systegravemes dexploitation et archivage) On appelle controcircles geacuteneacuteraux informatiques les controcircles qui sappliquent agrave toutes les activiteacutes de services informatiques La fiabiliteacute de ces controcircles geacuteneacuteraux est neacutecessaire pour que lon puisse se fier aux controcircles applicatifs Par exemple une mauvaise gestion des changements pourrait mettre en peacuteril (accidentellement ou volontairement) la fiabiliteacute des veacuterifications dinteacutegriteacute automatiques

CONTROcircLES GEacuteNEacuteRAUX INFORMATIQUES ET CONTROcircLES APPLICATIFS Les controcircles geacuteneacuteraux sont ceux qui sont inteacutegreacutes aux processus et aux services informatiques Ils concernent par exemple bull le deacuteveloppement des systegravemes bull la gestion des changements bull la seacutecuriteacute bull lexploitation

On appelle communeacutement controcircles applicatifs les controcircles inteacutegreacutes aux applications des processus meacutetiers Ils concernent par exemple bull lexhaustiviteacute bull lexactitude bull la validiteacute bull lautorisation bull la seacuteparation des tacircches

COBIT considegravere que la conception et la mise en place de controcircles applicatifs automatiseacutes sont de la responsabiliteacute de linformatique Elles relegravevent du domaine Acqueacuterir et Impleacutementer et se basent sur les exigences meacutetiers deacutefinies selon les critegraveres dinformation de COBIT comme lindique la figure 10 La gestion opeacuterationnelle et la responsabiliteacute des controcircles applicatifs ne relegravevent pas de linformatique mais des proprieacutetaires des processus meacutetiers

De ce fait les controcircles applicatifs relegravevent dune responsabiliteacute commune de bout en bout entre meacutetiers et informatique mais la nature des responsabiliteacutes se diffeacuterencie comme suit bull La partie meacutetiers est chargeacutee minus de deacutefinir correctement les exigences de fonctionnement et de controcircle minus dutiliser les services automatiseacutes agrave bon escient bull La partie informatique est chargeacutee minus dautomatiser et de mettre en œuvre les exigences meacutetiers de fonctionnement et de controcircle minus de mettre en place des controcircles pour maintenir linteacutegriteacute des controcircles applicatifs

Par conseacutequent les processus informatiques de COBIT englobent les controcircles geacuteneacuteraux informatiques mais uniquement les aspects lieacutes au deacuteveloppement des controcircles applicatifs Les processus meacutetiers sont chargeacutes de la deacutefinition et de lexploitation




Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter

Controcircles geacuteneacuteraux informatiquesControcirclesmeacutetiers

Controcirclesmeacutetiers

Controcircles applicatifs

Servicesautomatiseacutes

Exigencesde

fonctionnement

Exigencesde

controcircle

Figure 10 ndash Controcircles meacutetiers geacuteneacuteraux et applicatifs limites



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter





Exigencesde

fonctionnement

Exigencesde

controcircle



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



ndash

COBIT41 Figure 10 Controcircles meacutetiers geacuteneacuteraux et applicatifs limites

Controcircles meacutetiers

Exigences de

fonctionnement

Exigences de

controcircle

RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeeesss mmmeacuteeacuteeacutetttiiieeerrrsss



Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter

RRReeessspppooonnnsssaaabbbiiillliiittteacuteeacuteeacute dddeee lllrsquorsquorsquoiiinnnfffooorrrmmmaaatttiiiqqquuueee

Controcircles geacuteneacuteraux informatiques Controcircles meacutetiers


Services automatiseacutes


La liste suivante fournit un ensemble dobjectifs de controcircle applicatifs recommandeacutes Ils sont identifieacutes par un numeacutero CAn pour Controcircle Applicatif numeacutero n

CA1 Autorisation et preacuteparation des donneacutees source Sassurer que les documents source sont preacutepareacutes par le personnel qualifieacute et autoriseacute en respectant les proceacutedures eacutetablies en tenant compte de la seacuteparation adeacutequate des tacircches entre la geacuteneacuterationcreacuteation et la validation de ces documents La bonne conception des masques de saisie permet de reacuteduire les erreurs et omissions Deacutetecter les erreurs et les anomalies de faccedilon agrave pouvoir les signaler et les corriger

CA2 Collecte et saisie des donneacutees source Preacutevoir que la saisie des donneacutees sera effectueacutee en temps utile par le personnel autoriseacute et qualifieacute La correction et la ressaisie des donneacutees erroneacutees doivent ecirctre effectueacutees sans compromettre le niveau dorigine dautorisation des transactions Si la reconstruction des donneacutees le requiert conserver les documents source dorigine pendant un laps de temps adeacutequat

CA3 Veacuterifications dexactitude dexhaustiviteacute et dauthenticiteacute Sassurer que les transactions sont exactes complegravetes et valides Valider les donneacutees saisies et modifier ou renvoyer pour correction aussi pregraves que possible du point de creacuteation

CA4 Inteacutegriteacute et validiteacute du traitement Maintenir linteacutegriteacute et la validiteacute des donneacutees tout au long du cycle de traitement La deacutetection des transactions erroneacutees ninterrompt pas le traitement des transactions valides

CA5 Veacuterification des sorties rapprochement et traitement des erreurs Eacutetablir des proceacutedures et les responsabiliteacutes connexes pour sassurer que le traitement des donneacutees en sortie est ducircment effectueacute que ces donneacutees sont transmises au destinataire approprieacute et proteacutegeacutees lors de leur transmission que la veacuterification la deacutetection et la correction de lexactitude des donneacutees en sortie a lieu et que les informations fournies dans ces donneacutees sont utiliseacutees

CA6 Authentification et inteacutegriteacute des transactions Avant deacutechanger des donneacutees de transaction entre les applications internes et les fonctions meacutetiersfonctions opeacuterationnelles (dans lentreprise ou en dehors) veacuterifier lexactitude des destinataires lauthenticiteacute de loriginal et linteacutegriteacute du contenu Maintenir lauthenticiteacute et linteacutegriteacute lors de la transmission ou du transport


CADRE DE REacuteFEacuteRENCE Fondeacute sur la mesure

Toute entreprise a un besoin vital dappreacutehender leacutetat de ses propres systegravemes informatiques et de deacutecider quel niveau de management et de controcircle elle doit assurer Pour deacuteterminer le bon niveau le management doit se demander jusquougrave doit-on aller et les beacuteneacutefices justifientshyils les coucircts

Obtenir une vue objective du niveau de performance dune entreprise nest pas chose aiseacutee Que doit-on mesurer et comment Les entreprises ont besoin de pouvoir mesurer ougrave elles en sont et ougrave il faut apporter des ameacuteliorations et il leur faut des outils de gestion pour surveiller ces ameacuteliorations COBIT traite ces questions en fournissant bull des modegraveles de maturiteacute pour permettre de se comparer et de deacutefinir lameacutelioration neacutecessaire des capaciteacutes bull des objectifs de performances et des meacutetriques pour les processus informatiques qui montrent jusquagrave quel point les processus permettent

datteindre les objectifs meacutetiers et les objectifs informatiques ils servent agrave mesurer la performance des processus internes selon les principes du tableau de bord eacutequilibreacute

bull des objectifs dactiviteacute pour favoriser une performance efficace des processus

MODEgraveLES DE MATURITEacute On demande de plus en plus aux directions geacuteneacuterales des entreprises publiques et priveacutees de sinterroger sur la bonne gestion de leur informatique Pour reacutepondre agrave cette attente des analyses doptimisation de rentabiliteacute concluent agrave la neacutecessiteacute dameacuteliorer cette gestion et datteindre le niveau approprieacute de gestion et de controcircle de linfrastructure informatique Comme peu dentre elles oseraient dire que ce nest pas une bonne chose elles doivent analyser leacutequilibre coucirctsbeacuteneacutefices et se poser les questions suivantes bull Que font nos confregraveresconcurrents et comment sommes-nous positionneacutes par rapport agrave eux bull Quelles sont les bonnes pratiques acceptables du marcheacute et comment nous situons-nous par rapport agrave elles bull Dapregraves ces comparaisons peut-on dire que nous en faisons assez bull Comment identifie-t-on ce quil y a agrave faire pour atteindre un niveau approprieacute de gestion et de controcircle de nos processus informatiques

Il peut ecirctre difficile dapporter des reacuteponses directes agrave ces questions La direction informatique est sans cesse agrave la recherche doutils dautoeacutevaluation et de tests comparatifs pour reacutepondre agrave la neacutecessiteacute didentifier les actions efficaces agrave entreprendre et la faccedilon de les mener efficacement Agrave partir des processus COBIT le proprieacutetaire dun processus doit ecirctre en mesure de se comparer sur une eacutechelle vis-agrave-vis de cet objectif de controcircle Ceci reacutepond agrave trois besoins 1 une mesure relative de la situation actuelle de lentreprise 2 une maniegravere efficace de deacutesigner le but agrave atteindre 3 un outil permettant de mesurer la progression vers lobjectif

Lutilisation des modegraveles de maturiteacute pour la gestion et le controcircle des processus informatiques se base sur une meacutethode deacutevaluation permettant de noter une entreprise selon un niveau de maturiteacute gradueacute de 0 agrave 5 (dInexistant agrave Optimiseacute) Cette approche est baseacutee sur le Modegravele de Maturiteacute que le Software Engineering Institute (SEI) a conccedilu pour mesurer la capaciteacute agrave deacutevelopper des logiciels Mecircme si les concepts de la meacutethode du SEI ont eacuteteacute respecteacutes la mise en œuvre de COBIT preacutesente des diffeacuterences importantes par rapport agrave la deacutemarche initiale du SEI qui eacutetait axeacutee sur les principes dingeacutenierie logicielle les entreprises sefforccedilant datteindre un niveau dexcellence dans ces domaines et leacutevaluation officielle des niveaux de maturiteacute de faccedilon agrave pouvoir certifier les deacuteveloppeurs de logiciels COBIT fournit une deacutefinition geacuteneacuterique de leacutechelle de maturiteacute COBIT qui est similaire au CMM mais interpreacuteteacutee en tenant compte des processus de gestion informatique de COBIT Un modegravele speacutecifique est fourni agrave partir de cette eacutechelle geacuteneacuterique pour chacun des 34 processus COBIT Quel que soit le modegravele les eacutechelles ne doivent pas ecirctre trop fines au risque de rendre le systegraveme difficile agrave utiliser en requeacuterant une preacutecision inutile En effet le but est geacuteneacuteralement de trouver ougrave se situent les problegravemes et comment eacutetablir des prioriteacutes pour les reacutesoudre Le but nest pas deacutevaluer le niveau dadheacutesion aux objectifs de controcircle

Les niveaux de maturiteacute sont conccedilus comme des profils de processus informatiques que lentreprise peut reconnaicirctre comme des situations existantes ou futures Ils ne sont pas conccedilus pour ecirctre utiliseacutes comme des modegraveles par seuils qui exigeraient que toutes les conditions du niveau infeacuterieur soient remplies pour acceacuteder au niveau suivant Avec les modegraveles de maturiteacute COBIT contrairement agrave la deacutemarche CMM initiale du SEI lintention nest pas de mesurer preacuteciseacutement les niveaux ni dessayer de certifier quun niveau a eacuteteacute preacuteciseacutement atteint Une eacutevaluation de maturiteacute COBIT est susceptible de geacuteneacuterer un profil dans lequel les conditions relatives agrave plusieurs niveaux de maturiteacute seront remplies comme le montre le graphique de la figure 11


ndash rsquo

ndash

COBIT41

0

01

02

03

04

05

06

07

Niveau MM1 Niveau MM2 Niveau MM3 Niveau MM4 Niveau MM5

Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesenteencore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance(niveau 4) et lrsquooptimisation (niveau 5)

0

01

02

03

04

05

06

07


Niveau de maturiteacute possible drsquoun processus informatique lrsquoexemple illustre un processus qui atteint largement le niveau 3 mais qui preacutesente encore des problegravemes de conformiteacute avec les exigences des niveaux les moins eacuteleveacutes tout en investissant deacutejagrave dans la mesure de la performance (niveau 4) et lrsquooptimisation (niveau 5)

Figure 11 Niveau de maturiteacute possible d un processus informatique

En effet en cas deacutevaluation de la maturiteacute agrave laide des modegraveles COBIT il arrive souvent quune mise en œuvre soit en place agrave diffeacuterents niveaux mecircme si elle est incomplegravete ou insuffisante Ces atouts peuvent ecirctre mis agrave profit pour ameacuteliorer encore davantage la maturiteacute Par exemple certains eacuteleacutements du processus peuvent ecirctre bien deacutefinis et mecircme sil est incomplet il serait trompeur de dire que le processus nest pas du tout deacutefini

En utilisant les modegraveles de maturiteacute deacutefinis pour chacun des 34 processus informatiques de COBIT le management peut mettre en eacutevidence bull leacutetat actuel de lentreprise ougrave elle se situe aujourdhui bull leacutetat actuel du marcheacute la comparaison bull lambition de lentreprise ougrave elle veut se situer bull la trajectoire de croissance requise entre les situations en cours et les situations cibles

Pour exploiter facilement ces reacutesultats dans les reacuteunions de direction ougrave ils seront preacutesenteacutes comme une aide agrave la deacutecision pour des plans futurs il convient dutiliser une meacutethode de preacutesentation graphique (figure 12)

Figure 12 Repreacutesentation graphique des modegraveles de maturiteacute

IInneexxiissttaanntt IInniittiiaalliisseacuteeacute

ccaass ppaarr ccaass RReepprorodduuccttiibbllee mmaaiiss iinnttuuiittiiff

PProrocceessssuuss ddeacuteeacuteffiinnii

GGeacuteeacuterreacuteeacute eett mmeessuurarabbllee OOppttiimmiisseacuteeacute

000 111 222 333 444 555

LLEacuteEacuteGGEENNDDEE DDEESS SSYYMMBBOOLLEESS UUTTIILLIISSEacuteEacuteSS

EacuteEacutettatat actactuuelel ddee llrsquorsquoenenttrreepprriisese

MMeieilllleueurree pprratatiiqquuee dduu mmararchcheacuteeacute

SSttrratateacuteeacuteggiiee ddee llrsquorsquoenenttrrepeprriissee

LLEacuteEacuteGGEENNDDEE UUTTIILLIISSEacuteEacuteEE PPOOUURR LLEE CCLLAASSSSEEMMEENNTT

00mdashmdashLLeess pprroocesscessuuss ddee mmananagagememenentt nnee sosonntt ppasas apappplliiqquueacuteseacutes dduu ttoouutt 11mdashmdashLLeess pprroocesscessuuss ssoonntt mmiiss enen œœuuvrvree auau cascas pparar cascas etet sansanss mmeacuteeacutetthhooddee 22mdashmdashLLeess pprroocesscessuuss ssuuiivenventt uunn mmecircmecircmee mmooddegravelegravelee 33mdashmdashLLeses pprroocessucessuss ssoonntt ddooccuummenentteacuteseacutes etet cocommmmuunniiqquueacuteseacutes 44mdashmdashLLeess pprroocesscessuuss ssoonntt susurrveiveilllleacuteeacutess etet mmesuesurreacuteseacutes 55mdashmdashLLeess bboonnnneses pprraattiiqquueses sosonntt susuiivivieses etet aauuttoommaattiisseacuteeseacutees

Leacutelaboration de cette repreacutesentation graphique sinspire du modegravele de maturiteacute geacuteneacuterique preacutesenteacute dans la figure 13

COBIT est un cadre de reacutefeacuterence conccedilu pour la gestion des processus informatiques et tregraves axeacute sur le controcircle Ces eacutechelles doivent ecirctre commodes agrave utiliser et faciles agrave comprendre La question de la gestion des processus informatiques est complexe par nature et subjective on lapproche par conseacutequent mieux en favorisant une prise de conscience au moyen doutils deacutevaluation faciles agrave utiliser qui entraicircneront un large consensus et une motivation pour progresser Ces eacutevaluations peuvent se faire soit par comparaison avec les intituleacutes geacuteneacuteraux des niveaux de maturiteacute soit de faccedilon plus rigoureuse en examinant chaque proposition individuelle de ces descriptifs Dans les deux cas il est neacutecessaire dutiliser lexpertise de lentreprise pour le processus eacutevalueacute

Lavantage dune approche baseacutee sur les modegraveles de maturiteacute est quelle permet assez facilement au management de se situer lui-mecircme sur leacutechelle et dappreacutecier les moyens agrave mettre en œuvre pour ameacuteliorer les performances Leacutechelle commence par le degreacute zeacutero parce quil est tregraves possible quil nexiste aucun processus Elle est baseacutee sur une eacutechelle de maturiteacute simple qui montre comment eacutevolue un processus dinexistant (0) agrave optimiseacute (5)


ndash

ndash

CADRE DE REacuteFEacuteRENCE Cependant la capaciteacute agrave geacuterer les processus est diffeacuterente de la performance des processus La capaciteacute requise deacutetermineacutee par les meacutetiers et les objectifs informatiques na pas toujours besoin decirctre appliqueacutee au mecircme niveau dans tout lenvironnement informatique cest-agrave-dire pas systeacutematiquement ou seulement agrave un nombre limiteacute de systegravemes ou duniteacutes La mesure de performance expliqueacutee dans les paragraphes qui suivent est essentielle pour deacuteterminer la veacuteritable performance de lentreprise pour ses processus informatiques

Figure 13 Modegravele de Maturiteacute Geacuteneacuterique

0 Inexistant Absence totale de processus identifiables Lrsquoentreprise nrsquoa mecircme pas pris conscience qursquoil srsquoagissait drsquoun problegraveme agrave eacutetudier

1 InitialiseacuteCas par cas On constate que lrsquoentreprise a pris conscience de lrsquoexistence du problegraveme et de la neacutecessiteacute de lrsquoeacutetudier Il nrsquoexiste toutefois aucun processus standardiseacute mais des deacutemarches dans ce sens tendent agrave ecirctre entreprises individuellement ou cas par cas Lrsquoapproche globale du management nrsquoest pas organiseacutee

2 Reproductible mais intuitif Des processus se sont deacuteveloppeacutes jusqursquoau stade ougrave des personnes diffeacuterentes exeacutecutant la mecircme tacircche utilisent des proceacutedures similaires Il nrsquoy a pas de formation organiseacutee ni de communication des proceacutedures standard et la responsabiliteacute et laisseacutee agrave lrsquoindividu On se repose beaucoup sur les connaissances individuelles drsquoougrave un risque drsquoerreurs

3 Processus deacutefini On a standardiseacute documenteacute et communiqueacute des processus via des seacuteances de formation Ces processus doivent impeacuterativement ecirctre suivis toutefois des eacutecarts seront probablement constateacutes Concernant les proceacutedures elles-mecircmes elles ne sont pas sophistiqueacutees mais formalisent des pratiques existantes

4 Geacutereacute et mesurable La direction controcircle et mesure la conformiteacute aux proceacutedures et agit lorsque certains processus semblent ne pas fonctionner correctement Les processus sont en constante ameacutelioration et correspondent agrave une bonne pratique Lrsquoautomatisation et les outils sont utiliseacutes drsquoune maniegravere limiteacutee ou partielle

5 Optimiseacute Les processus ont atteint le niveau des bonnes pratiques suite agrave une ameacutelioration constante et agrave la comparaison avec drsquoautres entreprises (Modegraveles de Maturiteacute) Lrsquoinformatique est utiliseacutee comme moyen inteacutegreacute drsquoautomatiser le flux des tacircches offrant des outils qui permettent drsquoameacuteliorer la qualiteacute et lrsquoefficaciteacute et de rendre lrsquoentreprise rapidement adaptable

Mecircme si une capaciteacute correctement mise en œuvre reacuteduit deacutejagrave les risques une entreprise a tout de mecircme besoin danalyser les controcircles neacutecessaires pour ecirctre sucircre que les risques sont limiteacutes et que la valeur est obtenue en tenant compte de lappeacutetence pour le risque et des objectifs meacutetiers Le choix de ces controcircles est faciliteacute par les objectifs de controcircle de COBIT Lannexe III propose un modegravele de maturiteacute qui illustre la maturiteacute dune entreprise en ce qui concerne la mise en place et la performance du controcircle interne Cette analyse constitue souvent une reacuteponse agrave des facteurs externes mais ideacutealement elle devrait ecirctre institueacutee et documenteacutee par les processus COBIT PO6 Faire connaicirctre les buts et les orientations du management et SE2 Surveiller et eacutevaluer le controcircle interne

Capaciteacute couverture et controcircle sont les trois dimensions de la maturiteacute dun processus comme le montre la figure 14

Figure 14 Les trois dimensions de la maturiteacute

Risque et conformiteacute

QUOI (controcircle)

100

4

3

2

1

5

0

Inducteurs primaires

Mission et objectifs

informatique

Retour sur investissements et rentabiliteacute

COMBIEN (couverture)

COMMENT (capaciteacute)

Le modegravele de maturiteacute est un moyen de mesurer le niveau de deacuteveloppement des processus de management autrement dit leur capaciteacute reacuteelle Leur niveau de deacuteveloppement ou de capaciteacute deacutepend essentiellement des objectifs informatiques et des besoins meacutetiers sous-jacents quils sont supposeacutes satisfaire La capaciteacute reacuteellement deacuteployeacutee deacutepend largement du retour quune entreprise attend de ses investissements Par exemple il y a des processus et des systegravemes strateacutegiques qui neacutecessitent une gestion de la seacutecuriteacute plus importante et plus stricte que dautres qui sont moins essentiels Dautre part le degreacute et la sophistication des controcircles agrave appliquer agrave un processus sont davantage induits par lappeacutetence pour le risque de lentreprise et par les impeacuteratifs de conformiteacute applicables

Les eacutechelles des modegraveles de maturiteacute aideront les professionnels agrave expliquer aux dirigeants ougrave se situent les points faibles de la gestion des processus informatiques et agrave deacutesigner le niveau que ceux-ci doivent atteindre Le bon niveau de maturiteacute deacutependra des objectifs meacutetiers de lentreprise de lenvironnement opeacuterationnel et des pratiques du secteur En particulier le niveau de maturiteacute de la gestion deacutependra de la deacutependance de lentreprise vis-agrave-vis de linformatique du niveau de sophistication de ses technologies et avant tout de la valeur de ses informations


COBIT41 Une entreprise deacutesireuse dameacuteliorer la gestion et le controcircle de ses processus informatiques peut trouver des reacutefeacuterences strateacutegiques en sinteacuteressant aux standards internationaux eacutemergents et aux meilleures pratiques Les pratiques eacutemergentes actuelles peuvent devenir le niveau de performance attendu de demain et par conseacutequent ecirctre utiles pour planifier les objectifs de positionnement dune entreprise dans le temps

Les modegraveles de maturiteacute sont creacuteeacutes agrave partir du modegravele qualitatif geacuteneacuteral (voir figure 13) auquel on ajoute progressivement de niveau en niveau des principes issus des attributs suivants bull sensibilisation et communication bull politiques plans et proceacutedures bull outils et automatisation bull compeacutetences et expertise bull responsabiliteacute opeacuterationnelle et responsabiliteacute finale bull deacutesignation des objectifs et meacutetriques

Le tableau des attributs de maturiteacute de la figure 15 reacutepertorie les caracteacuteristiques de la faccedilon dont les processus informatiques sont geacutereacutes et montre comment ils eacutevoluent dinexistant agrave optimiseacute On peut utiliser ces attributs pour une eacutevaluation plus complegravete pour lanalyse des eacutecarts et pour la planification des ameacuteliorations

En reacutesumeacute les modegraveles de maturiteacute proposent un profil geacuteneacuterique des eacutetapes au travers desquelles eacutevoluent les entreprises dans la gestion et le controcircle des processus informatiques Ils constituent bull un ensemble dexigences et les facteurs dapplication aux diffeacuterents niveaux de maturiteacute bull une eacutechelle qui permet de mesurer facilement les eacutecarts bull une eacutechelle qui se precircte agrave des comparaisons pragmatiques bull la base pour positionner les situations en cours et les situations cibles bull une aide pour deacuteterminer par lanalyse des eacutecarts les actions agrave entreprendre pour atteindre le niveau choisi bull pris tous ensemble une vision de la faccedilon dont linformatique est geacutereacutee dans lentreprise

Les modegraveles de maturiteacute COBIT se focalisent sur la maturiteacute mais pas neacutecessairement sur la couverture et lampleur du controcircle Ils ne constituent pas un record agrave eacutegaler ni une base pour se preacuteparer agrave une certification par petites eacutetapes avec des seuils difficiles agrave franchir Ils sont conccedilus pour ecirctre toujours applicables avec des niveaux qui deacutecrivent ce quune entreprise peut identifier comme le mieux adapteacute agrave ses processus Le juste niveau est deacutetermineacute par le type dentreprise lenvironnement et la strateacutegie

La couverture lampleur du controcircle et la faccedilon dont la capaciteacute est utiliseacutee et deacuteployeacutee constituent des deacutecisions coucirctbeacuteneacutefice Par exemple la gestion de la seacutecuriteacute agrave un eacutechelon eacuteleveacute peut navoir agrave se focaliser que sur les systegravemes de lentreprise les plus sensibles Un autre exemple serait le choix entre un examen manuel hebdomadaire et un controcircle automatiseacute permanent

Finalement mecircme si de plus hauts niveaux de maturiteacute augmentent le controcircle des processus lentreprise a toujours besoin danalyser en fonction des inducteurs de risque et de valeur quels meacutecanismes de controcircle elle doit mettre en œuvre Les objectifs meacutetiers et les objectifs informatiques geacuteneacuteriques deacutefinis dans ce cadre de reacutefeacuterence aideront agrave faire cette analyse Les meacutecanismes de controcircle sont guideacutes par les objectifs de controcircle de COBIT et sinteacuteressent en prioriteacute aux actions entreprises au cours du processus les modegraveles de maturiteacute se focalisent dabord sur lappreacuteciation de la qualiteacute de gestion dun processus Lannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lenvironnement de controcircle interne et leacutetablissement de controcircles internes dans une entreprise

On peut consideacuterer quun environnement de controcircle est bien adapteacute lorsquon a traiteacute les trois aspects de la maturiteacute capaciteacute couverture et controcircle Ameacuteliorer la maturiteacute reacuteduit les risques et ameacuteliore lefficience ce qui induit moins derreurs des processus plus preacutevisibles et une utilisation rentable des ressources

MESURE DE LA PERFORMANCE Les objectifs et les meacutetriques sont deacutefinis agrave trois niveaux dans COBIT bull les objectifs et les meacutetriques informatiques qui deacutefinissent les attentes de lentreprise vis-agrave-vis de linformatique et comment les mesurer bull les objectifs et les meacutetriques des processus qui deacutefinissent ce que le processus informatique doit fournir pour reacutepondre aux objectifs

informatiques et comment mesurer ces exigences bull les objectifs et les meacutetriques de lactiviteacute qui deacuteterminent les actions agrave entreprendre au sein du processus pour atteindre la performance

requise et comment les mesurer


ndash

CA

DR

E D

E R

EacuteFEacute

RE

NC

E

copy 2008 A

FAI T

ous droits reacuteserveacutes ww

wafaifr

1

2

3

4

5

Sensibilisation et communication

Politiques plans et proceacutedures Outils et automatisation Compeacutetences et expertise Responsabiliteacute opeacuterationnelle et

responsabiliteacute finale Deacutefinition des objectifs et

meacutetriques On commence agrave Lrsquoapproche par processus et les Il peut exister certains outils la On nrsquoa pas identifieacute quelles Les responsabiliteacutes opeacuterationnelles et Les objectifs ne sont pas clairs et rien reconnaicirctre la pratiques sont envisageacutees au cas par pratique se base sur les outils de compeacutetences eacutetaient neacutecessaires les responsabiliteacutes finales ne sont pas nrsquoest mesureacute neacutecessiteacute des cas bureautique standards au fonctionnement du processus deacutefinies Les gens srsquoattribuent la processus

Les processus et les politiques ne Il nrsquoy a pas drsquoapproche planifieacutee de Il nrsquoexiste pas de plan de formation proprieacuteteacute des problegravemes agrave reacutesoudre de leur propre initiative en fonction

On communique de sont pas deacutefinis lrsquoutilisation des outils et aucune formation nrsquoest des situations temps en temps sur officiellement organiseacutee ces questions On a conscience du On commence agrave utiliser des Il existe des approches communes de On a identifieacute les compeacutetences Une personne assume ses On fixe certains objectifs on mesure besoin drsquoagir processus semblables mais ils sont certains outils mais elles sont baseacutees minimales requises pour les responsabiliteacutes et en est certains flux financiers mais seul le

largement intuitifs car baseacutes sur sur des solutions deacuteveloppeacutees par domaines strateacutegiques habituellement tenue pour management est au courant On Le management lrsquoexpertise individuelle des individus cleacutes responsable (garante) mecircme si cela surveille certains secteurs isoleacutes mais communique sur les On fournit une formation en cas de nrsquoa pas eacuteteacute formellement convenu pas de faccedilon organiseacutee questions geacuteneacuterales Certains aspects des processus sont Des outils ont pu ecirctre acheteacutes chez besoin plutocirct que selon un plan Lorsque des problegravemes surviennent

reproductibles gracircce agrave lrsquoexpertise des fournisseurs mais ils ne sont approuveacute et certaines formations on ne sait plus qui est responsable et individuelle et il peut exister une sans doute pas utiliseacutes correctement informelles ont lieu ldquosur le tasrdquo une culture du blacircme a tendance agrave forme de documentation et de et sont peutshyecirctre mecircme des produits srsquoinstaller compreacutehension informelle de la imparfaitement adapteacutes politique et des proceacutedures F

igu

re 15 T

ableau

des attrib

uts d

e matu

riteacute

On a compris le besoin drsquoagir

Le management communique de faccedilon plus formelle et plus rigoureuse

On commence agrave utiliser les bonnes pratiques

On a deacutefini et documenteacute les processus les politiques et les proceacutedures pour toutes les activiteacutes cleacutes

On a deacutefini un plan drsquoutilisation et de standardisation des outils pour automatiser les processus

Les outils sont utiliseacutes pour leurs fonctions de base mais ne correspondent peutshyecirctre pas tous au plan adopteacute et ne sont peutshyecirctre pas capables de fonctionner les uns avec les autres

On a deacutefini et documenteacute les besoins en compeacutetences pour tous les secteurs

On a eacutelaboreacute un plan de formation officiel mais la formation reste baseacutee sur des initiatives individuelles

Les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et les proprieacutetaires de processus sont identifieacutes Le proprieacutetaire de processus nrsquoa vraisemblablement pas toute autoriteacute pour exercer ses responsabiliteacutes

On fixe certains objectifs drsquoefficaciteacute et on mesure cette efficaciteacute mais on ne communique pas dessus ces objectifs sont clairement relieacutes aux objectifs meacutetiers Des processus de mesures commencent agrave ecirctre utiliseacutes mais pas de faccedilon systeacutematique On adopte les ideacutees du tableau de bord eacutequilibreacute informatique et on utilise parfois lrsquoanalyse causale de maniegravere intuitive

On a pleinement compris les impeacuteratifs

On utilise des techniques abouties et des outils standards pour communiquer

Les processus sont sains et complets on applique les meilleures pratiques internes

Tous les aspects des processus sont documenteacutes et reproductibles Les politiques ont eacuteteacute approuveacutees et avaliseacutees par le management On a adopteacute des standards pour le deacuteveloppement et la gestion des processus et des proceacutedures et on les applique

Les outils sont mis en place selon un plan standardiseacute et certains fonctionnent avec drsquoautres outils dans le mecircme environnement

On utilise certains outils dans les domaines principaux pour automatiser la gestion des processus et pour surveiller les activiteacutes et les controcircles critiques

Les besoins en compeacutetences sont reacuteguliegraverement reacuteajusteacutes pour tous les secteurs on apporte des compeacutetences speacutecialiseacutees agrave tous les secteurs critiques et on encourage la certification

On applique des techniques de formation eacuteprouveacutees conformes au plan de formation et on encourage le partage des connaissances On implique tous les experts des domaines internes et on eacutevalue lrsquoefficaciteacute du plan de formation

Les responsabiliteacutes opeacuterationnelles et finales des processus sont accepteacutees et fonctionnent drsquoune faccedilon qui permet au proprieacutetaire de processus de sacquitter pleinement de ses responsabiliteacutes Il existe une culture de la reacutecompense qui motive un engagement positif dans lrsquoaction

On mesure lrsquoefficaciteacute et lrsquoefficience on communique sur ces questions qursquoon lie aux objectifs meacutetiers et au plan informatique strateacutegique On met en œuvre le tableau de bord eacutequilibreacute informatique dans certains secteurs sauf dans certains cas connus du management et on est en train de standardiser lrsquoanalyse causale Lrsquoameacutelioration continue commence agrave exister

On comprend tout agrave On applique les meilleures pratiques On utilise des progiciels standardiseacutes Lrsquoentreprise encourage Les proprieacutetaires de processus ont le Il existe un systegraveme de mesure de la fait les impeacuteratifs et on et standards externes dans lrsquoensemble de lrsquoentreprise formellement lrsquoameacutelioration pouvoir de prendre des deacutecisions et performance inteacutegreacute qui lie la anticipe sur les continue des compeacutetences selon drsquoagir Le fait drsquoaccepter des performance de lrsquoinformatique aux eacutevolutions La documentation des processus a

eacutevolueacute en workflow automatiseacute On a Les outils sont pleinement inteacutegreacutes entre eux pour supporter le

des objectifs personnels et drsquoentreprise clairement deacutefinis

responsabiliteacutes a eacuteteacute deacuteployeacute de faccedilon coheacuterente agrave tous les eacutechelons

objectifs meacutetiers par lrsquoapplication geacuteneacuterale du tableau de bord eacutequilibreacute

Il existe une standardiseacute et inteacutegreacute les processus processus de bout en bout de lrsquoentreprise informatique Le management prend communication proactive sur les tendances du moment on applique des techniques eacuteprouveacutees

les politiques et les proceacutedures pour permettre une gestion et des ameacuteliorations de tous les maillons de la chaicircne

On utilise des outils pour favoriser lrsquoameacutelioration des processus et pour deacutetecter automatiquement les cas drsquoexception au controcircle

La formation et lrsquoenseignement sappuient sur les meilleures pratiques externes et utilisent des concepts et des techniques de pointe Le partage des

systeacutematiquement note des exceptions et on applique lrsquoanalyse causale Lameacutelioration continue fait deacutesormais partie de la culture drsquoentreprise

et des outils inteacutegreacutes connaissances est une culture pour la communication drsquoentreprise et on deacuteploie des

systegravemes agrave base de connaissances On srsquoappuie sur lrsquoexpeacuterience drsquoexperts externes et drsquoentreprises leaders de la branche

21

Maintenirla reacuteputation

et le leadershipde l entreprise

S assurer que les services informatiques

sont capables de reacutesister agrave des attaques et d en surmonter les effets

Comprendreles exigencesde seacutecuriteacute

les vulneacuterabiliteacuteset les menaces

Deacutetecter et reacutesoudreles problegravemes d accegraves

non autoriseacutes

Nombre d incidentsqui ont mis

l entreprise en difficulteacute vis agrave vis

des tiers

Nombre d incidentsinformatiques reacuteels

qui ont eu un impactsur l activiteacute

de l entreprise

Nombre d incidentsreacuteels geacuteneacutereacutespar un accegravesnon autoriseacute

Freacutequencedes revues des types

d eacuteveacutenements de seacutecuriteacute agrave surveiller







des tiers



de l entreprise

ndash rsquo






non autoriseacutes






non autoriseacutes

Figure 16 ndash Exemple de relation entre les objectifs






non autoriseacutes






non autoriseacutes







ndash

COBIT41 Les objectifs sont deacutefinis dans le sens descendant en ce sens que les objectifs meacutetiers deacutetermineront un certain nombre dobjectifs informatiques pour favoriser leur reacutealisation Un objectif informatique est atteint par un processus ou par linteraction de diffeacuterents processus Par conseacutequent les objectifs informatiques aident agrave deacutefinir les diffeacuterents objectifs de processus Dautre part chaque objectif de processus requiert un certain nombre dactiviteacutes eacutetablissant ainsi les objectifs de lactiviteacute La figure 16 fournit des exemples de liens entre les objectifs meacutetiers informatiques des processus et de lactiviteacute

Figure 16 Exemple de relation entre les objectifs

OOObbbjjjeeeccctttiiifff mmmeacuteeacuteeacutetttiiieeerrr

Maintenir la reacuteputation

et le leadership de lrsquorsquorsquorsquoentreprise

Srsquorsquorsquorsquoassurer que les services informatiques

sont capables de reacutesister agrave des attaques et drsquorsquorsquorsquoen surmonter les effets

OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee

Deacutetecter et reacutesoudre les problegravemes drsquorsquorsquoaccegraves

non autoriseacutes

Srsquorsquorsquoassurer que les services informatiques

sont capables de reacutesister agrave des attaques et drsquorsquorsquoen surmonter les effets

OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss


non autoriseacutes

OOObbbjjjeeeccctttiiifff iiinnnfffooorrrmmmaaatttiiiqqquuueee OOObbbjjjeeeccctttiiifff ppprrroooccceeessssssuuusss

Comprendre les exigences de seacutecuriteacute

les vulneacuterabiliteacutes et les menaces

OOObbbjjjeeeccctttiiifff aaaccctttiiivvviiittteacuteeacuteeacute

Les termes ICO (indicateurs cleacutes dobjectif) et ICP (indicateurs cleacutes de performance) utiliseacutes dans les preacuteceacutedentes versions de COBIT ont eacuteteacute remplaceacutes par deux types de meacutetriques bull Les mesures de reacutesultats (anciens ICO) indiquent si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees quapregraves le reacutesultat et sont

correspondent donc agrave des indicateurs a posteriori bull Les indicateurs de performance (anciens ICP) indiquent si les objectifs ont des chances decirctre atteints Ils peuvent ecirctre mesureacutes avant la

manifestation du reacutesultat et correspondent donc agrave des indicateurs a priori

La figure 17 fournit des mesures de reacutesultats ou dobjectifs possibles pour lexemple utiliseacute

Figure 17 Mesures de reacutesultats possibles pour l exemple de la figure 16

OObbjjeeccttiiff mmeacuteeacutettiieerr


et le leadership de lrsquorsquoentreprise

Nombre drsquorsquorsquoincidents qui ont mis

lrsquorsquorsquoentreprise en difficulteacute vis---agrave---vis

des tiers

MMeessuurree ddee rreacuteeacutessuullttaatt

OObbjjeeccttiiff iinnffoorrmmaattiiqquuee



OObbjjeeccttiiff pprroocceessssuuss



Deacutetecter et reacutesoudre les problegravemes drsquorsquoaccegraves

non autoriseacutes

OObbjjeeccttiiff aaccttiivviitteacuteeacute

Nombre drsquorsquorsquoincidents informatiques reacuteels

qui ont eu un impact sur lrsquorsquorsquoactiviteacute



Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par un accegraves non autoriseacute


Freacutequence des revues des types

drsquorsquoeacuteveacutenements de seacutecuriteacute agrave surveiller


Les mesures de reacutesultats du niveau infeacuterieur deviennent les indicateurs de performance du niveau supeacuterieur Comme lillustre lexemple de la figure 16 une mesure de reacutesultat indiquant que la deacutetection et la reacutesolution dun accegraves non autoriseacute sont en bonne voie reacutevegravele eacutegalement que les services informatiques seront tregraves probablement capables de reacutesister aux attaques Ainsi la mesure de reacutesultat est devenue un indicateur de performance pour lobjectif de niveau supeacuterieur La figure 18 montre comment les mesures de reacutesultats deviennent des mesures de performance dans lexemple employeacute

Les mesures de reacutesultats deacutefinissent des indicateurs qui apregraves les faits reacutevegravelent agrave la direction si une activiteacute un processus ou une fonction informatique a atteint ses objectifs Les mesures de reacutesultats des fonctions informatiques sont souvent exprimeacutees en termes de critegraveres dinformation bull Disponibiliteacute des informations requises pour reacutepondre aux besoins meacutetiers de lentreprise bull Absence de risques vis-agrave-vis de linteacutegriteacute et la confidentialiteacute bull Rentabiliteacute des processus et des opeacuterations bull Confirmation de la fiabiliteacute de lefficaciteacute et de la conformiteacute

Les indicateurs de performance deacutefinissent les mesures qui deacuteterminent agrave quel point la performance de lactiviteacute de la fonction informatique ou du processus informatique lui donne des chances datteindre les objectifs Ce sont des indicateurs essentiels pour savoir si un objectif a des chances decirctre atteint ou non conditionnant ainsi les objectifs du niveau supeacuterieur Ils mesurent geacuteneacuteralement la disponibiliteacute des capaciteacutes des pratiques et des compeacutetences approprieacutees et le reacutesultat des activiteacutes sous-jacentes Par exemple un service fourni par les SI est un objectif pour les SI mais un indicateur de performance et une compeacutetence pour lentreprise Cest la raison pour laquelle les indicateurs de performance sont parfois deacutesigneacutes sous le nom dinducteurs de performance notamment dans les tableaux de bord eacutequilibreacutes







non autoriseacutes


ayant desconseacutequences

pour l entreprise

Nombre d incidentsreacuteels geacuteneacutereacutespar des accegravesnon autoriseacute







pour l entreprise

ndash

Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications

et agrave l infrastructure

Nombre d incidentsreacuteels geacuteneacutereacutes par un accegraves non

autoriseacute

Mesure des reacutesultats Meacutetrique meacutetier Indicateur de performance

Comprendre les exigences de seacutecuriteacute les

vulneacuterabiliteacutes et les menaces

Freacutequence des analyses du type d incidents de seacutecuriteacute agrave surveiller

Srsquoassurer que les services informatiques sont capables de reacutesister agrave des attaques et drsquoen surmonter les effets

Nombre drsquoincidents informatiques reacuteels qui ont eu un impact sur lrsquoactiviteacute de lrsquoentreprise

Maintenir la reacuteputation et le leadership de lrsquoentreprise

Nombre drsquoincidents qui ont mis lrsquoentreprise en

difficulteacute vis agrave vis des tiers

Mesure des reacutesultats Meacutetrique Processus Indicateur de performance

Mesure des reacutesultats Meacutetrique informatique Indicateur de performance

Deacutefinir les objectifs

Induire la performance

Ameacuteliorer e

t reacutealigner

Mesurer la reacutealisation

rsquo

rsquo

rsquo

rsquo rsquo

rsquo

rsquo rsquo

ndash

CADRE DE REacuteFEacuteRENCE Figure 18 Inducteurs de performance possibles pour lrsquoexemple de la figure 16









non autoriseacutes


ayant des conseacutequences

pour lrsquorsquorsquoentreprise

MMeessuurree ddee ppeerrffoorrmmaannccee

Nombre drsquorsquoincidents reacuteels geacuteneacutereacutes par des accegraves non autoriseacute



MMeessuurree ddee ppeerrffoorrmmaannccee MMeessuurree ddee ppeerrffoorrmmaannccee

iiinnnddduuuiiittt

iiinnnddduuuiiittt

iiinnnddduuuiiittt

Par conseacutequent les meacutetriques fournies constituent une mesure des reacutesultats de la fonction informatique du processus informatique ou de lobjectif dactiviteacute quelles eacutevaluent ainsi quun indicateur de performance induisant lobjectif de niveau supeacuterieur en matiegravere de fonction informatique de processus informatique ou dactiviteacute

La figure 19 illustre les relations entre les objectifs meacutetiers informatiques des processus et de lactiviteacute et les diffeacuterentes meacutetriques La deacuteclinaison des objectifs est illustreacutee den haut agrave gauche agrave en haut agrave droite Sous chaque objectif apparaicirct la mesure de reacutesultat de lobjectif La petite flegraveche indique que la mecircme meacutetrique est un indicateur de performance pour lobjectif de niveau supeacuterieur

Figure 19 Relations entre processus objectifs et meacutetriques (DS5)


et agrave lrsquorsquoinfrastructure

eesstt mmeessuurreacuteeacute ppaarr

Nombre drsquorsquoincidentsreacuteels geacuteneacutereacutes par un accegraves non

autoriseacute

oobbjjeeccttiiff pprroocceessssuuss





Freacutequence des analyses du type drsquorsquoincidents de seacutecuriteacute agrave surveiller

oobbjjeeccttiiff aaccttiivviitteacuteeacute

S assurer que les services informatiques sont capables de reacutesister agrave des attaques et d en surmonter les effets


Nombre d incidents informatiques reacuteels qui ont eu un impact sur l activiteacute de l entreprise

oobbjjeeccttiiff iinnffoorrmmaattiiqquuee

Maintenir la reacuteputation et le leadership de l entreprise


Nombre d incidents qui ont mis l entreprise en


oobbjjeeccttiiff mmeacuteeacutettiieerr





Ameacuteliorer e

t reacutealigner


Lexemple fourni est tireacute de DS5 Assurer la seacutecuriteacute des systegravemes COBIT fournit uniquement des meacutetriques jusquau reacutesultat des objectifs informatiques comme lindique la deacutelimitation en pointilleacutes Mecircme sil sagit eacutegalement dindicateurs de performance pour les objectifs meacutetiers des SI COBIT ne fournit pas de mesures de reacutesultat des objectifs meacutetiers

Les objectifs meacutetiers et les objectifs informatiques utiliseacutes dans la section des objectifs et meacutetriques de COBIT ainsi que les relations entre eux sont fournis en Annexe I Pour chaque processus informatique de COBIT les objectifs et les meacutetriques sont preacutesenteacutes comme lillustre la figure 20

Les meacutetriques ont eacuteteacute mises au point en tenant compte des caracteacuteristiques suivantes bull un ratio perspicaciteacuteeffort eacuteleveacute (c-agrave-d vision de la performance et du succegraves des objectifs par rapport agrave leffort pour les atteindre) bull comparables en interne (par ex pourcentage par rapport agrave une base ou agrave des chiffres dans le temps) bull comparables en externe quels que soient la taille ou le secteur dactiviteacute bull quelques bonnes meacutetriques (eacuteventuellement mecircme une seule tregraves bonne sur laquelle agissent plusieurs paramegravetres) sont preacutefeacuterables agrave une

longue liste de mauvaises meacutetriques bull des mesures faciles agrave effectuer qui ne doivent pas ecirctre confondues avec les cibles agrave atteindre


Informatique

Ob

ject

ifs

Processus Activiteacutes

Meacutet

riq

ues

Objectifs meacutetiersCritegraveres

drsquoinformation



Description

des processus


Inducteurs gouvernance




App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Mesuresde reacutesultat

rsquo

COBIT41 Figure 20 ndash Preacutesentation des objectifs et des meacutetriques

Informatique

Ob

ject

ifs


Meacutet

riq

ues

ddeacuteeacuteffiinniitt ddeacuteeacuteffiinniitt

mmeessuurree mmeessuurree mmeessuurree

iinndduuiitt

iinndduuiitt

Le modegravele du cadre de reacutefeacuterence COBIT

Le cadre de reacutefeacuterence COBIT par conseacutequent lie les exigences dinformation et de gouvernance meacutetiers aux objectifs de linformatique Le modegravele de processus COBIT permet aux activiteacutes informatiques et aux ressources quelles utilisent decirctre correctement geacutereacutees et controcircleacutees sur la base des objectifs de controcircle de COBIT et decirctre aligneacutees et surveilleacutees en utilisant les objectifs et meacutetriques de COBIT comme lillustre la figure 21

Figure 21 ndash COBIT Gestion Controcircle Alignement et Surveillance

Objectifs meacutetiers Critegraveres

d information



Description

des processus






App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

Mesures de reacutesultat


ndash

Fiabiliteacute

Efficac

iteacute

Efficience

Confidentia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es

DOMAINES

ACTIVITEacuteS

PROCESSUS

CADRE DE REacuteFEacuteRENCE En reacutesumeacute les ressources informatiques sont geacutereacutees par des processus informatiques pour atteindre les objectifs informatiques qui reacutepondent aux exigences meacutetiers Cest le principe de base du cadre de reacutefeacuterence COBIT comme lillustre le cube COBIT (figure 22)

Figure 22 Le cube COBIT

Efficac

iteacute

Efficience

Confiden

DOMAINES

ACTIVITEacuteSPPrroocceessssuuss iinnffoorrmm

aattiiqquueess

PROCESSUS

Fiabiliteacutetia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es

RReessssoouurrcceess iinnffoorrmmaattiiqquueess

EExxiiggeenncceess mmeacuteeacutettiieerrss

On peut repreacutesenter plus en deacutetail le cadre de reacutefeacuterence geacuteneacuteral de COBIT par le graphique de la figure 23 le modegravele COBIT eacutetant diviseacute en 4 domaines et en 34 processus geacuteneacuteriques qui gegraverent les ressources informatiques pour fournir linformation agrave lentreprise en fonction des exigences meacutetiers et de celles de la gouvernance

Pourquoi COBIT est largement reconnu

COBIT se base sur lanalyse et lharmonisation des standards informatiques existants comme sur les bonnes pratiques et se conforme aux principes de gouvernance geacuteneacuteralement accepteacutes Il considegravere les exigences meacutetiers au niveau le plus geacuteneacuteral et couvre lensemble des activiteacutes informatiques en se concentrant sur ce qui doit ecirctre accompli plutocirct que sur la faccedilon de reacuteussir une gouvernance une gestion et un controcircle efficaces des activiteacutes Il agit donc comme un inteacutegrateur des pratiques de gouvernance des SI et sadresse aux directions geacuteneacuterales au management des meacutetiers et de linformatique aux professionnels de la gouvernance de lassurance et de la seacutecuriteacute comme agrave ceux de laudit et du controcircle informatique Il est conccedilu pour ecirctre compleacutementaire dautres standards et des bonnes pratiques et pour ecirctre utiliseacute conjointement avec eux

La mise en place des bonnes pratiques doit ecirctre coheacuterente avec la gouvernance de lentreprise et avec le cadre de controcircle approprieacutee agrave lentreprise et inteacutegreacutee aux autres meacutethodes et pratiques utiliseacutees Les standards et les bonnes pratiques ne sont pas la panaceacutee Leur efficaciteacute deacutepend de la faccedilon dont ils ont eacuteteacute mis en œuvre et dont ils sont tenus agrave jour Ils sont plus utiles lorsquon les applique comme un ensemble de principes et comme point de deacutepart pour leacutelaboration de proceacutedures speacutecifiques sur mesure Pour eacuteviter que les pratiques restent au niveau des bonnes intentions le management et le personnel doivent comprendre quoi faire comment le faire et pourquoi cest important

Pour reacuteussir lalignement des bonnes pratiques sur les exigences meacutetiers il est recommandeacute dutiliser COBIT au niveau le plus geacuteneacuteral ce qui fournira un cadre de controcircle global baseacute sur un modegravele de processus informatiques geacuteneacuteriques qui convient habituellement agrave toutes les entreprises Les pratiques speacutecifiques et les standards qui inteacuteressent des domaines particuliers peuvent ecirctre mis en regard du cadre de reacutefeacuterence COBIT fournissant ainsi un ensemble hieacuterarchiseacute de guides

COBIT concerne diffeacuterents types dutilisateurs bull les directions geacuteneacuterales pour que linvestissement informatique produise de la valeur et pour trouver le bon eacutequilibre entre risques et

investissements en controcircles dans un environnement informatique souvent impreacutevisible bull les directions meacutetiers pour obtenir des assurances sur la gestion et le controcircle des services informatiques fournis en interne ou par des

tiers bull les directions informatiques pour fournir les services informatiques dont les meacutetiers ont besoin pour reacutepondre agrave la strateacutegie de

lentreprise et pour controcircler et bien geacuterer ces services bull les auditeurs pour justifier leurs opinions etou donner des conseils au management sur les dispositifs de controcircle interne

COBIT a eacuteteacute deacuteveloppeacute et est maintenu agrave jour par un institut indeacutependant et sans but lucratif puisant dans lexpertise des membres de ses associations affilieacutees des experts du monde des affaires et des professionnels du controcircle et de la seacutecuriteacute Son contenu est baseacute sur une recherche permanente des bonnes pratiques de linformatique et il est continuellement mis agrave jour offrant ainsi un objectif et des ressources pratiques agrave tous les types dutilisateurs

COBIT est axeacute sur les objectifs et sur la perspective de la gouvernance des SI Il sassure que son cadre de reacutefeacuterence en englobe bien tous les aspects en accord avec les principes de la gouvernance dentreprise et par conseacutequent quil peut ecirctre accepteacute par les administrateurs dirigeants auditeurs et reacutegulateurs Dans lAnnexe II un tableau montre comment les objectifs de controcircle de COBIT se relient aux cinq domaines de la gouvernance des SI et aux activiteacutes de controcircle du COSO


ndash

Mesure de la performance

Gestion des ressources

Gestiondes risques

Apportde valeur

Alignementstrateacutegique

Modegravelesde maturiteacute

PratiquesMeacutetriquesObjectifs

ndash

bullbullbullbull

ApplicationsInformationsInfrastructuresPersonnes

DS1 Deacutef n r et geacuterer es n veaux de serv ce

DS3 Geacuterer a performance et a capac teacute

DS5 Assurer a seacutecur teacute des systegravemes

DS7 Instru re et former es ut sateurs

DS9 Geacuterer a conf gurat on

DS11 Geacuterer es donneacutees

DS13 Geacuterer exp o tat on

DS2 Geacuterer es serv ces t ers

DS4 Assurer un serv ce cont nu

DS6 Ident f er et mputer es coucircts

DS8 Geacuterer e serv ce d ass stance c ent et es nc dents

DS10 Geacuterer es prob egravemes

DS12 Geacuterer env ronnement phys que

AI 1 Trouver des so ut ons nformat ques

AI 3 Acqueacuter r une nfrastructure techn que et en assurer a ma ntenance

AI 7 Insta er et va der es so ut ons et es mod f cat ons

AI 4 Fac ter e fonct onnement et ut sat on

AI 6 Geacuterer es changements

AI 2 Acqueacuter r des app cat ons et en assurer a ma ntenance

AI 5 Acqueacuter r des ressources nformat ques

PO 1 Deacutef n r un p an nformat que strateacuteg quePO 2 Deacutef n r arch tecture de nformat onPO 3 Deacuteterm ner or entat on techno og quePO 4 Deacutef n r es processus organ sat on et es re at ons de travaPO 5 Geacuterer es nvest ssements nformat quesPO 6 Fa re connaicirctre es buts et es or entat ons du managementPO 7 Geacuterer es ressources huma nes de nformat que

PO 9 Eacuteva uer et geacuterer es r squesPO 10 Geacuterer es pro ets

PO 8 Geacuterer a qua teacute

SE 2 Surve er et eacuteva uer e controcirc e nterneSE 3 S assurer de a conform teacute aux ob gat ons externesSE 4 Mettre en p ace une gouvernance des SI

SE 1 Surve er et eacuteva uer a performance des SI

SURVEILLER ETEVALUER

PLANIFIER ETORGANISER

DEacuteLIVRER ETSUPPORTER

ACQUEacuteRIR ETIMPLEacuteMENTER

RESSOURCESINFORMATIQUES

bull Efficience

bull Inteacutegriteacutebull Disponibiliteacutebull Conformiteacutebull Fiabiliteacute

Confidentialiteacutebull

Efficaciteacutebull

COBIT

OBJECTIFS METIERS

OBJECTIFS DE GOUVERNANCE

CRITEgraveRESDrsquoINFORMATION









































COBIT

CRITEgraveRESDrsquoINFORMATIONrsquo

COBIT41 Figure 23 Le Cadre de reacutefeacuterence geacuteneacuteral de COBIT

bullbull bullbull bullbull bullbull

AAAppppppllliiicccaaatttiiiooonnnsss IIInnnfffooorrrmmmaaatttiiiooonnnsss IIInnnfffrrraaassstttrrruuuccctttuuurrreeesss PPPeeerrrsssooonnnnnneeesss

DS 1 Deacutefiiiiniiiir et geacuterer lllles niiiiveaux de serviiiice

DS 3 Geacuterer lllla performance et lllla capaciiiiteacute

DS 5 Assurer lllla seacutecuriiiiteacute des systegravemes

DS 7 Instruiiiire et former lllles utiiiilllliiiisateurs

DS 9 Geacuterer lllla confiiiiguratiiiion

DS 11 Geacuterer lllles donneacutees

DS 13 Geacuterer llllrsquorsquorsquorsquoexplllloiiiitatiiiion

DS 2 Geacuterer lllles serviiiices tiiiiers

DS 4 Assurer un serviiiice contiiiinu

DS 6 Identiiiifiiiier et iiiimputer lllles coucircts

DS 8 Geacuterer lllle serviiiice drsquorsquorsquorsquoassiiiistance clllliiiient et lllles iiiinciiiidents

DS 10 Geacuterer lllles probllllegravemes

DS 12 Geacuterer llllrsquorsquorsquorsquoenviiiironnement physiiiique

AI 1 Trouver des solllutiiions iiinformatiiiques

AI 3 Acqueacuteriiir une iiinfrastructure techniiique et en assurer llla maiiintenance

AI 7 Installllller et vallliiider llles solllutiiions et llles modiiifiiicatiiions

AI 4 Faciiillliiiter llle fonctiiionnement et lllrsquorsquorsquoutiiillliiisatiiion

AI 6 Geacuterer llles changements

AI 2 Acqueacuteriiir des appllliiicatiiions et en assurer llla maiiintenance

AI 5 Acqueacuteriiir des ressources iiinformatiiiques

PO 1 Deacutefiiiniiir un plllan iiinformatiiique strateacutegiiique PO 2 Deacutefiiiniiir lllrsquorsquorsquoarchiiitecture de lllrsquorsquorsquoiiinformatiiion PO 3 Deacutetermiiiner lllrsquorsquorsquooriiientatiiion technolllogiiique PO 4 Deacutefiiiniiir llles processus lllrsquorsquorsquoorganiiisatiiion et llles relllatiiions de travaiiilll PO 5 Geacuterer llles iiinvestiiissements iiinformatiiiques PO 6 Faiiire connaicirctre llles buts et llles oriiientatiiions du management PO 7 Geacuterer llles ressources humaiiines de lllrsquorsquorsquoiiinformatiiique

PO 9 Eacutevallluer et geacuterer llles riiisques PO 10 Geacuterer llles projjjets

PO 8 Geacuterer llla quallliiiteacute

SE 2 Surveiillller et eacutevalluer lle controcirclle iinterne SE 3 Srsquorsquoassurer de lla conformiiteacute aux oblliigatiions externes SE 4 Mettre en pllace une gouvernance des SI

SE 1 Surveiillller et eacutevalluer lla performance des SI

SURVEILLER ET EVALUER

PLANIFIER ET ORGANISER

DEacuteLIVRER ET SUPPORTER

ACQUEacuteRIR ET IMPLEacuteMENTER

RESSOURCES INFORMATIQUES

bullbullbull EEEffffffiiiccciiieeennnccceee

bullbullbull IIInnnttteacuteeacuteeacutegggrrriiittteacuteeacuteeacute bullbullbull DDDiiissspppooonnniiibbbiiillliiittteacuteeacuteeacute bullbullbull CCCooonnnfffooorrrmmmiiittteacuteeacuteeacute bullbullbull FFFiiiaaabbbiiillliiittteacuteeacuteeacute

Cbullbullbull CCooonnnfffiiidddeeennntttiiiaaallliiittteacuteeacuteeacute

Ebullbullbull EEffffffiiicccaaaccciiittteacuteeacuteeacute

COBIT

OBJECTIFS METIERS


CRITEgraveRES D INFORMATION

La figure 24 preacutesente les relations entre les diffeacuterents eacuteleacutements du cadre de reacutefeacuterence de COBIT et les domaines daction de la gouvernance des SI

Figure 24 Cadre de reacutefeacuterence COBIT et domaines de gouvernance des SI

SSPPPPMesure de la performance

PPPPSSGestion des ressources

SSPPSSGestion des risques

PPSSPPApport de valeur

PPPPAlignement strateacutegique



PP == iinndduucctteeuurr PPrriimmaaiirree SS == iinndduucctteeuurr SSeeccoonnddaaiirree


ndash

Deacutelivrer et Supporter

Acqueacuterir et Impleacutementer







GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE


COMMENT UTILISER CE LIVRE

Navigation dans le cadre de reacutefeacuterence COBIT On trouvera une description de chacun des processus informatiques de COBIT ainsi que des objectifs cleacutes et des meacutetriques dans cette preacutesentation en cascade (figure 25)

Figure 25 Navigation dans COBIT

Pour chaque processus informatique les objectifs de controcircle sont preacutesenteacutes comme les actions geacuteneacuteriques des bonnes pratiques de gestion minimum neacutecessaires pour que le processus soit sous controcircle

Le controcircle du processus informatique

nom du processus

qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique

liste des principaux objectifs meacutetiers

en se concentrant sur

liste des principaux objectifs du processus

atteint son objectif gracircce agrave

des objectifs lieacutes agrave lrsquoactiviteacute

et est mesureacute par

des meacutetriques cleacutes

EEffffiiccaa

cciitteacuteeacute

IInntteacuteeacute

ggrriitteacuteeacute

CCoonnffiidd

eennttiiaa

lliitteacuteeacute

EEffffiicciieennccee

DDiissppoonn

iibbiilliitt

eacuteeacute

CCoonnffoo

rrmmiitteacuteeacute

FFiiaabb

iilliitteacuteeacute

AApppplliiccaattiioo

nnss

PPeerrssoonnnneess

IInnffoorrmmaattiioo

nnss

IInnffrraassttrr

uuccttuurreess





GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE

SSSeeecccooonnndddaaaiiirrreeePPPrrriiimmmaaaiiirrreee

Preacutesentation des composants essentiels de COBIT

Le cadre de reacutefeacuterence COBIT est constitueacute dun certain nombre de composants principaux que lon retrouve dans le reste de cette publication et qui sont organiseacutes en 34 processus offrant ainsi une image complegravete de la faccedilon de controcircler de geacuterer et de mesurer chacun dentre eux Chaque processus est deacutetailleacute en quatre sections et chaque section occupe le plus souvent une page bull La section 1 (figure 25) contient une description du processus qui reacutesume ses objectifs la description du processus eacutetant preacutesenteacutee en

eacuteleacutements successivement deacutecaleacutes (en cascade) Cette page montre aussi sous forme scheacutematique quels sont les critegraveres dinformation les ressources informatiques et les domaines de la gouvernance des SI qui concernent ce processus avec la preacutecision P pour primaire ou S pour secondaire

bull La section 2 contient les objectifs de controcircle pour ce processus bull La section 3 contient un tableau des eacuteleacutements en entreacutee (entreacutees) et un autre des eacuteleacutements en sortie (sorties) du processus le tableau RACI

et un dernier tableau qui rapproche les objectifs et les meacutetriques bull La section 4 contient le modegravele de maturiteacute pour ce processus


COBIT41 On peut preacutesenter ainsi les eacuteleacutements qui conditionnent la performance du processus bull Les entreacutees du processus sont ce dont le proprieacutetaire du processus a besoin que les autres lui fournissent bull La description du processus et les objectifs de controcircle deacutetailleacutes preacutesentent ce que le proprieacutetaire du processus doit faire bull Les sorties du processus sont ce que le proprieacutetaire du processus doit livrer bull La partie objectifs et meacutetriques montre comment il faut mesurer le processus bull Le tableau RACI preacutecise ce qui doit ecirctre deacuteleacutegueacute et agrave qui bull Le modegravele de maturiteacute montre ce quil faut faire pour progresser

Les rocircles dans le tableau RACI sont deacutesigneacutes pour tous les processus par les expressions bull Directeur geacuteneacuteral (DG) bull Directeur financier (DF) bull Direction meacutetier bull Directeur informatique (DSI) bull Proprieacutetaire de processus meacutetier bull Responsable de lexploitation bull Responsable de larchitecture bull Responsable des deacuteveloppements bull Responsable administratif de linformatique (dans les grandes entreprises le responsable de fonctions telles que ressources humaines

budget ou controcircle interne) bull Responsable de la gestion des projets (PMO Project Management Officer) ou fonction de gestion de projet bull Conformiteacute audit risque et seacutecuriteacute (personnes qui ont des responsabiliteacutes de controcircle mais pas de responsabiliteacutes opeacuterationnelles

informatiques)

Certains processus speacutecifiques ont un rocircle speacutecialiseacute suppleacutementaire propre au processus par ex Responsable service gestion des incidents pour le processus DS8

Il faut bien noter que mecircme si le preacutesent contenu a eacuteteacute collecteacute aupregraves de centaines dexperts selon des recherches et des veacuterifications rigoureuses les entreacutees sorties responsabiliteacutes mesures et objectifs sont des exemples et ne preacutetendent constituer ni des prescriptions ni une liste exhaustive Ils proposent une base de connaissance et dexpertise dans laquelle chaque entreprise doit seacutelectionner ce qui sera efficace et efficient pour son activiteacute en fonction de sa strateacutegie de ses objectifs et de ses politiques

Utilisateurs des composants de COBIT

Les dirigeants peuvent utiliser les supports COBIT pour eacutevaluer les processus informatiques agrave laide des objectifs meacutetier et des objectifs informatiques deacutecrits en Annexe I afin de clarifier les objectifs des processus informatiques et les modegraveles de maturiteacute des processus pour eacutevaluer les performances reacuteelles

Les responsables de la mise en œuvre et les auditeurs peuvent identifier les exigences de controcircle applicables agrave partir des objectifs de controcircle et les responsabiliteacutes agrave partir des activiteacutes et des tableaux RACI associeacutes

Tous les utilisateurs potentiels peuvent tirer parti du contenu COBIT et lutiliser dans le cadre dune meacutethode globale de gestion et de gouvernance des SI conjointement agrave dautres normes plus deacutetailleacutees telles que bull ITIL pour la prestation de services bull CMM pour la fourniture de solutions bull ISO 17799 pour la seacutecuriteacute de linformation bull PMBOK ou PRINCE2 pour la gestion de projets

Annexes

On trouvera agrave la fin du livre les sections de reacutefeacuterence suppleacutementaires suivantes I Tableaux eacutetablissant les liens entre les objectifs et les processus (3 tableaux) II Relations des processus informatiques avec les domaines de la gouvernance des SI le COSO les ressources informatiques de COBIT et les critegraveres dinformation COBIT III Modegravele de maturiteacute pour le controcircle interne IV Documents de reacutefeacuterence de COBIT 41 V Correspondance entre COBIT 3e eacutedition et COBIT 41 VI Approche recherche et deacuteveloppement VII Glossaire VIII COBIT et produits de la famille COBIT



PO1 Deacutefinir un plan informatique strateacutegique PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation PO3 Deacuteterminer lrsquoorientation technologique PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail PO5 Geacuterer les investissements informatiques PO6 Faire connaicirctre les buts et les orientations du management PO7 Geacuterer les ressources humaines de lrsquoinformatique PO8 Geacuterer la qualiteacute PO9 Eacutevaluer et geacuterer les risques PO10 Geacuterer les projets

PL

AN

IFIE

R E

T

OR

GA

NIS

ER









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et Organiser Deacutefinir un plan informatique strateacutegique PO1

DESCRIPTION DU PROCESSUS

PO1 Deacutefinir un plan informatique strateacutegique

Un plan de strateacutegie informatique est neacutecessaire pour geacuterer et orienter toutes les ressources informatiques vers les prioriteacutes strateacutegiques de lrsquoentreprise La DSI et les parties prenantes de lrsquoentreprise ont la responsabiliteacute de srsquoassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services Le plan strateacutegique doit permettre aux principales parties prenantes drsquoameacuteliorer leur compreacutehension des potentialiteacutes et des limites des technologies de lrsquoinformation (TI) drsquoeacutevaluer la performance actuelle drsquoidentifier les besoins en capaciteacute et en ressources humaines et de les eacuteclairer sur le niveau drsquoinvestissement neacutecessaire La strateacutegie et les prioriteacutes de lrsquoentreprise doivent se refleacuteter dans les portefeuilles de projets et doivent ecirctre mises en œuvre par le(s) plan(s) tactique(s) des SI qui preacutecise(nt) succintement les objectifs les plans et les tacircches et qui sont compris et accepteacutes agrave la fois par les meacutetiers et lrsquoinformatique






Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S

Deacutefinir un plan informatique strateacutegique


soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices des coucircts et des risques


la convergence du management de lrsquoentreprise et du management de lrsquoinformatique dans la traduction des exigences des meacutetiers en offres de services et sur le deacuteveloppement de strateacutegies pour fournir ces services en toute transparence et efficaciteacute

atteint son objectif en

bull travaillant avec les meacutetiers et la direction geacuteneacuterale pour aligner la planification strateacutegique des SI avec les besoins actuels et futurs de lrsquoentreprise

bull ayant un bonne connaissance des capaciteacutes actuelles des technologies de lrsquoinformation bull fournissant un scheacutema des prioriteacutes agrave appliquer aux objectifs des meacutetiers qui quantifie les exigences

des meacutetiers


bull le pourcentage des objectifs informatiques du plan informatique strateacutegique qui apporte un soutien au plan strateacutegique des meacutetiers

bull le pourcentage de projets informatiques dans le portefeuille de projets qui deacutecoule directement du plan tactique des SI

bull le deacutelai entre les mises agrave jour du plan strateacutegique des SI et celles du plan tactique

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE

SecondairePrimaire SecondairePrimaire

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO1 Deacutefinir un plan informatique strateacutegique

OBJECTIFS DE CONTROcircLE


PO11 Gestion de la valeur des SI Travailler avec les meacutetiers pour srsquoassurer que le portefeuille drsquoinvestissements informatiques de lrsquoentreprise contient des programmes ou projets dont les analyses de rentabiliteacute sont solides Reconnaicirctre qursquoil y a des investissements obligatoires indispensables et discreacutetionnaires qui diffegraverent en complexiteacute et en degreacute de liberteacute pour ce qui est de lrsquoattribution des creacutedits Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes au plus tocirct pour tout eacutecart par rapport au plan par exemple en ce qui concerne les coucircts les deacutelais et les fonctionnaliteacutes susceptible drsquoavoir des conseacutequences sur les reacutesultats attendus des programmes Les services informatiques doivent ecirctre rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) eacutequitables et applicables La responsabiliteacute finale de lrsquoobtention des beacuteneacutefices et du controcircle des coucircts est clairement assigneacutee et superviseacutee Eacutetablir une eacutevaluation juste transparente reproductible et comparable des analyses de rentabiliteacute qui tient compte de la valeur financiegravere du risque de ne pas fournir une capaciteacute et de ne pas reacutealiser les beacuteneacutefices attendus

PO12 Alignement meacutetiers-informatique Instaurer des processus de formation bi-directionnelle et drsquoengagement reacuteciproque dans le plan strateacutegique pour arriver agrave un alignement et une inteacutegration de lrsquoinformatique et des meacutetiers Trouver un compromis entre les impeacuteratifs meacutetiers et ceux de lrsquoinformatique de faccedilon agrave ce que les prioriteacutes fassent lrsquoobjet drsquoun agreacutement mutuel

PO13 Eacutevaluation de la capaciteacute et de la performance actuelle Eacutevaluer la capaciteacute et la performance actuelle de la configuration et le servi fourni de faccedilon agrave constituer une base drsquoeacutevaluation de besoins agrave venir Deacutefinir la performance en termes de contribution de lrsquoinformatique aux objectifs des meacutetiers de fonctionnaliteacutes de stabiliteacute de complexiteacute de coucircts de forces et de faiblesses

PO14 Plan informatique strateacutegique Creacuteer un plan strateacutegique qui deacutefinit en coopeacuteration avec les parties prenantes comment les objectifs de lrsquoinformatique vont contribuer aux objectifs strateacutegiques de lrsquoentreprise et aux coucircts et aux risques qui leur sont lieacutes Il doit inclure les programmes drsquoinvestissements informatiques les services et les actifs informatiques Il doit deacutefinir comment les objectifs seront atteints les meacutetriques agrave retenir et les proceacutedures permettant drsquoobtenir un aval formel des parties prenantes Le plan informatique strateacutegique doit couvrir les budgets drsquoinvestissement et de fonctionnement les sources de financement la strateacutegie de fourniture la strateacutegie drsquoachat et les exigences leacutegales et reacuteglementaires Le plan strateacutegique doit ecirctre suffisamment deacutetailleacute pour permettre de deacutefinir des plans informatiques tactiques

PO15 Plans informatiques tactiques Creacuteer un portefeuille de plans informatiques tactiques qui deacutecoule du plan informatique strateacutegique Ces plans tactiques doivent contenir les programmes drsquoinvestissements informatiques les services et les actifs informatiques Ces plans tactiques doivent deacutecrire les initiatives informatiques neacutecessaires des besoins en ressources et comment lrsquoutilisation des ressources et la reacutealisation de beacuteneacutefices seront surveilleacutees et geacutereacutees Les plans tactiques doivent ecirctre suffisamment deacutetailleacutes pour permettre de deacutefinir des plans de projets Geacuterer activement les plans tactiques informatiques et les initiatives au moyen de lrsquoanalyse de projets et des portefeuilles de services

PO16 Gestion du portefeuille informatique Geacuterer activement avec les meacutetiers le portefeuille des programmes dinvestissements informatiques qui sont neacutecessaires pour atteindre les objectifs meacutetiers strateacutegiques speacutecifiques cela consiste agrave identifier deacutefinir eacutevaluer seacutelectionner initier et controcircler ces programmes et agrave eacutetablir leurs prioriteacutes respectives Cela inclut de clarifier les reacutesultats meacutetiers deacutesireacutes de srsquoassurer que les objectifs des programmes favorisent lrsquoobtention de ces reacutesultats de comprendre lrsquoampleur des efforts neacutecessaires pour les obtenir drsquoaffecter clairement la responsabiliteacute finale et de deacutefinir les mesures de soutien de deacutefinir les projets qui font partie des programmes drsquoallouer les ressources et les financements de deacuteleacuteguer lrsquoautoriteacute et de commander les projets neacutecessaires au moment du lancement des programmes


DG DF Direction meacutetier

DSI

Proprieacutetaire processus meacutetier

Responsable exploitation

Responsable architecture

Responsable deacuteveloppem

ents

Responsable administratif des SI

Bureau projet

Conformiteacute Audit

Risques et Seacutecuriteacute


GUIDE DE MANAGEMENT


De Entreacutees PO5 Rapports coucirctsbeacuteneacutefices PO9 Eacutevaluation des risques PO10 Portefeuille actualiseacute des projets DS1 Besoins de services nouveauxactualiseacutes

portefeuille actualiseacute des services

Strateacutegie drsquoentreprise et prioriteacutes Portefeuille de programmes SE1 Entreacutee de la performance dans le planning SI SE4 Etat de situation de la gouvernance des SI

orientation strateacutegique de lrsquoentreprise pour les SI

Sorties Vers Plan informatique strateacutegique PO2hellipPO6 PO8 PO9 AI1 DS1 Plan informatique tactique PO2hellipPO6 PO9 AI1 DS1 Portefeuille de projets PO5 PO6 PO10 AI6 Portefeuille de services PO5 PO6 PO9 DS1 Strateacutegie de fourniture DS2 Strateacutegie drsquoachats AI5

Entreacutees externes agrave COBIT

Lier objectifs meacutetiers et objectifs informatiques C I AR R C

Identifier les deacutependances critiques et les performances actuelles C C R AR C C C C C C

Construire un plan informatique strateacutegique A C C R I C C C C I C

Eacutelaborer des plans informatiques tactiques C I A C C C C C R I

Analyser les portefeuilles de programmes et geacuterer les portefeuilles de projets et de services C I I A R R C R C C I

FonctionsDG DF Directionmeacutetier

DSI

Proprieacutetaire

processusmeacutetier

Responsableexploitation

Responsablearchitecture

Responsabledeacuteveloppem

ents

ResponsableadministratifdesSI

Bureau

projet


RisquesetSeacutecuriteacute

Tableau RACI

Activiteacutes

Un tableau RACI identifie qui est Responsable Approuve est Consulteacute etou Informeacute

Objectifs et Meacutetriques Informatique

Objectifs

bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration

induit

induit

Meacutetriq

ues

bull Degreacute drsquoapprobation des plans informatiques strateacutegiquestactiques par les proprieacutetaires meacutetiers bull Degreacute de conformiteacute avec les exigences des meacutetiers et de gouvernance bull Niveau de satisfaction de lrsquoentreprise sur lrsquoeacutetat en cours du portefeuille drsquoapplications et de projets (nombre ampleur etc)

bull Pourcentage drsquoobjectifs informatiques dans le plan strateacutegique SI qui soutiennent le plan strateacutegique meacutetiers bull Pourcentage drsquoinitiatives informatiques dans le plan tactique SI qui soutiennent le plan tactique meacutetiers bull Pourcentage de projets informatiques dans le portefeuille de projets qursquoon peut directement relier au plan tactique SI

bull Deacutelai de mise agrave jour entre plan strateacutegique et tactique drsquoentreprise et plan strateacutegique et tactique SI bull Pourcentage de reacuteunions sur la planification strateacutegiquetactique SI ougrave des repreacutesentants meacutetiers ont activement participeacute bull Deacutelai entre la mise agrave jour du plan strateacutegique SI et la mise agrave jour des plans tactiques SI bull Pourcentage de plans tactiques SI qui se conforment aux structurescontenus preacutedeacutefinis de ces plans bull Pourcentage drsquoinitiativesprojets SI deacutefendus par les proprieacutetaires meacutetiers

Processus

bull Deacutefinir comment les exigences des meacutetiers se traduisent en offres de services bull Deacutefinir la strateacutegie pour fournir les offres de services bull Contribuer agrave la gestion du portefeuille des investissements de lrsquoentreprise agrave composantes informatiques bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique

Activiteacutes

bull Srsquoimpliquer avec les directions opeacuterationnelles et geacuteneacuterales dans lrsquoalignement des plans strateacutegiques informatiques avec les exigences des meacutetiers actuelles et futures bull Comprendre les capaciteacutes actuelles des TI bull Traduire les plans de strateacutegie informatique en plans tactiques bull Proposer un scheacutema de prioriteacutes pour les objectifs meacutetiers qui quantifie les exigences des meacutetiers

deacutefinit deacutefinit

mesure mesure mesure



MODEgraveLE DE MATURITEacute


La gestion du processus Deacutefinir un plan informatique strateacutegique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique soutenir ou eacutetendre les exigences de strateacutegie et de gouvernance de lrsquoentreprise tout en maintenant la transparence des beacuteneacutefices coucircts et risques est

0 Inexistante quand

Il ny a pas de planification informatique strateacutegique Le management na pas conscience quun plan informatique strateacutegique est neacutecessaire agrave la reacutealisation des objectifs de lentreprise

1 Initialiseacutee au cas par cas quand

Le management connaicirct le besoin drsquoun plan informatique strateacutegique La planification informatique srsquoeffectue au cas par cas en reacuteponse agrave des exigences meacutetiers speacutecifiques La planification informatique strateacutegique fait lrsquoobjet de discussions occasionnelles aux reacuteunions de la DSI Lalignement des exigences meacutetiers des applications et de lrsquoinformatique se fait dune faccedilon reacuteactive plus que par une strateacutegie geacuteneacuterale de lentreprise La position strateacutegique par rapport au risque est deacutetermineacutee de faccedilon informelle projet par projet

2 Reproductible mais intuitive quand

Le plan strateacutegique informatique nest partageacute avec la direction de lentreprise quen reacuteponse agrave des besoins speacutecifiques On met agrave jour les plans informatiques en reacuteponse agrave des demandes du management On prend les deacutecisions projet par projet sans coheacuterence avec une strateacutegie globale drsquoentreprise On connaicirct intuitivement les risques et les avantages des principales deacutecisions strateacutegiques pour les utilisateurs

3 Deacutefinie quand

Une politique deacutefinit quand et comment reacutealiser le plan informatique strateacutegique Ce dernier adopte une approche structureacutee qui est documenteacutee et connue de tout le personnel Le processus de planification informatique est raisonnablement conccedilu et garantit une bonne probabiliteacute de reacutealisation dun plan approprieacute Toutefois la mise en œuvre du processus est laisseacutee agrave linitiative de responsables individuels et aucune proceacutedure dexamen de ce processus nest preacutevue La strateacutegie informatique globale inclut une deacutefinition coheacuterente des risques accepteacutes par lentreprise et preacutecise si elle se voit en position dinnovateur ou de suiveur Les strateacutegies informatiques en matiegravere de finances de techniques et de ressources humaines influencent de plus en plus lacquisition de nouveaux produits et de nouvelles technologies La planification informatique strateacutegique fait lrsquoobjet de discussions aux reacuteunions de la direction de lrsquoentreprise

4 Geacutereacutee et mesurable quand

La planification informatique strateacutegique est une pratique standard et le management signale les anomalies Elle correspond agrave une fonction de management comportant des responsabiliteacutes de cadre supeacuterieur Le management est capable de surveiller le processus de planification informatique strateacutegique de prendre des deacutecisions eacutetayeacutees en se basant sur lui et de mesurer son efficaciteacute Il existe agrave la fois des plans informatiques agrave court et long terme qui sont diffuseacutes agrave tous les eacutechelons de lentreprise avec des mises agrave jour lorsque cest neacutecessaire La strateacutegie informatique et la strateacutegie globale de lentreprise sont de mieux en mieux coordonneacutees gracircce agrave lutilisation de processus meacutetiers et de capaciteacutes qui ajoutent de la valeur et gracircce agrave la mise en œuvre dapplications et de technologies qui induisent la reacute-ingeacutenierie des processus meacutetiers Il existe un processus bien deacutefini assurant une bonne reacutepartition entre les ressources internes et externes neacutecessaires au deacuteveloppement et agrave lexploitation des systegravemes

5 Optimiseacutee quand

Le plan informatique strateacutegique est un processus documenteacute et vivant toujours pris en compte dans la deacutefinition des objectifs meacutetiers la valeur apporteacutee par les investissements informatiques est patente Les consideacuterations risquevaleur ajouteacutee sont continuellement actualiseacutees dans le processus de planification informatique strateacutegique On deacuteveloppe et on actualise en permanence des plans informatiques agrave long terme reacutealistes pour refleacuteter leacutevolution des technologies et des activiteacutes de lentreprise On utilise des tests comparatifs avec les normes reconnues et fiables des meacutetiers et on les integravegre au processus drsquoeacutelaboration de la strateacutegie Le plan informatique strateacutegique tient compte de la faccedilon dont lrsquoeacutevolution des nouvelles technologies peut induire de nouvelles capaciteacutes meacutetiers et ameacuteliorer lrsquoavantage compeacutetitif de lentreprise










GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Planifier et Organiser Deacutefinir lrsquoarchitecture de lrsquoinformation PO2


PO2 Deacutefinir larchitecture de lrsquoinformation

Les responsables des systegravemes informatiques doivent creacuteer et mettre reacuteguliegraverement agrave jour un modegravele drsquoinformation de lrsquoentreprise et deacuteterminer quels sont les systegravemes approprieacutes susceptibles drsquooptimiser lrsquoutilisation de cette information Cela comprend lrsquoeacutelaboration drsquoun dictionnaire des donneacutees de lrsquoentreprise des regravegles de syntaxe de donneacutees propres agrave lrsquoentreprise drsquoun systegraveme de classification des donneacutees et de niveaux de seacutecuriteacute En assurant une information fiable et sucircre ce processus ameacuteliore la gestion de la prise de deacutecision et permet de rationaliser les ressources informatiques pour ecirctre en phase avec les strateacutegies de lrsquoentreprise Ce processus informatique est aussi neacutecessaire pour eacutetendre le champ de la responsabiliteacute de lrsquointeacutegriteacute et de la seacutecuriteacute des donneacutees et pour ameacuteliorer lrsquoefficaciteacute et le controcircle du partage de lrsquoinformation entre les applications et les diffeacuterents deacutepartements de lrsquoentreprise

Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PS PS





Deacutefinir larchitecture de lrsquoinformation



reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers


la constitution drsquoun modegravele de donneacutees de lrsquoentreprise inteacutegrant un systegraveme de classification des informations pour assurer lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees


bull garantissant lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull attribuant la proprieacuteteacute des donneacutees bull classant lrsquoinformation selon un systegraveme de classification approuveacute


bull le pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes bull le pourcentage drsquoapplications qui ne se conforment pas agrave la meacutethodologie drsquoarchitecture

de lrsquoinformation de lrsquoentreprise bull la freacutequence des activiteacutes de validation des donneacutees

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures


Planifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPlanifier et OrganiserPO2 Deacutefinir lrsquoarchitecture de lrsquoinformation



PO21 Modegravele darchitecture de linformation de lrsquoentreprise Eacutetablir et tenir agrave jour un modegravele drsquoinformation de lrsquoentreprise pour faciliter le deacuteveloppement drsquoapplications et les activiteacutes drsquoaide agrave la deacutecision conforme aux plans informatiques deacutecrits dans PO1 Ce modegravele doit permettre drsquooptimiser la creacuteation lrsquoutilisation et le partage de lrsquoinformation dans lrsquoentreprise et drsquoen maintenir lrsquointeacutegriteacute la flexibiliteacute la fonctionnaliteacute la rentabiliteacute la disponibiliteacute en temps opportun la seacutecuriteacute et la reacutesistance aux pannes

PO22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise Maintenir opeacuterationnel un dictionnaire des donneacutees qui utilise les regravegles de syntaxe des donneacutees de lentreprise Ce dictionnaire doit faciliter le partage drsquoeacuteleacutements de donneacutees par les applications et les systegravemes favoriser la compreacutehension commune des donneacutees entre lrsquoinformatique et les utilisateurs meacutetiers et eacuteviter la creacuteation drsquoeacuteleacutements de donneacutees incompatibles

PO23 Systegraveme de classification des donneacutees Eacutetablir un systegraveme de classification baseacute sur les dimensions critiques et sensibles des donneacutees (par ex publiques confidentielles secregravetes) qui srsquoapplique agrave toute lrsquoentreprise Ce systegraveme doit comprendre les deacutetails sur la proprieacuteteacute des donneacutees la deacutefinition des niveaux de seacutecuriteacute et des controcircles de protection approprieacutes une bregraveve description des regravegles de conservation et de destruction des donneacutees et de leurs dimensions critiques et sensibles Il doit ecirctre utiliseacute comme base pour les controcircles comme les controcircles drsquoaccegraves drsquoarchivage ou de cryptage

PO24 Gestion de lrsquointeacutegriteacute Deacutefinir et mettre en place des proceacutedures qui assurent lrsquointeacutegriteacute et la coheacuterence de toutes les donneacutees conserveacutees sous forme eacutelectronique comme les bases de donneacutees les entrepocircts de donneacutees et les archives de donneacutees



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plans informatiques strateacutegiques et tactiques

AI1 Eacutetude de faisabiliteacute shy exigences des meacutetiers

AI7 Revue postshydeacutemarrage

DS3 Informations sur la performance et la capaciteacute

SE1 Entreacutee de la performance dans le planning SI

Sorties Vers Systegraveme de classification de donneacutees AI2 Plan optimiseacute des systegravemes meacutetiers PO3 AI2 Dictionnaire de donneacutees AI2 DS11 Architecture de linformation PO3 DS5 Classifications attribueacutees aux donneacutees DS1 DS4 DS5 DS11 DS12 Proceacutedures et outils de classification Sorties externes agrave CobiT

Creacuteer et maintenir le modegravele drsquoinformation de lrsquoentreprise ou du groupe C I A C R C C C

Creacuteer et maintenir le(s) dictionnaire(s) de donneacutees de lrsquoentreprise ou du groupe I C AR R C

Eacutelaborer et maintenir le systegraveme de classification de donneacutees I C A C C I C C R

Fournir aux proprieacutetaires de donneacutees les proceacutedures et les outils neacutecessaires aux systegravemes de classification des donneacutees

I C A C C I C C R

Utiliser le modegravele drsquoinformation le dictionnaire de donneacutees et le systegraveme de classification pour planifier des systegravemes informatiques meacutetiers optimiseacutes

C C I A C R C I

Fonctions

DG DF Directionmeacutetier

DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes


Objectifs et Meacutetriques Informatique Processus

Objectifs

bull Optimiser lrsquoutilisation de lrsquoinformation bull Assurer une inteacutegration en douceur des applications dans les processus meacutetiers bull Reacuteagir aux exigences des meacutetiers en fonction de la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique

deacutefinit

bull Eacutetablir un modegravele des donneacutees de lrsquoentreprise bull Reacuteduire la redondance des donneacutees bull Soutenir une gestion efficace de lrsquoinformation

deacutefinit

induit

induit

Meacutetriq

ues

bull Pourcentage de satisfaction des utilisateurs du modegravele drsquoinformation (par ex le dictionnaire de donneacutees est-il facile agrave utiliser ) bull Pourcentage drsquoeacuteleacutements de donneacutees redondantsdupliqueacutes

bull Pourcentage drsquoeacuteleacutements de donneacutees qui ne font pas partie du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements non conformes au systegraveme de classification des donneacutees bull Pourcentage drsquoapplications non conformes aux architectures de lrsquoinformation

bull Freacutequence drsquoactualisation du modegravele de donneacutees de lrsquoentreprise bull Pourcentage drsquoeacuteleacutements de donneacutees qui nrsquoont pas de proprieacutetaire bull Freacutequence des activiteacutes de validation des donneacutees bull Niveau de participation des utilisateurs

Activiteacutes

bull Assurer lrsquoexactitude de lrsquoarchitecture de lrsquoinformation et du modegravele de donneacutees bull Attribuer la proprieacuteteacute des donneacutees bull Classer lrsquoinformation selon un systegraveme de classification approuveacute bull Assurer la coheacuterence entre les composants de lrsquoinfrastructure informatique (par ex architecture de lrsquoinformation dictionnaires de donneacutees applications systegravemes de classification et niveaux de seacutecuriteacute) bull Maintenir lrsquointeacutegriteacute des donneacutees






La gestion du processus Deacutefinir lrsquoarchitecture de lrsquoinformation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacutepondre intelligemment et rapidement aux exigences fournir des informations fiables et coheacuterentes et inteacutegrer en douceur les applications aux processus meacutetiers est

0 Inexistante quand

Il ny a pas de prise de conscience de limportance de larchitecture de linformation pour lentreprise Les connaissances les compeacutetences et les responsabiliteacutes neacutecessaires pour mettre en place cette architecture nexistent pas dans lentreprise


Le management admet le besoin drsquoune architecture de lrsquoinformation Lrsquoeacutelaboration de certains composants drsquoune architecture de lrsquoinformation a lieu au cas par cas Les deacutefinitions concernent les donneacutees plutocirct que les informations et viennent des logiciels applicatifs disponibles sur le marcheacute La communication sur le besoin dune architecture de linformation se fait au hasard sans coheacuterence


Un processus drsquoarchitecture de lrsquoinformation se fait jour et diffeacuterentes personnes dans lentreprise suivent des proceacutedures semblables bien qursquoinformelles et intuitives Les personnels acquiegraverent leurs compeacutetences en architecture de lrsquoinformation par la pratique et par la mise en œuvre de techniques reacutepeacutetitives La neacutecessiteacute tactique est agrave lorigine de la creacuteation de certains composants dune architecture de linformation


Limportance de larchitecture de linformation est comprise et accepteacutee et lrsquoon sait clairement qui est responsable de sa mise en place On a standardiseacute et documenteacute des proceacutedures outils et techniques lieacutes agrave cette architecture ils sont encore simples et font partie dactiviteacutes de formation informelles On a deacutefini certaines politiques de base sur cette question en fonction de certaines neacutecessiteacutes strateacutegiques mais la conformiteacute avec les politiques standards et outils nrsquoest pas systeacutematiquement respecteacutee On trouve une fonction dadministration des donneacutees formellement deacutefinie qui met en place des standards agrave leacutechelle de lentreprise et qui commence agrave faire des rapports sur la mise agrave disposition et lutilisation de larchitecture de linformation On commence agrave employer des outils automatiseacutes mais les processus et les regravegles utiliseacutes sont deacutefinis par les offres commerciales de logiciels de bases de donneacutees Un plan de formation formel a eacuteteacute eacutelaboreacute mais les formations formelles sont encore baseacutees sur lrsquoinitiative individuelle


Des meacutethodes et des techniques preacutecises soutiennent pleinement le deacuteveloppement et la mise en œuvre de larchitecture de linformation On rend compte des performances du processus de deacuteveloppement de larchitecture de linformation et on mesure ses reacutesultats Des outils automatiques dassistance sont largement reacutepandus mais pas encore inteacutegreacutes On a identifieacute les principaux eacuteleacutements agrave mesurer et un systegraveme de mesure est en place Le processus de deacutefinition de larchitecture de linformation est proactif et conccedilu pour faire face aux besoins futurs de lentreprise Le personnel chargeacute de ladministration des donneacutees simplique activement dans tous les efforts de deacuteveloppement des applications pour en assurer la coheacuterence Un reacutefeacuterentiel central automatiseacute est pleinement opeacuterationnel On utilise des modegraveles de donneacutees plus complexes pour beacuteneacuteficier des informations contenues des bases de donneacutees Les systegravemes dinformation agrave lusage du management (EIS) et les systegravemes daide agrave la deacutecision utilisent pleinement les informations disponibles


Lrsquoarchitecture de lrsquoinformation est systeacutematiquement utiliseacutee agrave tous les niveaux On met en permanence lrsquoaccent sur la valeur de lrsquoarchitecture de lrsquoinformation pour lrsquoentreprise Les informaticiens ont les connaissances et les compeacutetences neacutecessaires pour deacutevelopper et assurer la maintenance dune architecture de linformation robuste et reacuteactive qui srsquointeacuteresse agrave tous les besoins de lentreprise On utilise systeacutematiquement et abondamment linformation fournie On utilise largement les meilleures pratiques de la profession en matiegravere de deacuteveloppement et de maintenance de larchitecture de linformation y compris un processus dameacutelioration permanente On a deacutefini une strateacutegie de mobilisation des informations en utilisant les technologies dentrepocircts de donneacutees et doutils dexploration des donneacutees (data mining) Larchitecture de linformation sameacuteliore sans cesse et elle prend en compte les informations non traditionnelles sur les processus les organisations et les systegravemes










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S

Planifier et Organiser Deacuteterminer lrsquoorientation technologique PO3


PO3 Deacuteterminer lorientation technologique

Le SI deacutetermine lrsquoorientation technologique susceptible de favoriser lrsquoactiviteacute de lrsquoentreprise Cela exige la creacuteation et la maintenance dun plan dinfrastructure technologique et drsquoun comiteacute architecture des TI qui fixe et gegravere les attentes clairement exprimeacutees et reacutealistes de ce que la technologie peut offrir en termes de produits services et meacutecanismes de livraison Ce plan est reacuteguliegraverement actualiseacute et comprend des aspects comme lrsquoarchitecture lrsquoorientation technologique les plans drsquoacquisition les standards les strateacutegies de migration et les impreacutevus Cela permet de reacuteagir en temps utile aux modifications de lrsquoenvironnement concurrentiel cela permet aussi des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP





Deacuteterminer lorientation technologique



posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise


la deacutefinition et la mise en place drsquoun plan drsquoinfrastructure informatique drsquoune architecture et de standards qui savent identifier et mettre agrave profit les opportuniteacutes technologiques


bull mettant en place un forum destineacute agrave conseiller lrsquoarchitecture et agrave veacuterifier la conformiteacute bull mettant en place un plan drsquoinfrastructure technologique qui trouve le bon eacutequilibre entre coucircts

risques et besoins bull deacutefinissant les standards drsquoinfrastructure technologique en fonction des besoins de lrsquoarchitecture

informatique


bull le nombre et le type drsquoeacutecarts par rapport au plan drsquoinfrastructure technologique bull la freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technologique bull le nombre de plates-formes technologiques par service dans lrsquoentreprise

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO3 Deacuteterminer lrsquoorientation technologique



PO31 Planification de lrsquoorientation technologique Analyser les technologies existantes et eacutemergentes et deacutecider quelle orientation technologique sera la plus favorable pour reacutepondre agrave la strateacutegie informatique et pour lrsquoarchitecture des systegravemes de lrsquoentreprise Deacutesigner aussi dans le plan les technologies qui permettront de creacuteer des opportuniteacutes pour lrsquoactiviteacute de lrsquoentreprise Entre autres composantes de lrsquoinfrastructure le plan doit prendre en compte lrsquoarchitecture des systegravemes lrsquoorientation technologique les strateacutegies de migration et les impreacutevus

PO32 Plan dinfrastructure technologique Creacuteer et maintenir un plan drsquoinfrastructure technologique en phase avec les plans strateacutegiques et tactiques des SI Ce plan doit se baser sur les orientations technologiques et comporter une gestion des impreacutevus et des orientations pour lrsquoacquisition de ressources informatiques Il doit prendre en compte les modifications de lrsquoenvironnement concurrentiel des eacuteconomies drsquoeacutechelle dans les effectifs et les investissements informatiques ainsi qursquoune meilleure interopeacuterabiliteacute des plates-formes et des applications

PO33 Surveillance de lrsquoeacutevolution des tendances et de la reacuteglementation Mettre en place un processus pour surveiller les tendances de lrsquoenvironnement du secteur drsquoactiviteacute de la profession de lrsquoenvironnement informatique leacutegal et reacuteglementaire Introduire les conseacutequences de ces tendances dans le deacuteveloppement du plan drsquoinfrastructure technologique des SI

PO34 Standards informatiques Pour proposer des solutions informatiques efficaces et sucircres agrave lrsquoensemble de lrsquoentreprise constituer un forum informatique pour donner des lignes directrices en technologie de lrsquoinformation des avis sur les produits drsquoinfrastructure et des conseils sur le choix technologique mesurer la conformiteacute par rapport agrave ces standards et agrave ces lignes directrices Ce forum doit piloter les standards et les pratiques informatiques en fonction de leur pertinence vis-agrave-vis de lrsquoactiviteacute de lrsquoentreprise des risques et de leur conformiteacute aux exigences externes

PO35 Comiteacute drsquoarchitecture technologique Creacuteer un comiteacute architecture des TI pour fournir les lignes directrices de cette architecture et les conseils pour leur application et pour en veacuterifier la conformiteacute Ce comiteacute doit piloter la conception de lrsquoarchitecture des TI en srsquoassurant qursquoelle favorise la strateacutegie de lrsquoentreprise et qursquoelle prend en compte les impeacuteratifs de conformiteacute et de continuiteacute Ceci est relieacute au processus PO2 Deacutefinir lrsquoarchitecture de lrsquoinformation



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees


PO2 Plan optimiseacute des systegravemes meacutetiers architecture de linformation

AI3 Mises agrave jour des standards techniques

DS3 Information sur la performance et la capaciteacute

Sorties Vers Opportuniteacutes technologiques AI3 Standards techniques AI1 AI3 AI7 DS5 Mises agrave niveau reacuteguliegraveres de lrsquoeacutetat de la technologie AI1 AI2 AI3 Plan dinfrastructure technique AI3 Besoins en infrastructure PO5

Creacuteer et maintenir agrave niveau un plan drsquoinfrastructure technique I I A C R C C C

Creacuteer et maintenir agrave niveau des standards techniques A C R C I I I

Publier les standards techniques I I A I R I I I I

Surveiller lrsquoeacutevolution de la technologie I I A C R C C C

Deacutefinir lrsquoutilisation (future) (strateacutegique) des nouvelles technologies C C A C R C C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes


Informatique Activiteacutes

Objectifs

bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes


bull Deacutefinir les standards drsquoinfrastructure technique en fonction des besoins de lrsquoarchitecture informatique bull Mettre en place un plan drsquoinfrastructure technique qui trouve le bon eacutequilibre entre coucircts risques et besoins bull Mettre en place un forum destineacute agrave conseiller sur lrsquoarchitecture et agrave veacuterifier la conformiteacute

mesure induit mesure

induit mesure

bull Pourcentage drsquoeacuteleacutements non conformes aux standards techniques bull Nb de plates-formes techniques diffeacuterentes par service dans lrsquoentreprise

bull Freacutequence des reacuteunions du forum sur la technologie bull Freacutequence des reacuteunions du comiteacute drsquoarchitecture technique bull Freacutequence des reacutevisionsactualisations du plan drsquoinfrastructure technique

Meacutetriq

ues

bull Nb et type drsquoeacutecarts par rapport au plan drsquoinfrastructure technique

Processus

bull Identifier et mettre agrave profit les opportuniteacutes technologiques bull Deacutevelopper et mettre en place un plan dinfrastructure technique bull Deacutefinir les standards drsquoarchitecture et de technologie pour lrsquoinfrastructure informatique





La gestion du processus Deacuteterminer lorientation technologique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique posseacuteder des systegravemes applicatifs stables rentables inteacutegreacutes et standardiseacutes et des ressources et des capaciteacutes qui reacutepondent aux besoins actuels et futurs de lrsquoentreprise est

0 Inexistante quand

Il ny a pas de prise de conscience de limportance dun plan dinfrastructure technique pour lentreprise Les connaissances et compeacutetences neacutecessaires pour deacutevelopper un tel plan nexistent pas Personne ne reacutealise quil est essentiel de preacutevoir des changements technologiques pour affecter les ressources de maniegravere efficace


Le management admet le besoin de planifier lrsquoarchitecture technique Le deacuteveloppement de composants informatiques et la mise en place de nouvelles technologies se font isoleacutement au cas par cas Lapproche de la planification de lrsquoinfrastructure est reacuteactive et pousseacutee par les besoins opeacuterationnels Les choix techniques sont dicteacutes par les plans produits souvent contradictoires des fournisseurs de mateacuteriels de systegravemes et de progiciels Il y a peu de communication sur limpact potentiel des changements technologiques


On communique sur le besoin et lrsquoimportance drsquoune planification technologique La planification reste tactique et orienteacutee vers la recherche de solutions techniques agrave des problegravemes techniques plutocirct que vers lutilisation de lrsquoinformatique pour reacutepondre aux besoins de lentreprise Leacutevaluation des changements technologiques est laisseacutee agrave des personnes diffeacuterentes qui suivent des processus intuitifs mais similaires Les personnels acquiegraverent leurs compeacutetences en planification technologique par la pratique et par la mise en œuvre reacutepeacutetitive de techniques On voit eacutemerger des techniques et des normes communes pour le deacuteveloppement de composants dinfrastructure


Le management a conscience de limportance du plan dinfrastructure technique Le processus de son deacuteveloppement est raisonnablement sain et en coheacuterence avec le plan strateacutegique informatique Il existe un plan dinfrastructure technique deacutefini documenteacute et bien diffuseacute mais il nest pas toujours respecteacute Les orientations de ce plan montrent quels sont les domaines technologiques ougrave lentreprise souhaite ecirctre en pointe et ceux qui ont une moindre prioriteacute en fonction des risques et de la strateacutegie geacuteneacuterale de lrsquoentreprise Les fournisseurs principaux sont choisis en fonction de ladeacutequation de leurs projets deacutevolution technologiques et de leurs politiques produits agrave long terme avec les orientations de lentreprise Il existe un programme formel de formation et de reacutepartition des rocircles et des responsabiliteacutes


Le management assure le deacuteveloppement et la maintenance du plan dinfrastructure technique Leacutequipe informatique a les connaissances et les compeacutetences neacutecessaires pour deacutevelopper un plan dinfrastructure technique Limpact potentiel de leacutevolution des technologies et des technologies nouvelles est pris en compte Le management peut mettre en eacutevidence les eacutecarts par rapport au plan et anticiper les problegravemes On a deacutesigneacute des responsables du deacuteveloppement et de la maintenance dun plan dinfrastructure technique Le processus de deacuteveloppement du plan drsquoinfrastructure technique est eacutelaboreacute et reacuteactif aux changements Les bonnes pratiques internes ont eacuteteacute inteacutegreacutees au processus La strateacutegie des ressources humaines est en adeacutequation avec les orientations technologiques pour faire en sorte que les informaticiens soient en mesure de faire face aux changements technologiques On a deacutefini des plans de migration pour lintroduction de nouvelles technologies Lexternalisation et le partenariat sont mis en œuvre pour acceacuteder aux connaissances et compeacutetences neacutecessaires Le management a analyseacute lrsquoacceptation du risque vis-agrave-vis de lutilisation audacieuse ou au contraire prudente des technologies lorsquil sagit de creacuteer de nouvelles opportuniteacutes professionnelles ou dameacuteliorer lefficaciteacute opeacuterationnelle


Une eacutequipe de recherche eacutevalue les technologies nouvelles ou en eacutevolution et compare les pratiques de lentreprise aux normes de la profession Les orientations du plan drsquoinfrastructure technique sont deacutefinies par rapport aux standards et deacuteveloppements internationaux et ceux de la branche et non en fonction des technologies proposeacutees par les fournisseurs Les conseacutequences potentielles de changements technologiques sont analyseacutees au niveau du management Les dirigeants approuvent formellement les orientations technologiques nouvelles et les eacutevolutions Lrsquoentreprise a un plan dinfrastructure technique qui correspond agrave ses besoins qui est robuste reacuteactif et susceptible de sadapter agrave des modifications de lenvironnement des meacutetiers On applique un processus continu drsquoameacutelioration du plan drsquoinfrastructure technique Les orientations technologiques sont largement inspireacutees des meilleures pratiques de la profession










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S

Planifier et Organiser Deacutefinir les processus lrsquoorganisation et les relations de travail PO4


PO4 Deacutefinir les processus lorganisation et les relations de travail

On deacutefinit lrsquoorganisation de lrsquoinformatique en prenant en compte les besoins en personnel et en compeacutetences en preacutevoyant les fonctions les rocircles et les responsabiliteacutes la supervision lrsquoautoriteacute et en sachant qui rend des comptes agrave qui Cette organisation fait partie drsquoun cadre de reacutefeacuterence de processus informatiques qui assure la transparence et le controcircle ainsi que lrsquoimplication de la direction geacuteneacuterale et de la direction opeacuterationnelle Un comiteacute Strateacutegie assure la supervision des SI pour le compte du Conseil drsquoAdministration (CA) et un ou plusieurs comiteacute(s) de pilotage auxquel(s) participent les responsables des meacutetiers et les responsables de lrsquoinformatique deacuteterminent les prioriteacutes relatives aux ressources informatiques en fonction des besoins des meacutetiers Les processus les politiques et les proceacutedures administratives sont en place pour toutes les fonctions en apportant une attention particuliegravere au controcircle agrave lrsquoassurance qualiteacute agrave la gestion du risque agrave la proprieacuteteacute des donneacutees et des systegravemes et agrave la seacuteparation des tacircches Pour assurer leur soutien aux exigences des meacutetiers en temps voulu lrsquoinformatique doit ecirctre impliqueacutee dans les processus de deacutecisions en cause


Deacutefinir les processus lrsquoorganisation et les relations de travail

qui reacutepondent agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP

reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents


des structures organisationnelles informatiques transparentes flexibles et reacuteactives des processus informatiques attribueacutes agrave des proprieacutetaires avec des rocircles et des responsabiliteacutes inteacutegreacutes aux processus meacutetiers et aux processus de deacutecision


bull deacutefinissant un cadre de reacutefeacuterence de processus informatiques bull mettant en place les entiteacutes et les structures organisationnelles approprieacutees bull deacutefinissant les rocircles et les responsabiliteacutes


bull le pourcentage de rocircles dont la position et lrsquoautoriteacute sont deacutecrits en deacutetail bull le nombre drsquouniteacutes meacutetiersprocessus qui ne sont pas pris en compte par lrsquoorganisation

informatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull le nombre dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation informatique

et qui ne sont pas approuveacutees ou pas conformes aux standards organisationnels deacutefinis par lrsquoinformatique

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO4 Deacutefinir les processus lrsquoorganisation et les relations de travail



PO41 Cadre de reacutefeacuterence des processus informatiques Deacutefinir un cadre de reacutefeacuterence des processus pour mettre en œuvre le plan strateacutegique des SI Ce cadre doit deacutefinir la structure des processus informatiques et leurs liens (ex geacuterer les lacunes et les recouvrements entre processus) la proprieacuteteacute la maturiteacute la mesure de la performance lrsquoameacutelioration la conformiteacute les objectifs qualiteacute et les plans pour les faire aboutir Il doit organiser lrsquointeacutegration des processus speacutecifiques aux SI la gestion du portefeuille de lrsquoentreprise les processus meacutetiers et les processus de modification de lrsquoactiviteacute de lrsquoentreprise Le cadre de reacutefeacuterence des processus informatiques doit ecirctre inteacutegreacute agrave un systegraveme de gestion de la qualiteacute et au cadre de controcircle interne

PO42 Comiteacute strateacutegique informatique Mettre en place un Comiteacute strateacutegique informatique au niveau du conseil drsquoadministration Ce comiteacute doit srsquoassurer que la gouvernance des SI eacuteleacutement de la gouvernance drsquoentreprise est bien traiteacutee donne des avis sur les orientations strateacutegiques et passe en revue les investissements majeurs pour le compte du conseil drsquoadministration

PO43 Comiteacute de pilotage informatique Mettre en place un comiteacute de pilotage informatique (ou eacutequivalent) composeacute de cadres exeacutecutifs meacutetiers et informatiques pour bull Deacuteterminer les prioriteacutes des programmes drsquoinvestissements informatiques en accord avec la strateacutegie et les prioriteacutes des meacutetiers de

lrsquoentreprise bull Assurer un suivi des projets et reacutesoudre les conflits de ressources bull Surveiller les niveaux et lrsquoameacutelioration des services

PO44 Position de la fonction informatique au sein de lentreprise Positionner la fonction informatique dans la structure globale de lrsquoentreprise selon un modegravele lieacute agrave lrsquoimportance des technologies de lrsquoinformation dans lrsquoentreprise en tenant en particulier compte de leur dimension critique pour la strateacutegie des meacutetiers et du niveau de deacutependance opeacuterationnelle vis-agrave-vis drsquoelles Le niveau hieacuterarchique du DSI doit ecirctre proportionnel agrave lrsquoimportance des SI dans lrsquoentreprise

PO45 Structure du service informatique Mettre en place une structure interne et externe drsquoorganisation de lrsquoinformatique qui reflegravete les exigences des meacutetiers En outre mettre en place un processus pour reacuteviser peacuteriodiquement la structure organisationnelle des SI de faccedilon agrave ajuster les besoins en personnel et les strateacutegies de recrutement pour faire face aux objectifs des meacutetiers deacutefinis et aux changements qui se produisent

PO46 Eacutetablissement des rocircles et responsabiliteacutes Eacutetablir et communiquer les rocircles et les responsabiliteacutes du personnel de lrsquoinformatique et des utilisateurs finaux Ils deacutefinissent lautoriteacute le niveau de responsabiliteacute et drsquoapprobation de chacun pour reacutepondre aux besoins de lrsquoentreprise

PO47 Responsabiliteacute de lassurance qualiteacute informatique Attribuer la responsabiliteacute de la performance de la fonction assurance qualiteacute et doter la fonction assurance qualiteacute des systegravemes drsquoassurance qualiteacute des compeacutetences en controcircle et en communication approprieacutes La position au sein de lrsquoentreprise les responsabiliteacutes et la dimension du groupe assurance qualiteacute doivent reacutepondre aux besoins de lentreprise

PO48 Responsabiliteacute des risques de la seacutecuriteacute et de la conformiteacute Situer la proprieacuteteacute et la responsabiliteacute des risques lieacutes aux SI dans lrsquoentreprise au niveau de management approprieacute Deacutefinir et attribuer les rocircles cruciaux de gestion des risques informatiques en y incluant les responsabiliteacutes speacutecifiques de la seacutecuriteacute de lrsquoinformation de la seacutecuriteacute physique et de la conformiteacute Situer la responsabiliteacute de la gestion de la seacutecuriteacute au niveau de lrsquoentreprise de faccedilon agrave ce qursquoelle soit concerneacutee par les questions qui touchent lrsquoensemble de lrsquoentreprise On peut avoir besoin drsquoattribuer des responsabiliteacutes suppleacutementaires de gestion de la seacutecuriteacute agrave certains niveaux des SI pour faire face agrave des problegravemes de seacutecuriteacute speacutecifiques Obtenir des orientations de la part du management sur lrsquoappeacutetence pour le risque et sur lrsquoapprobation de tout risque informatique reacutesiduel

PO49 Proprieacuteteacute des donneacutees et du systegraveme Doter lrsquoentreprise de proceacutedures et drsquooutils qui lui permettent de faire face agrave ses responsabiliteacutes de proprieacutetaire des donneacutees et des systegravemes drsquoinformation Les proprieacutetaires doivent prendre les deacutecisions concernant la classification de lrsquoinformation et la protection de cette information en fonction de cette classification



PO410 Supervision Mettre en place des pratiques adeacutequates de supervision dans la fonction informatique pour srsquoassurer que les rocircles et les responsabiliteacutes sont bien exerceacutes pour eacutevaluer si le personnel possegravede suffisamment dautoriteacute et de ressources pour accomplir ses tacircches et responsabiliteacutes et pour proceacuteder de maniegravere geacuteneacuterale agrave la reacutevision des indicateurs cleacutes de performance

PO411 Seacuteparation des tacircches Mettre en place une seacuteparation des rocircles et des responsabiliteacutes qui reacuteduisent la possibiliteacute quun seul individu puisse deacutetourner un processus critique Le management doit srsquoassurer que le personnel nrsquoeffectue que les tacircches autoriseacutees relevant de sa fonction et de ses attributions

PO412 Recrutement informatique Eacutevaluer reacuteguliegraverement les besoins en personnel ou agrave lrsquooccasion de changements majeurs au sein de lrsquoentreprise au niveau meacutetiers ou informatique pour srsquoassurer que la fonction informatique a un nombre suffisant de collaborateurs pour apporter le support adeacutequat et approprieacute aux attentes et objectifs des meacutetiers

PO413 Personnel informatique cleacute Recenser et identifier les personnels cleacutes (par ex les remplaccedilants ou les renforts) et limiter la deacutependance vis-agrave-vis de personnes uniques en charge drsquoune fonction critique

PO414 Proceacutedures et regravegles applicables au personnel sous contrat Srsquoassurer que les consultants et le personnel sous contrat qui travaillent agrave la direction informatique connaissent les regravegles de protection de lrsquoinformation de lrsquoentreprise et srsquoy conforment et ce pour que les termes des contrats passeacutes avec eux soient respecteacutes

PO415 Relations Mettre en place et maintenir opeacuterationnelle une structure de coordination de communication et de liaison optimale entre la fonction informatique et divers autres professionnels agrave lrsquointeacuterieur et agrave lrsquoexteacuterieur de cette fonction comme le conseil drsquoadministration la direction geacuteneacuterale les uniteacutes opeacuterationnelles certains utilisateurs les fournisseurs les responsables de la seacutecuriteacute les responsables de la gestion des risques le groupe responsable de la conformiteacute dans lrsquoentreprise et les responsables chargeacutes des prestations externes (externalisation et sousshytraitance)






DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plans strateacutegiques et tactiques

PO7 Politiques et proceacutedures RH des SI tableau des compeacutetences SI descriptions des postes

PO8 Actions pour lrsquoameacutelioration de la qualiteacute

PO9 Plans drsquoactions pour remeacutedier aux risques SI

SE1 Plans drsquoactions correctives

SE2 Rapport sur lrsquoefficaciteacute des controcircles SI

SE3 Recueil des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques

SE4 Ameacuteliorations du reacutefeacuterentiel des processus

Sorties Vers Reacutefeacuterentiel des processus informatiques SE4 Documentation sur les proprieacutetaires de systegravemes AI7 DS6 Organisation et relations de travail de lrsquoinformatique PO7 Reacutefeacuterentiel des processus informatiques documentation des rocircles et responsabiliteacutes

Tous

Mettre en place une organisation des SI comprenant des comiteacutes et des liens vers les parties prenantes et les fournisseurs

C C C A C C C R C I

Eacutelaborer le reacutefeacuterentiel des processus informatiques C C C A C C C R C C

Identifier les proprieacutetaires des systegravemes C C A C R I I I I I

Identifier les proprieacutetaires des donneacutees I A C C I R I I I C

Mettre en place les rocircles et les responsabiliteacutes des SI en incluant supervision et seacuteparation des tacircches I I A I C C C R C C

Fonctions DG DF Directionmeacutetier

DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Reacuteagir aux exigences de la gouvernance en accord avec les orientations du conseil drsquoadministration bull Reacuteagir aux exigences des meacutetiers en srsquoalignant sur la strateacutegie drsquoentreprise bull Donner de lrsquoagiliteacute agrave lrsquoinformatique

deacutefinit

bull Mettre en place des structures organisationnelles et des relations souples et reacuteactives pour les SI bull Deacutefinir clairement les proprieacutetaires les rocircles et les responsabiliteacutes pour tous les processus informatiques et pour les relations avec les parties prenantes

deacutefinit

induit

induit

Meacutetriq

ues

bull Satisfaction des parties prenantes (enquecirctes) bull Nb drsquoinitiatives meacutetiers retardeacutees du fait de linertie de lrsquoorganisation informatique ou de labsence des compeacutetences neacutecessaires bull Nb de processus meacutetiers non supporteacutes par lrsquoinformatique mais qui devraient lrsquoecirctre drsquoapregraves la strateacutegie bull Nb dactiviteacutes informatiques essentielles exteacuterieures agrave lrsquoorganisation des SI et qui ne sont pas approuveacutees ou pas conformes aux standards deacutefinis par lrsquoorganisation des SI

bull Nb de responsabiliteacutes en conflit vis-agrave-vis de la seacuteparation des tacircches bull Nb de points escaladeacutes ou de problegravemes non reacutesolus dus agrave une absence drsquoattribution de responsabiliteacute ou agrave son insuffisance

bull Pourcentage de rocircles ayant une description de leur position et de leur autoriteacute bull Pourcentage de fonctionsprocessus opeacuterationnels informatiques lieacutes aux structures opeacuterationnelles meacutetiers bull Freacutequence des reacuteunions des comiteacutes de strateacutegie et de pilotage

Activiteacutes

bull Deacutefinir un cadre de reacutefeacuterence pour les processus informatiques bull Mettre en place les entiteacutes et les structures organisationnelles approprieacutees






La gestion du processus Deacutefinir les processus lorganisation et les relations de travail qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir avec rapiditeacute et souplesse agrave la strateacutegie de lrsquoentreprise tout en se conformant aux exigences de gouvernance et en proposant des interlocuteurs identifieacutes et compeacutetents est

0 Inexistante quand

Lrsquoorganisation de lrsquoinformatique nrsquoest pas conccedilue de maniegravere efficace pour contribuer au succegraves des objectifs des meacutetiers


Les activiteacutes et fonctions informatiques viennent dinitiatives au cas par cas et sont mises en place sans coheacuterence Les SI ne sont impliqueacutes dans les processus meacutetiers que dans les derniegraveres eacutetapes La fonction informatique est consideacutereacutee comme une fonction de support qui ne prend pas en compte lrsquoorganisation globale de lentreprise Le besoin dune organisation informatique est implicitement compris mais les rocircles et les responsabiliteacutes ne sont ni formaliseacutes ni appliqueacutes


La fonction informatique est organiseacutee pour offrir des solutions tactiques aux besoins des clients et aux relations avec les fournisseurs mais sans coheacuterence On communique sur le besoin dune organisation structureacutee et dune gestion des fournisseurs mais les deacutecisions deacutependent encore des connaissances et des compeacutetences dindividus cleacutes On voit eacutemerger des techniques communes de gestion de lorganisation informatique et des relations avec les fournisseurs


On a deacutefini les rocircles et les responsabiliteacutes de lrsquoinformatique et des tiers Lorganisation informatique a eacuteteacute deacuteveloppeacutee documenteacutee communiqueacutee et aligneacutee sur la strateacutegie informatique Lrsquoenvironnement de controcircle interne est deacutefini On a formaliseacute les relations avec les tiers y compris les comiteacutes de pilotage laudit interne et la gestion des fournisseurs Lrsquoorganisation informatique possegravede toutes les fonctions neacutecessaires Les fonctions agrave la charge du SI et celles agrave la charge des utilisateurs sont bien deacutefinies Les besoins essentiels en personnel et en compeacutetences informatiques sont satisfaits Les relations avec les utilisateurs et les tiers sont formellement deacutefinies On a deacutefini et mis en place la reacutepartition des rocircles et des responsabiliteacutes


Lrsquoinformatique anticipe les changements et dispose de tous les rocircles neacutecessaires agrave la satisfaction des exigences des meacutetiers La direction des SI la proprieacuteteacute des processus et les responsabiliteacutes opeacuterationnelles et finales sont deacutefinies et eacutequilibreacutees Les bonnes pratiques internes sont mises en pratique dans lorganisation des fonctions du SI La direction des SI a lrsquoexpertise et les compeacutetences requises pour deacutefinir mettre en œuvre et surveiller le type dorganisation et de relations retenu On a standardiseacute les meacutetriques agrave lrsquoappui des objectifs des meacutetiers ainsi que les facteurs cleacutes de succegraves deacutefinis par les utilisateurs On dispose dun inventaire des compeacutetences pour soutenir la constitution deacutequipes de projets et le deacuteveloppement professionnel La proportion de compeacutetences et de ressources internes et de celles que lon recherchera agrave lexteacuterieur est preacuteciseacutee et appliqueacutee La structure organisationnelle de lrsquoinformatique est un bon reflet des besoins de lentreprise car elle fournit des services plus en ligne avec les processus meacutetiers strateacutegiques quavec des technologies isoleacutees


La structure organisationnelle de lrsquoinformatique est souple et capable de sadapter On a mis en place les meilleures pratiques de la profession Lrsquoinformatique est abondamment mise agrave contribution pour assurer la surveillance de la performance de lrsquoorganisation des SI et des processus Les technologies servent de levier pour srsquoaligner et supporter la complexiteacute et la reacutepartition geacuteographique de lrsquoentreprise Un processus dameacutelioration continu est en place










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP SS

Planifier et Organiser Geacuterer les investissements informatiques PO5


PO5 Geacuterer les investissements informatiques

Mettre en place et maintenir opeacuterationnel pour les programmes drsquoinvestissements informatiques un cadre de reacutefeacuterence qui couvre les coucircts les beacuteneacutefices les prioriteacutes budgeacutetaires un processus de budgeacutetisation formaliseacute et une gestion conforme au budget Travailler avec les parties prenantes pour identifier et controcircler les coucircts et beacuteneacutefices totaux dans le contexte des plans strateacutegiques et tactiques informatiques et initier des mesures correctives lorsque crsquoest neacutecessaire Le processus favorise le partenariat entre lrsquoinformatique et les parties prenantes des meacutetiers facilite lrsquoutilisation efficace et efficiente des ressources informatiques et apporte transparence et responsabiliteacute dans le coucirct total de proprieacuteteacute la reacutealisation de beacuteneacutefices pour lrsquoentreprise et le retour sur investissement des investissements informatiques

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP S





Geacuterer les investissements informatiques



ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux


des deacutecisions drsquoinvestissement et de gestion de portefeuille informatique efficaces et efficientes et sur lrsquoeacutetablissement et le suivi de budgets informatiques en ligne avec la strateacutegie et les deacutecisions drsquoinvestissement informatique


bull preacutevoyant et en attribuant des budgets bull deacutefinissant des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette

actuelle) bull mesurant et en eacutevaluant la valeur pour lrsquoentreprise par rapport aux preacutevisions


bull la reacuteduction du coucirct unitaire des services informatiques fournis bull le pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull le pourcentage des deacutepenses informatiques exprimeacutees en inducteurs de valeur meacutetiers (ex

augmentation des ventesservices gracircce agrave une plus grande connectiviteacute)

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO5 Geacuterer les investissements informatiques



PO51 Reacutefeacuterentiel de gestion financiegravere Mettre en place un reacutefeacuterentiel de gestion financiegravere pour geacuterer les investissements et les coucircts des actifs et services informatiques agrave lrsquoaide de portefeuilles de programmes drsquoinvestissements drsquoanalyse de rentabiliteacute et de budgets

PO52 Deacutefinition des prioriteacutes dans le budget informatique Mettre en place un processus de prise de deacutecision pour deacutefinir les prioriteacutes dans lrsquoattribution des ressources informatiques pour lrsquoexploitation les projets et la maintenance dans le but de maximiser la contribution des SI agrave lrsquooptimisation du retour sur investissement du portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et des autres services et actifs informatiques

PO53 Budget informatique Deacutefinir et mettre en place des pratiques drsquoeacutelaboration drsquoun budget qui reflegravete les prioriteacutes eacutetablies par le portefeuille de lrsquoentreprise qui gegravere les programmes drsquoinvestissements informatiques et qui prend en compte les coucircts reacutecurrents de fonctionnement et de maintenance de lrsquoinfrastructure actuelle Ces pratiques doivent favoriser le deacuteveloppement drsquoun budget global informatique ainsi que celui de budgets de programmes individuels avec une attention particuliegravere pour les composantes informatiques de ces programmes Ces pratiques doivent preacutevoir des reacutevisions et des reacuteajustements reacuteguliers et lrsquoapprobation du budget global et des budgets des programmes individuels

PO54 Gestion des coucircts Mettre en place un processus de gestion des coucircts qui compare les coucircts reacuteels aux deacutepenses budgeacuteteacutees Les coucircts doivent ecirctre suivis et communiqueacutes dans un rapport Lorsqursquoil y a des eacutecarts il faut les mettre en eacutevidence en temps voulu eacutevaluer leurs conseacutequences sur les programmes et avec le responsable meacutetier de ces programmes prendre des mesures pour y remeacutedier si neacutecessaire il faut aussi reacuteeacutevaluer lrsquoanalyse de rentabiliteacute du programme

PO55 Gestion des beacuteneacutefices Mettre en place un processus de surveillance des beacuteneacutefices attendus de la fourniture et du maintien de capaciteacutes informatiques approprieacutes La contribution de lrsquoinformatique aux meacutetiers soit en tant que composante des programmes drsquoinvestissements agrave composantes informatiques soit en tant que soutien opeacuterationnel habituel doit ecirctre identifieacutee eacutetayeacutee par une analyse de rentabiliteacute approuveacutee surveilleacutee et faire lrsquoobjet de rapports Il faut faire une analyse critique des rapports et srsquoil est possible drsquoameacuteliorer la contribution des SI il faut deacuteterminer des actions agrave entreprendre et agir Lorsque des changements dans la contribution des SI ont des conseacutequences sur un programme ou lorsque ces conseacutequences viennent de modifications drsquoautres projets lrsquoanalyse de rentabiliteacute du programme doit ecirctre reacuteeacutevalueacutee



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plans informatiques strateacutegiques et tactiques portefeuilles de projets et de services

PO3 Besoins en infrastructures

PO10 Portefeuille de projets informatiques actualiseacute

AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers

DS3 Plan performance et capaciteacute (exigences)

DS6 Donneacutees financiegraveres informatiques

SE4 Reacutesultats attendus des investissements informatiques des meacutetiers

Sorties Vers Rapports coucirctsbeacuteneacutefices PO1 AI2 DS6 SE1 SE4 Budgets informatiques DS6 Portefeuille actualiseacute des services SI DS1 Portefeuille actualiseacute des projets SI PO10

Tenir agrave jour le portefeuille de programmes A R R R C I I

Tenir agrave jour le portefeuille de projets I C AR AR C C C C I

Tenir agrave jour le portefeuille de services I C AR AR C C C I

Mettre en place et tenir agrave jour le processus de budgeacutetisation informatique I C C A C C C R C

Identifier communiquer et surveiller les investissements les coucircts et la valeur des SI pour lrsquoentreprise I C C AR C C C R C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs


induit

induit

Meacutetriq

ues

bull Pourcentage des investissements informatiques qui apportent ou deacutepassent les beacuteneacutefices preacutedeacutefinis pour lrsquoentreprise bull Pourcentage drsquoinducteurs valeur des SI mis en rapport avec les inducteurs de valeur meacutetiers bull Pourcentage de la deacutepense informatique exprimeacutee en inducteurs de valeur meacutetiers (ex augmentation des ventes gracircce agrave une plus grande connectiviteacute)

bull Nb drsquoeacutecarts par rapport au budget bull Pourcentage de lrsquoeacutecart budgeacutetaire par rapport au budget total bull Pourcentage de reacuteduction du coucirct unitaire des services informatiques fournis bull Pourcentage drsquoinvestissements informatiques qui apportent les beacuteneacutefices preacutedeacutefinis

bull Pourcentage de projets dont les beacuteneacutefices sont deacutefinis sans eacutequivoque bull Pourcentage de services informatiques dont le coucirct est eacutevalueacute bull Pourcentage de projets qui ont fait lrsquoobjet drsquoun bilan a posteriori bull Freacutequence du reportage sur les beacuteneacutefices bull Pourcentage de projets pour lesquels on dispose de lrsquoinformation sur la performance (par ex performance coucirct deacutelai et profil de risque)

Processus

bull Faciliter les deacutecisions drsquoinvestissements informatiques et de portefeuilles bull Eacutetablir et suivre les budgets informatiques en ligne avec la strateacutegie en SI et les deacutecisions drsquoinvestissement en SI bull Optimiser les coucircts et maximiser les beacuteneacutefices informatiques

Activiteacutes

bull Deacutefinir des critegraveres drsquoinvestissements formels (ROI dureacutee drsquoamortissement valeur nette actuelle) bull Preacutevoir et attribuer des budgets bull Mesurer et eacutevaluer la valeur pour lrsquoentreprise par rapport aux preacutevisions






La gestion du processus Geacuterer les investissements informatiques qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer constamment et de faccedilon deacutemontrable la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise avec des services inteacutegreacutes et standardiseacutes qui satisfont les attentes des utilisateurs finaux est

0 Inexistante quand

Il ny a pas de prise de conscience de limportance du choix des investissements informatiques et de leur budgeacutetisation Il nrsquoy a ni suivi ni surveillance des investissements et des deacutepenses informatiques


Lrsquoentreprise reconnaicirct le besoin de geacuterer les investissements informatiques mais ce besoin nrsquoest pas reacuteguliegraverement communiqueacute Lrsquoattribution de la responsabiliteacute du choix des investissements et de lrsquoeacutelaboration du budget informatique se fait au cas par cas On trouve isoleacutement des choix dinvestissements et des budgets informatiques documenteacutes de faccedilon informelle Les investissements informatiques sont justifieacutes au cas par cas Certaines deacutecisions budgeacutetaires sont prises de faccedilon circonstancielle pour reacutepondre agrave des besoins opeacuterationnels


Le besoin de faire des choix drsquoinvestissements et drsquoeacutetablir un budget informatique est implicitement compris On communique sur le besoin drsquoun processus de choix et de gestion budgeacutetaire La conformiteacute deacutepend drsquoinitiatives individuelles On voit eacutemerger des techniques communes pour deacutevelopper des composantes du budget informatique On prend des deacutecisions budgeacutetaires au coup par coup


Les politiques et les processus drsquoinvestissements et de gestion budgeacutetaire sont deacutefinis documenteacutes et communiqueacutes et prennent en compte les aspects meacutetiers et technologiques essentiels Le budget informatique est en ligne avec le plan strateacutegique informatique et avec celui de lentreprise Les processus deacutetablissement du budget et de choix des investissements informatiques sont formaliseacutes documenteacutes et communiqueacutes Une formation formelle est mise en place mais elle reste principalement baseacutee sur des initiatives individuelles On formalise lapprobation des choix budgeacutetaires et dinvestissements informatiques Le personnel informatique a les connaissances et les compeacutetences neacutecessaires pour eacutetablir le budget informatique et recommander les investissements approprieacutes


La responsabiliteacute fonctionnelle et la responsabiliteacute finale des choix dinvestissements et du budget est confieacutee agrave une personne preacutecise On relegraveve les eacutecarts par rapport au budget et on y remeacutedie Une analyse formelle est effectueacutee et rend compte des coucircts directs et indirects des opeacuterations en cours aussi bien que des investissements proposeacutes elle prend en compte tous les coucircts du cycle de vie On utilise un processus de gestion budgeacutetaire normaliseacutee et capable danticiper On constate dans les plans drsquoinvestissement un glissement des coucircts de deacuteveloppement et dexploitation des des mateacuteriels et logiciels au profit de lrsquointeacutegration des systegravemes et des ressources humaines informatiques On calcule les beacuteneacutefices et autres avantages en termes agrave la fois financiers et non financiers


On utilise les meilleures pratiques de la profession pour eacutetalonner les coucircts et susciter des approches susceptibles dameacuteliorer lrsquoefficaciteacute des investissements On analyse les nouveauteacutes technologiques pour opeacuterer les choix dinvestissements et eacutetablir les budgets Le processus de gestion des investissements est continuellement ameacutelioreacute en fonction de lrsquoanalyse des performances reacuteelles des investissements Les deacutecisions drsquoinvestissement tiennent compte des tendances agrave lrsquoameacutelioration du rapport prixperformance On cherche et on eacutevalue meacutethodiquement des alternatives de financement dans le contexte existant de la structure du capital de lentreprise en utilisant des meacutethodes deacutevaluation formelles On indentifie les variations de faccedilon proactive On tient compte dans les deacutecisions dinvestissements dune analyse agrave long terme des coucircts et des beacuteneacutefices pour un cycle de vie complet










GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

P S

Planifier et Organiser Faire connaicirctre les buts et les orientations du management PO6


PO6 Faire connaicirctre les buts et orientations du management

Le management deacuteveloppe un cadre de controcircle des SI pour lrsquoentreprise deacutefinit et communique les politiques Il met en place un programme de communication permanent approuveacute et soutenu par le management pour articuler la mission les objectifs de fourniture de services les politiques et les proceacutedures etc Cette communication apporte son soutien aux objectifs informatiques et srsquoassure qursquoon est attentif aux risques aux objectifs et aux orientations meacutetiers et informatique et qursquoon les comprend Ce processus srsquoassure de la conformiteacute aux lois et regraveglements qui srsquoappliquent agrave lui

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S





Faire connaicirctre les buts et les orientations du management



obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes


la fourniture aux parties prenantes de politiques proceacutedures lignes directrices et autres eacuteleacutements drsquoinformation compreacutehensibles et approuveacutes agrave lrsquointeacuterieur drsquoun cadre de controcircle des SI


bull deacutefinissant un cadre de controcircle pour les processus informatiques bull deacuteveloppant et deacuteployant des politiques informatiques bull appliquant les politiques informatiques


bull le nombre de perturbations des activiteacutes du fait de perturbations des services informatiques

bull le pourcentage de parties prenantes qui comprennent le cadre de controcircle des SI de lrsquoentreprise

bull le pourcentage de parties prenantes qui ne se conforment pas agrave la politique

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO6 Faire connaicirctre les buts et les orientations du management



PO61 Politique informatique et environnement de controcircle Deacutefinir les eacuteleacutements drsquoun environnement de controcircle des SI en ligne avec la philosophie de management et le style de fonctionnement de lrsquoentreprise Parmi ces eacuteleacutements on doit trouver les attentesexigences drsquoapport de valeur des investissements informatiques lrsquoappeacutetence pour le risque lrsquointeacutegriteacute les valeurs eacutethiques la compeacutetence du personnel les responsabiliteacutes opeacuterationnelles et finales Lrsquoenvironnement de controcircle est baseacute sur une culture dont les principes sont lrsquoapport de valeur tout en geacuterant les risques significatifs lrsquoencouragement agrave la coopeacuteration entre services et au travail drsquoeacutequipe la promotion de la conformiteacute et de lrsquoameacutelioration permanente des processus et la bonne prise en main des anomalies de fonctionnement (ou des eacutechecs) des processus

PO62 Risque informatique pour lrsquoentreprise et cadre de controcircle Deacutevelopper et maintenir agrave jour un cadre de reacutefeacuterence qui deacutefinit lrsquoapproche globale de lrsquoentreprise vis-agrave-vis du risque informatique et de son controcircle Ce cadre est aligneacute sur la politique informatique et son environnement de controcircle ainsi que sur le reacutefeacuterentiel de risque et de controcircle de lrsquoentreprise

PO63 Gestion des politiques informatiques Deacutevelopper et tenir agrave jour un ensemble de politiques agrave lrsquoappui de la strateacutegie SI Ces politiques doivent preacuteciser leurs objectifs comporter des rocircles et responsabiliteacutes des processus de gestion des exceptions une approche conformiteacute et des reacutefeacuterences aux proceacutedures aux standards et aux lignes directrices Leur pertinence doit ecirctre reacuteguliegraverement confirmeacutee et approuveacutee

PO64 Deacuteploiement des politiques des standards et des proceacutedures Deacuteployer et faire respecter par tout le personnel concerneacute des politiques informatiques Elles font partie inteacutegrante du fonctionnement de lrsquoentreprise

PO65 Communication des objectifs et des orientations informatiques Sensibiliser et faire comprendre les objectifs et les orientations informatiques aux parties prenantes et utilisateurs concerneacutes dans lrsquoensemble de lrsquoentreprise



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees


PO9 Guide de gestion des risques lieacutes aux SI

SE2 Rapport sur lrsquoefficaciteacute des controcircles des SI

Sorties Vers Reacutefeacuterentiel de controcircle des SI de lrsquoentreprise Tous Politiques informatiques Tous

Mettre en place et maintenir opeacuterationnels un environnement et un reacutefeacuterentiel de controcircle informatique I C I AR I C C C C

Deacutevelopper et actualiser les politiques informatiques I I I AR C C C R C

Communiquer le reacutefeacuterentiel de controcircle les objectifs et les orientations des SI I I I AR R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes


Objectifs et Meacutetriques Informatique Activiteacutes

Objectifs

bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Srsquoassurer que linformation sensible et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoa qursquoun impact minimum sur les meacutetiers bull Srsquoassurer drsquoune bonne utilisation et de la bonne performance des applications et des technologies bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir


bull Deacutefinir le reacutefeacuterentiel de controcircle des SI bull Deacutevelopper et deacuteployer des politiques informatiques bull Faire appliquer les politiques informatiques bull Deacutefinir et maintenir agrave jour un plan de communication

induit

induit

Meacutetriq

ues

bull Nb drsquooccasions ougrave des informations confidentielles ont eacuteteacute compromises bull Nb de perturbations meacutetiers dues agrave des perturbations de services informatiques bull Niveau de compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services informatiques

bull Pourcentage de parties prenantes qui comprennent la politique informatique bull Pourcentage de parties prenantes qui comprennent le reacutefeacuterentiel de controcircle des SI de lrsquoentreprise bull Pourcentage de parties concerneacutees qui ne se conforment pas agrave la politique

bull Freacutequence des reacutevisionsmises agrave jour des politiques bull Caractegravere opportun et freacutequence de la communication aux utilisateurs bull Freacutequence de reacutevisionmise agrave jour du reacutefeacuterentiel de controcircle des SI

Processus

bull Deacutevelopper un reacutefeacuterentiel de controcircle des SI commun et exhaustif bull Deacutevelopper un ensemble commun et exhaustif de politiques informatiques bull Communiquer la strateacutegie informatique les politiques et le reacutefeacuterentiel de controcircle






La gestion du processus Faire connaicirctre les buts et orientations du management qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique obtenir des informations preacutecises et en temps utile sur les services informatiques actuels et futurs et sur les risques et les responsabiliteacutes associeacutes est

0 Inexistante quand

Le management na pas mis en place un environnement de controcircle de linformatique positif On ne reconnaicirct pas encore le besoin deacutetablir un ensemble de processus de mise en œuvre des politiques des plans et proceacutedures et de la mise en conformiteacute


Le management ne prend en compte les exigences dun environnement de controcircle de linformation qursquoen reacuteaction aux circonstances On eacutetablit et on communique les politiques les proceacutedures et les standards selon les besoins au fur et agrave mesure quils se font jour Les processus de deacuteveloppement de communication et de mise en conformiteacute sont informels et incoheacuterents


Le management comprend implicitement les besoins et les exigences dun environnement de controcircle de linformation efficace mais les pratiques restent largement informelles Le management a fait connaicirctre le besoin de politiques de plans et de proceacutedures de controcircle mais leur deacuteveloppement est laisseacute agrave linitiative de chaque responsable et de certaines entiteacutes de lrsquoentreprise On reconnaicirct quune politique de qualiteacute est philosophiquement souhaitable mais les pratiques sont laisseacutees agrave la discreacutetion de chaque responsable La formation elle aussi se fait sur la base de besoins identifieacutes de faccedilon individuelle


Le management deacuteveloppe documente et communique un environnement complet du controcircle de lrsquoinformation et de la gestion de la qualiteacute qui inclut un cadre de reacutefeacuterence pour les politiques les plans et proceacutedures Le processus de deacuteveloppement des politiques est structureacute tenu agrave jour et connu du personnel et les politiques plans et proceacutedures existants sont raisonnablement fiables et sappliquent aux questions essentielles Le management met laccent sur limportance de la sensibilisation agrave la seacutecuriteacute des SI et a lanceacute des programmes de sensibilisation sur ce thegraveme Une formation formelle pour soutenir lenvironnement de controcircle de linformation existe mais elle nest pas mise en œuvre de faccedilon rigoureuse Lorsqursquoil existe un cadre de reacutefeacuterence geacuteneacuteral pour le deacuteveloppement de politiques et de proceacutedures de controcircle la surveillance de la conformiteacute agrave ces politiques et agrave ces proceacutedures nrsquoest pas reacuteguliegravere Il existe un cadre de reacutefeacuterence geacuteneacuteral de deacuteveloppement On a formaliseacute et standardiseacute des techniques pour promouvoir la sensibilisation agrave la seacutecuriteacute


Le management accepte la responsabiliteacute de communiquer les politiques de controcircle interne deacutelegravegue les responsabiliteacutes et attribue suffisamment de ressources pour que lenvironnement puisse sadapter agrave des changements importants On a creacuteeacute un environnement de controcircle de linformation positif et proactif et on sest engageacute sur la voie de la sensibilisation aux questions de qualiteacute et de seacutecuriteacute de linformation On deacuteveloppe tient agrave jour et communique un ensemble complet de politiques de plans et proceacutedures constitueacute des bonnes pratiques internes On eacutetablit un cadre de deacuteploiement qui comporte les veacuterifications de conformiteacute neacutecessaires


Lenvironnement de controcircle de linformation est en ligne avec la vision strateacutegique geacuteneacuterale et avec le cadre de gestion de cette strateacutegie il est freacutequemment reacuteviseacute mis agrave jour et constamment ameacutelioreacute Des experts internes et externes sont deacutesigneacutes pour sassurer quon utilise les meilleures pratiques de la profession en ce qui concerne la conduite du controcircle et les techniques de communication Les processus de surveillance dauto eacutevaluation et de veacuterification de la conformiteacute ont peacuteneacutetreacute toute lentreprise On utilise linformatique pour tenir agrave jour les bases de connaissances sur les politiques et sur la sensibilisation et pour optimiser la communication gracircce agrave la bureautique et aux outils de formation sur ordinateur










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP

Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7


PO7 Geacuterer les ressources humaines de lrsquoinformatique

Engager et conserver des collaborateurs compeacutetents pour la creacuteation et la fourniture de services informatiques agrave lrsquoentreprise Pour y arriver il faut suivre des pratiques deacutefinies et approuveacutees en matiegravere de recrutement de formation drsquoeacutevaluation de promotion et de deacutepart Ce processus est critique car les personnes constituent un actif important et la gouvernance et lrsquoenvironnement de controcircle interne deacutependent eacutenormeacutement de la motivation et de la compeacutetence du personnel

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP





Geacuterer les ressources humaines de lrsquoinformatique



disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques


lrsquoembauche et la formation du personnel sa motivation par des plans de carriegraveres clairs lrsquoattribution de rocircles qui correspondent agrave sa compeacutetence lrsquoeacutetablissement drsquoun processus drsquoeacutevaluation deacutefini la creacuteation de fiches de postes et la surveillance agrave ne pas deacutependre de personnes cleacutes


bull eacutevaluant les performances du personnel bull embauchant et en formant du personnel informatique pour faire avancer les plans tactiques bull minimisant les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes


bull le niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique

bull le taux de turnover du personnel informatique bull le pourcentage drsquoinformaticiens dont les diplocircmes sont en adeacutequation avec les besoins des

diffeacuterents postes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO7 Geacuterer les ressources humaines de lrsquoinformatique



PO71 Recrutement et maintien du personnel Aligner les processus de recrutement du personnel informatique sur les politiques et les proceacutedures globales de lrsquoentreprise (ex embauche environnement de travail favorable orientation) Mettre en place des processus pour srsquoassurer que le personnel informatique est deacuteployeacute comme il convient dans lrsquoentreprise et qursquoil a les compeacutetences neacutecessaires pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs

PO72 Compeacutetences du personnel Veacuterifier reacuteguliegraverement que le personnel a les compeacutetences neacutecessaires pour remplir son rocircle en fonction de son instruction formation etou expeacuterience Deacutefinir les besoins en compeacutetences informatiques fondamentales et veacuterifier qursquoils sont satisfaits en utilisant des programmes de qualification et de certification si crsquoest utile

PO73 Affectation des rocircles Deacutefinir surveiller et superviser des reacutefeacuterentiels pour les rocircles les responsabiliteacutes et la reacutemuneacuteration du personnel en incluant lrsquoobligation dadheacuterer aux proceacutedures et politiques de lentreprise agrave son code deacutethique et agrave ses pratiques professionnelles Le niveau de supervision doit ecirctre fonction de lrsquoimportance du poste et de lrsquoeacutetendue des responsabiliteacutes attribueacutees

PO74 Formation Bien orienter les employeacutes des SI agrave lrsquoembauche et leur dispenser la formation permanente neacutecessaire pour tenir agrave jour leurs connaissances compeacutetences capaciteacutes et leur sensibilisation au controcircle interne et agrave la seacutecuriteacute au niveau neacutecessaire pour permettre agrave lrsquoentreprise drsquoatteindre ses objectifs

PO75 Deacutependance agrave lrsquoeacutegard drsquoindividus Deacutependre le moins possible drsquoindividus cleacutes dans les secteurs essentiels gracircce agrave lrsquoacquisition de connaissances (documentation) au partage des connaissances aux plans drsquoeacutevolution de carriegravere et aux personnels de remplacement

PO76 Proceacutedures de seacutecuriteacute concernant le personnel Inclure des veacuterifications drsquoanteacuteceacutedents dans le processus de recrutement du personnel informatique Lrsquoeacutetendue et la freacutequence de ces veacuterifications doivent ecirctre fonction du niveau de criticiteacute etou de sensibiliteacute de la fonction et srsquoappliquer aux employeacutes aux contractuels et aux fournisseurs

PO77 Eacutevaluation des performances Exiger des eacutevaluations approprieacutees et reacuteguliegraveres par rapport agrave des objectifs individuels eacutetablis drsquoapregraves les objectifs de lrsquoentreprise les standards en vigueur et les responsabiliteacutes speacutecifiques du poste Les performances et le comportement des employeacutes doivent ecirctre activement stimuleacutes par lrsquoaccompagnement lorsque crsquoest approprieacute

PO7 8 Changements de postes et deacuteparts Agir avec deacutetermination en ce qui concerne les mouvements de personnels en particulier les deacuteparts Il faut organiser le transfert des connaissances reacuteattribuer les responsabiliteacutes et supprimer les droits drsquoaccegraves de faccedilon agrave minimiser les risques et agrave garantir la continuiteacute de la fonction



DSI





ents


Bureau projet



Planifier et Organiser Geacuterer les ressources humaines de lrsquoinformatique PO7 GUIDE DE MANAGEMENT


De Entreacutees

PO4 Documentation relative agrave lrsquoorganisation aux relations aux rocircles et responsabiliteacutes des SI


Sorties Vers Politiques et proceacutedures RH des SI PO4 Tableau des compeacutetences SI PO4 PO10 Fiches de poste PO4 Compeacutetences et connaissances des utilisateurs et formation individuelle

DS7

Besoins speacutecifiques de formation DS7 Rocircles et responsabiliteacutes Tous

Identifier les compeacutetences informatiques les fiches de postes lrsquoeacuteventail des salaires et les tests comparatifs de performance personnelle

C A C C C R C

Appliquer les politiques RH et les proceacutedures particuliegraveres aux SI (recrutement embauche approbation reacutemuneacuteration formation eacutevaluation promotion et licenciement)

A R R R R R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Se procurer et conserver les compeacutetences neacutecessaires agrave la strateacutegie informatique bull Donner de lrsquoagiliteacute aux SI


induit

induit

Meacutetriq

ues

bull Niveau de satisfaction des parties prenantes de lrsquoexpertise et des compeacutetences du personnel informatique bull Turnover du personnel informatique bull Pourcentage du personnel informatique satisfait (meacutetrique composite)

bull Pourcentage du personnel informatique dont le profil de compeacutetences correspond aux postes deacutefinis par la strateacutegie bull Pourcentage de postes informatiques occupeacutes bull Pourcentage de journeacutees de travail perdues du fait drsquoabsences impreacutevues bull Pourcentage du personnel informatique qui va au bout de son programme de formation annuel bull Ratio reacuteel contractuelssalarieacutes compareacute au ratio preacutevu bull Pourcentage drsquoemployeacutes de lrsquoinformatique dont les anteacuteceacutedents ont eacuteteacute veacuterifieacutes bull Pourcentage de postes informatiques pourvus de remplaccedilants qualifieacutes

bull Pourcentage du personnel informatique qui a meneacute agrave terme un plan de formation professionnelle bull Pourcentage du personnel informatique dont lrsquoeacutevaluation des performances est valideacutee et documenteacutee en temps opportun bull Pourcentage de postes informatiques assortis drsquoune fiche et drsquoexigences de qualification bull Nb moyen de jours de formation et de deacuteveloppement personnel (y compris accompagnement) par personne et par an bull Taux de rotation du personnel informatique bull Pourcentage du personnel informatique dont les diplocircmes correspondent aux besoins du poste bull Nb moyen de jours pour pourvoir les postes informatiques disponibles

Processus

bull Eacutelaborer des pratiques professionnelles de management RH pour les SI bull Utiliser tout le personnel informatique efficacement tout en minimisant la deacutependance vis-agrave-vis de personnels cleacutes

Activiteacutes

bull Embaucher et former du personnel informatique pour faire avancer les plans tactiques bull Reacuteduire les risques drsquoune deacutependance excessive vis-agrave-vis de ressources cleacutes bull Evaluer les performances du personnel






La gestion du processus Geacuterer les ressources humaines de lrsquoinformatique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique disposer de personnes compeacutetentes et motiveacutees pour creacuteer et fournir des services informatiques est

0 Inexistante quand

Il ny a pas de prise de conscience de limportance quil y a pour lentreprise agrave mettre en coheacuterence la gestion des ressources humaines de lrsquoinformatique avec le processus de planification informatique Personne individuellement ou en groupe nest formellement responsable de la gestion des ressources humaines de lrsquoinformatique


Le management admet le besoin de geacuterer les ressources humaines informatiques Le processus de gestion des ressources humaines de lrsquoinformatique est informel et deacutepend des circonstances Il est axeacute sur lrsquoactiviteacute drsquoembauche et de gestion du personnel informatique Il y a cependant une prise de conscience de limpact quont les modifications rapides de lrsquoentreprise et des technologies ainsi que la complexiteacute de plus en plus grande des solutions sur le besoin de nouvelles expertises et de compeacutetences


Il y a une approche tactique de lembauche et de la gestion du personnel informatique inspireacutee par les besoins de projets speacutecifiques plutocirct que par la recherche drsquoun bon eacutequilibre entre les compeacutetences internes et externes Le nouveau personnel beacuteneacuteficie dune formation informelle puis de formations adapteacutees aux circonstances


Il existe un processus deacutefini et documenteacute pour la gestion des ressources humaines de lrsquoinformatique Il existe un plan de gestion des ressources humaines de lrsquoinformatique Il y a une approche strateacutegique de lembauche et de la gestion du personnel informatique On a conccedilu un programme formel de formation pour faire face aux besoins des ressources humaines de lrsquoinformatique On a mis en place un plan de formation alterneacute destineacute agrave deacutevelopper aussi bien les compeacutetences meacutetiers que les compeacutetences techniques


On a confieacute speacutecifiquement agrave une personne ou agrave un groupe doteacute(e) de lexpeacuterience et des compeacutetences requises la responsabiliteacute de deacutevelopper et de maintenir opeacuterationnel le plan de gestion des ressources humaines de lrsquoinformatique Le processus de deacuteveloppement et de gestion du plan de gestion des ressources humaines de lrsquoinformatique est reacuteactif aux changements Lentreprise dispose de mesures standards qui lui permettent de faire ressortir les eacutecarts par rapport au plan de gestion des ressources humaines de lrsquoinformatique avec une attention particuliegravere pour la gestion de la croissance des effectifs et du turnover On met en place des analyses des reacutemuneacuterations et des compeacutetences et on les compare aux bonnes pratiques des autres DSI et des autres entreprises de la branche La gestion des ressources humaines est proactive et prend en compte les plans de deacuteveloppement de carriegravere


Le plan de gestion des ressources humaines de lrsquoinformatique est continuellement actualiseacute pour faire face aux besoins drsquoeacutevolution de lrsquoentreprise La gestion des ressources humaines de lrsquoinformatique fait partie du plan informatique assurant le deacuteveloppement et lutilisation optimum des compeacutetences informatiques disponibles La gestion des ressources humaines de lrsquoinformatique fait partie des orientations strateacutegiques de lrsquoentreprise et reacuteagit agrave leur eacutevolution Les composantes de cette gestion telles que reacutemuneacuteration eacutevaluation des performances participation agrave des forums professionnels transfert de connaissances formation et suivi individuel sont conformes aux meilleures pratiques en vigueur dans la branche On met en place des programmes de formation avant tout deacuteploiement de nouveaux produits ou de nouvelles normes techniques dans lentreprise










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Planifier et Organiser Geacuterer la qualiteacute PO8


PO8 Geacuterer la qualiteacute

Un systegraveme de gestion de la qualiteacute est deacuteveloppeacute et actualiseacute ce qui implique des processus et des standards de deacuteveloppement et drsquoachat eacuteprouveacutes Ceci est rendu possible par la planification la mise en place et lrsquoactualisation drsquoun systegraveme de gestion de la qualiteacute et par des exigences des proceacutedures et des politiques de qualiteacute clairement deacutefinies Les exigences de qualiteacute doivent ecirctre eacutenonceacutees et communiqueacutees au travers drsquoindicateurs quantifiables et reacutealistes Lrsquoameacutelioration permanente srsquoobtient par une surveillance continue lrsquoanalyse des eacutecarts et leur correction et la communication des reacutesultats aux parties prenantes La gestion de la qualiteacute est essentielle pour srsquoassurer que lrsquoinformatique apporte de la valeur agrave lrsquoentreprise une ameacutelioration continue et une transparence vis-agrave-vis des parties prenantes

Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS





Geacuterer la qualiteacute



drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis


la deacutefinition drsquoun systegraveme de gestion de la qualiteacute (SGQ) la surveillance permanente de la performance compareacutee aux objectifs et la mise en place drsquoun programme drsquoameacutelioration permanente des services informatiques


bull deacutefinissant des standards et des pratiques de qualiteacute bull surveillant et reacutevisant les performances internes et externes par rapport aux standards et pratiques de

qualiteacute deacutefinis bull ameacuteliorant le systegraveme de gestion de la qualiteacute de faccedilon permanente


bull le pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)

bull le pourcentage de processus informatiques formellement et peacuteriodiquement reacuteviseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et leurs objectifs qualiteacute

bull le pourcentage de processus qui font lrsquoobjet drsquoune revue drsquoassurance qualiteacute

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO8 Geacuterer la qualiteacute



PO81 Systegraveme de gestion de la qualiteacute (SGQ) Mettre en place et actualiser un SGQ qui offre une approche standard formelle et continue de la gestion qualiteacute en ligne avec les exigences des meacutetiers Le SGQ doit identifier les exigences et les critegraveres qualiteacute les processus informatiques cleacutes leur ordre de succession et leurs interactions les politiques critegraveres et meacutethodes pour deacutefinir deacutetecter corriger et preacutevenir les deacutefauts de conformiteacute Le SGQ doit deacutefinir lrsquoorganisation de la gestion qualiteacute avec ses rocircles ses tacircches et ses responsabiliteacutes Tous les domaines cleacutes deacuteveloppent leurs plans qualiteacute avec leurs critegraveres et leurs politiques en ligne avec les critegraveres et les politiques et enregistrent leurs donneacutees qualiteacute Surveiller et mesurer lrsquoefficaciteacute et lrsquoadoption du SGQ et lrsquoameacuteliorer lorsque crsquoest neacutecessaire

PO82 Standards informatiques et pratiques qualiteacute Identifier et actualiser les standards les proceacutedures et les pratiques pour les processus cleacutes pour guider lrsquoentreprise vers lrsquoobjectif du SGQ Utiliser les meilleures pratiques de la branche comme reacutefeacuterence lorsqursquoon adapte et qursquoon ameacuteliore les pratiques qualiteacute de lrsquoentreprise

PO83 Standards de deacuteveloppement et drsquoacquisition Adopter et actualiser les standards pour tous les deacuteveloppements et acquisitions qui suivent le cycle de vie du livrable deacutefinitif et qui exigent un aval agrave chaque eacutetape cleacute selon des critegraveres drsquoagreacutement convenus Prendre en compte les standards de codification des logiciels conventions de nommage formats de fichiers standards de conception de scheacutemas et de dictionnaires de donneacutees standards drsquointerfaces utilisateurs interopeacuterabiliteacute efficience des performances des systegravemes capaciteacute de mise agrave lrsquoeacutechelle standards de deacuteveloppement et de tests validation par rapport aux demandes plans de tests et tests unitaires de reacutegression et drsquointeacutegration

PO84 Orientation client Orienter la gestion qualiteacute vers les clients en deacuteterminant leurs besoins et en alignant ces derniers sur les standards et les pratiques informatiques Deacutefinir les rocircles et les responsabiliteacutes concernant la reacutesolution de conflits entre lrsquoutilisateurclient et lrsquoinformatique

PO85 Ameacutelioration continue Actualiser et communiquer reacuteguliegraverement un plan geacuteneacuteral qualiteacute qui promeut lrsquoameacutelioration continue de la qualiteacute

PO86 Mesure surveillance et revue qualiteacute Deacutefinir planifier et mettre en place un systegraveme de mesure pour surveiller en continu la conformiteacute au SGQ ainsi que la valeur apporteacutee par celui-ci Le proprieacutetaire du processus doit mesurer surveiller et enregistrer les informations pour pouvoir deacutecider des actions correctives et preacuteventives approprieacutees



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plan informatique strateacutegique

PO10 Plans deacutetailleacutes des projets


Sorties Vers Standards drsquoacquisition AI1 AI2 AI3 AI5 DS2 Standards de deacuteveloppement PO10 AI1 AI2 AI3 AI7 Exigences de standards de qualiteacute et de meacutetriques Tous Actions pour lrsquoameacutelioration de la qualiteacute PO4 AI6

Deacutefinir un systegraveme de gestion qualiteacute (SGQ) C C AR I I I I I I C

Mettre en place et actualiser un SGQ I I I AR I C C C C C C

Bacirctir et communiquer des standards qualiteacute dans toute lrsquoentreprise I AR I C C C C C C

Bacirctir et geacuterer le plan qualiteacute pour lrsquoameacutelioration continue AR I C C C C C C

Mesurer surveiller et reacuteviser la conformiteacute avec les objectifs qualiteacute AR I C C C C C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire les deacutefauts et la reacutefection de la fourniture de solutions et de services bull Livrer les projets dans les deacutelais et dans le budget en respectant les standards qualiteacute


bull Deacutefinir des standards et des pratiques de qualiteacute bull Surveiller et reacuteviser les performances internes et externes par rapport aux standards et pratiques de qualiteacute deacutefinis


induit mesure

bull Pourcentage de deacutefauts deacutecouverts avant mise en production bull Pourcentage de reacuteduction du nombre drsquoincidents graves par utilisateur et par mois bull Pourcentage de projets informatiques reacuteviseacutes et avaliseacutes par lrsquoassurance qualiteacute qui atteignent leur cible et les objectifs qualiteacute bull Pourcentage de processus informatiques formellement et reacuteguliegraverement reacuteviseacutes par lrsquoassurance qualiteacute et qui atteignent leur cible et les objectifs qualiteacute

bull Pourcentage de projets faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage du personnel informatique sensibiliseacuteformeacute agrave la gestion de la qualiteacute bull Pourcentage de processus et de projets informatiques beacuteneacuteficiant drsquoune participation active des parties prenantes agrave lrsquoassurance qualiteacute bull Pourcentage de processus faisant lrsquoobjet drsquoune revue drsquoassurance qualiteacute bull Pourcentage des parties prenantes participant agrave des enquecirctes qualiteacute

Meacutetriq

ues

bull Pourcentage de parties prenantes satisfaites de la qualiteacute des SI (en tenant compte de leur importance)

Processus

bull Eacutetablir des standards et une culture qualiteacute pour les processus informatiques bull Eacutetablir une fonction assurance qualiteacute informatique efficiente et efficace bull Surveiller lrsquoefficaciteacute des processus et des projets informatiques





La gestion du processus Geacuterer la qualiteacute qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer une ameacutelioration continue et mesurable de la qualiteacute des services informatiques fournis est

0 Inexistante quand

Lrsquoentreprise ne dispose ni drsquoun processus de planification SGQ ni drsquoune meacutethodologie du de gestion du cycle de vie des systegravemes Le management et le personnel informatique ne pensent pas qursquoun programme qualiteacute soit neacutecessaire Les projets et les opeacuterations ne font jamais lrsquoobjet drsquoune revue dassurance qualiteacute


Le management a conscience du besoin dun SGQ Lorsque le SGQ est mis en œuvre crsquoest isoleacutement Le management porte des jugements informels sur la qualiteacute


On a lanceacute un programme de deacutefinition et de surveillance des activiteacutes SGQ au sein du SI Lorsquelles se produisent les deacutemarches SGQ sont appliqueacutees aux projets et aux initiatives orienteacutes processus informatiques mais pas aux processus concernant lensemble de lentreprise


Un processus deacutefini de SGQ est communiqueacute par le management et il concerne agrave la fois la gestion par lrsquoinformatique et par les utilisateurs finaux Un programme denseignement et de formation voit le jour pour faire connaicirctre la deacutemarche qualiteacute agrave tous les niveaux de lentreprise Les exigences qualiteacute de base sont deacutefinies et adopteacutees pour les projets et au sein de lrsquoinformatique On voit eacutemerger des outils communs et des pratiques communes dans la gestion de la qualiteacute On preacutevoit des enquecirctes de satisfaction qualiteacute et on les fait agrave lrsquooccasion


Tous les processus font appel au SGQ y compris ceux qui sont confieacutes agrave des tiers On constitue une base de connaissances standardiseacutee sur la mesure de la qualiteacute On utilise les meacutethodes danalyse coucirctsbeacuteneacutefices pour justifier les initiatives SGQ On commence agrave faire des tests comparatifs pour se situer vis-agrave-vis de la concurrence et du marcheacute Un programme denseignement et de formation est creacuteeacute pour enseigner la deacutemarche qualiteacute agrave tous les niveaux de lentreprise On a standardiseacute les outils et les pratiques et on utilise peacuteriodiquement lanalyse causale On effectue reacuteguliegraverement des enquecirctes de satisfaction qualiteacute On a mis en place un programme standardiseacute et bien structureacute de mesure de la qualiteacute Le management informatique est en train de constituer une base de connaissances sur la mesure de la qualiteacute


Le SGQ est inteacutegreacute et appliqueacute par toutes les activiteacutes informatiques Les processus dassurance qualiteacute sont souples et sadaptent aux modifications de lenvironnement informatique La base de connaissances des mesures de qualiteacute senrichit des meilleures pratiques constateacutees agrave lexteacuterieur Les comparaisons avec les standards externes font partie de la routine La surveillance de la satisfaction vis-agrave-vis de la qualiteacute est un processus continu qui conduit agrave lanalyse causale et agrave des actions drsquoameacutelioration Il existe une assurance formelle du niveau du processus de gestion de la qualiteacute










GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

SS PP P S S

Planifier et Organiser Eacutevaluer et geacuterer les risques PO9


PO9 Eacutevaluer et geacuterer les risques

Un reacutefeacuterentiel de gestion des risques est creacuteeacute et maintenu agrave niveau Ce reacutefeacuterentiel documente un niveau commun et agreacuteeacute de risques informatiques de strateacutegies pour les reacuteduire et de risques reacutesiduels Tout impact potentiel drsquoun eacuteveacutenement impreacutevu sur les objectifs de lrsquoentreprise est identifieacute analyseacute et eacutevalueacute Des strateacutegies de reacuteduction des risques sont adopteacutees pour ramener le risque reacutesiduel agrave un niveau acceptable Le reacutesultat de lrsquoeacutevaluation est compreacutehensible par les parties prenantes et exprimeacute en termes financiers pour permettre agrave ces parties de preacuteconiser le niveau de risque toleacuterable

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

SS PP P S S





Eacutevaluer et geacuterer les risques



analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers


le deacuteveloppement drsquoun cadre de reacutefeacuterence de gestion des risques inteacutegreacute agrave celui de la gestion des risques opeacuterationnels lrsquoeacutevaluation des risques leur reacuteduction et la communication des risques reacutesiduels


bull srsquoassurant que la gestion des risques est pleinement inteacutegreacutee aux processus de management en interne et en externe et reacuteguliegraverement appliqueacutee

bull proceacutedant agrave lrsquoeacutevaluation des risques bull recommandant et en communiquant des plans drsquoaction pour les reacuteduire


bull le pourcentage drsquoobjectifs informatiques critiques pris en compte dans lrsquoeacutevaluation des risques

bull le pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes

bull le pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO9 Eacutevaluer et geacuterer les risques



PO91 Reacutefeacuterentiel de gestion des risques informatiques Constituer un reacutefeacuterentiel de gestion des risques informatiques aligneacute sur le reacutefeacuterentiel de gestion des risques de lrsquoentreprise

PO92 Eacutetablissement du contexte du risque Eacutetablir le contexte dans lequel srsquoapplique le reacutefeacuterentiel drsquoeacutevaluation des risques pour srsquoassurer drsquoobtenir les reacutesultats approprieacutes Cela implique de deacuteterminer le contexte interne et externe de chaque eacutevaluation du risque le but de lrsquoeacutevaluation et les critegraveres de cette eacutevaluation

PO93 Identification des eacuteveacutenements Identifier les eacuteveacutenements (un nombre important de menaces reacutealistes susceptibles drsquoexploiter un nombre significatif de vulneacuterabiliteacutes potentielles) qui peuvent avoir un impact neacutegatif sur les objectifs ou les opeacuterations de lrsquoentreprise dont lrsquoactiviteacute les aspects reacuteglementaires et leacutegaux la technologie les partenaires commerciaux les ressources humaines et le caractegravere opeacuterationnel Deacuteterminer la nature des impacts et maintenir agrave jour cette information Eacutetablir une cartographie des risques actuels et la maintenir agrave jour

PO94 Eacutevaluation du risque Eacutevaluer reacuteguliegraverement la probabiliteacute et les conseacutequences de tous les risques identifieacutes en utilisant des meacutethodes qualitatives et quantitatives La probabiliteacute et les conseacutequences associeacutees aux risques inheacuterents et reacutesiduels doivent ecirctre deacutetermineacutees individuellement par cateacutegorie et par portefeuille

PO95 Reacuteponse au risque Deacutevelopper et tenir agrave jour un processus de reacuteponse au risque destineacute agrave srsquoassurer que des controcircles eacuteconomiquement rentables reacuteduisent en permanence lrsquoexposition au risque La reacuteponse au risque doit proposer des strateacutegies comme lrsquoeacutevitement la reacuteduction le partage et lrsquoacceptation Elle doit preacuteciser les responsabiliteacutes associeacutees et tenir compte du niveau drsquoappeacutetence aux risques

PO96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques Eacutetablir les prioriteacutes et planifier les activiteacutes de controcircle agrave tous les niveaux pour mettre en place les reacuteponses aux risques consideacutereacutees comme neacutecessaires sans oublier lrsquoeacutevaluation des coucircts et des beacuteneacutefices et la responsabiliteacute de leur mise en œuvre Rechercher lrsquoapprobation pour les actions recommandeacutees et lrsquoacceptation de tous les risques reacutesiduels et srsquoassurer que les proprieacutetaires des processus affecteacutes par le risque assument aussi la proprieacuteteacute des actions entreprises Surveiller lrsquoexeacutecution des plans et rapporter tout eacutecart au management



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plans informatiques strateacutegiques et tactiques portefeuille de services informatiques

PO10 Plan de gestion des risques des projets

DS2 Risques fournisseurs

DS4 Reacutesultats des tests des plans de secours

DS5 Menaces et vulneacuterabiliteacutes de seacutecuriteacute

SE1 Historique des eacuteveacutenements de risque et des tendances

SE4 Appeacutetence de lrsquoentreprise pour le risque informatique

Sorties Vers Eacutevaluations des risques PO1 DS4 DS5 DS12 SE4 Rapports sur les risques SE4 Guides de gestion des risques informatiques PO6 Plans drsquoactionssolutions risques informatiques PO4 AI6

Tableau RACI

Activiteacutes Deacuteterminer lrsquoalignement pour la gestion des risques (ex eacutevaluer les risques) A RA C C RA I I

Identifier les objectifs meacutetiers strateacutegiques concerneacutes C C RA C C I

Identifier les objectifs processus meacutetiers concerneacutes C C RA I

Identifier les objectifs informatiques internes et eacutetablir leur contexte risque RA C C C I

Identifier les eacuteveacutenements associeacutes aux objectifs [certains eacuteveacutenements sont orienteacutes meacutetiers (meacutetier A) certains sont orienteacutes informatique (Informatique A meacutetier C)] I AC A R R R R C

Eacutevaluer les risques associeacutes aux eacuteveacutenements AC A R R R R C

Eacutevaluer les reacuteponses aux risques I I A AC A R R R R C

Planifier les activiteacutes de controcircle en tenant compte des prioriteacutes C C A A R R C C C C

Approuver les plans drsquoaction de traitement des risques et en assurer le financement A A R I I I I I

Tenir agrave jour et surveiller un plan drsquoaction de traitement des risques A C I R R C C C C C R

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Proteacuteger lrsquoatteinte des objectifs informatique bull Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre comptable


induit

induit

Meacutetriq

ues

bull Pourcentage drsquoobjectifs informatique critiques pris en compte dans lrsquoeacutevaluation des risques bull Pourcentage drsquoeacutevaluations des risques inteacutegreacutees agrave lrsquoapproche drsquoeacutevaluation des risques informatiques

bull Pourcentage drsquoeacuteveacutenements informatiques critiques identifieacutes eacutevalueacutes bull Nb de risques informatiques nouveaux identifieacutes (par rapport agrave lrsquoexercice preacuteceacutedent) bull Nb drsquoincidents significatifs dus agrave des risques non identifieacutes par le processus drsquoeacutevaluation de risques bull Pourcentage de risques informatiques critiques pour lesquels des plans drsquoaction ont eacuteteacute deacuteveloppeacutes

bull Pourcentage du budget informatique deacutepenseacute pour la gestion des risques (eacutevaluation et reacuteduction) bull Freacutequence de revue du processus de gestion des risques inormatiques bull Pourcentage drsquoeacutevaluations de risques approuveacutees bull Nb de rapports de surveillance du risque reacutealiseacutes selon la freacutequence preacutevue bull Pourcentage drsquoeacuteveacutenements informatiques identifieacutes utiliseacutes dans les eacutevaluations des risques bull Pourcentage de plans drsquoaction de gestion des risques dont la mise en œuvre a eacuteteacute approuveacutee

Processus

bull Eacutevaluer et reacuteduire la probabiliteacute et les conseacutequences des risques informatiques bull Mettre en place des plans drsquoaction rentables pour les risques informatiques critiques

Activiteacutes

bull Sassurer que la gestion des risques est pleinement inteacutegreacutee aux processus de management bull Effectuer des eacutevaluations des risques reacuteguliegraveres avec le management et le personnel cleacute bull Recommander et communiquer des plans drsquoaction pour les reacuteduire






La gestion du processus Eacutevaluer et geacuterer les risques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique analyser et communiquer les risques informatiques ainsi que leur impact potentiel sur les objectifs et les processus meacutetiers est

0 Inexistante quand

On ne fait pas deacutevaluation des risques lieacutes aux processus ou aux deacutecisions meacutetiers Lrsquoentreprise ne prend pas en compte les conseacutequences pour son activiteacute des faiblesses de sa seacutecuriteacute et des incertitudes lieacutees au deacuteveloppement de ses projets La gestion des risques nrsquoest pas identifieacutee comme pertinente dans lacquisition de solutions et la livraison de services informatiques


Les risques informatiques sont traiteacutes au cas par cas On fait des eacutevaluations informelles des risques projet selon une approche speacutecifique agrave chaque projet Lrsquoeacutevaluation des risques est parfois incluse dans un plan de projet mais elle est rarement attribueacutee agrave des responsables speacutecifiques On prend en compte les risques speacutecifiques agrave linformatique comme la seacutecuriteacute la disponibiliteacute et linteacutegriteacute agrave loccasion de chaque projet On aborde peu souvent lors des reacuteunions de direction les risques informatiques lieacutes agrave lexploitation quotidienne Lorsque cest le cas la reacuteduction de ces risques nrsquoest pas coheacuterente On comprend de mieux en mieux lrsquoimportance des risques lieacutes agrave lrsquoinformatique et la neacutecessiteacute den tenir compte


On commence agrave deacutevelopper une approche encore embryonnaire de lrsquoeacutevaluation des risques et elle se met en place agrave lrsquoinitiative des chefs de projets La gestion des risques est geacuteneacuteralement mise en œuvre agrave un niveau eacuteleveacute et ne sapplique typiquement quaux projets majeurs ou lorsqursquoun problegraveme surgit Les processus de reacuteduction des risques commencent agrave ecirctre mis en place lorsque certains risques ont eacuteteacute identifieacutes


Une politique de gestion des risques deacutefinit agrave lrsquoeacutechelle de lrsquoentreprise quand et comment doivent avoir lieu les eacutevaluations La gestion des risques suit un processus deacutefini qui est documenteacute La formation agrave la gestion des risques est accessible agrave tout le personnel On laisse chacun libre de deacutecider de suivre la formation et de mettre le processus en œuvre La meacutethodologie drsquoeacutevaluation des risques est convaincante et solide et permet didentifier presque agrave coup sucircr les risques essentiels encourus par lentreprise On institue en geacuteneacuteral un processus de reacuteduction des risques lorsque ceux-ci sont identifieacutes Les fiches de poste prennent en compte les responsabiliteacutes de gestion des risques


Lrsquoeacutevaluation et la gestion des risques sont des proceacutedures standard On rapporte agrave la direction informatique les cas qui eacutechappent au processus de gestion des risques La gestion des risques informatiques est sous la responsabiliteacute drsquoun cadre supeacuterieur On eacutevalue et on reacuteduit les risques aussi bien au niveau de chaque projet que reacuteguliegraverement au niveau geacuteneacuteral de lexploitation informatique Le management est aviseacute des modifications de lrsquoenvironnement meacutetiers et informatique qui pourraient affecter de faccedilon significative les sceacutenarios de risques informatiques Le management est capable de surveiller lexposition au risque et de deacutecider en toute connaissance de cause du niveau de risque acceptable Tous les risques identifieacutes ont un proprieacutetaire deacutesigneacute et la direction geacuteneacuterale deacutetermine avec la direction des systegravemes drsquoinformation les niveaux de risques toleacuterables par lrsquoentreprise La DSI conccediloit des mesures standard pour eacutevaluer les risques et deacutefinir les ratios risquesbeacuteneacutefices Le management budgeacutetise un projet de gestion des risques opeacuterationnels pour reacuteeacutevaluer les risques de faccedilon reacuteguliegravere On a creacuteeacute une base de donneacutee deacutedieacutee agrave la gestion des risques et une partie des processus de gestion des risques commence agrave ecirctre automatiseacutee La DSI envisage des strateacutegies de reacuteduction des risques


La gestion des risques a atteint le stade drsquoun processus structureacute bien appliqueacute et bien geacutereacute dans toute lrsquoentreprise On applique les bonnes pratiques dans lrsquoensemble de lrsquoentreprise La capture lanalyse et le reportage sur les informations de gestion des risques sont largement automatiseacutes On sinspire des leaders dans le domaine et lrsquoinformatique partage son expeacuterience avec ses pairs La gestion des risques est veacuteritablement inteacutegreacutee dans toutes les activiteacutes meacutetiers et informatique elle est bien accepteacutee et implique largement les utilisateurs des services informatiques Le management deacutetecte toute deacutecision opeacuterationnelle ou drsquoinvestissement majeure concernant lrsquoinformatique qui ne prend pas en compte le plan de gestion des risques et agit en conseacutequence Le management eacutevalue en permanence les strateacutegies de reacuteduction des risques










GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

PP

Planifier et Organiser Geacuterer les projets PO10


PO10 Geacuterer les projets

Un programme et un cadre de reacutefeacuterence de gestion de projets pour la gestion de tous les projets informatiques est en place Ce cadre permet de srsquoassurer que tous les projets sont correctement coordonneacutes et que les prioriteacutes sont eacutetablies Il preacutevoit un plan maicirctre lrsquoattribution de ressources la deacutefinition des livrables lrsquoapprobation par les utilisateurs une approche de livraison par eacutetapes une assurance qualiteacute un plan de tests formaliseacute des tests et une revue apregraves mise en place pour srsquoassurer que la gestion des risques et que lrsquoapport de valeur agrave lrsquoentreprise sont effectives Cette approche reacuteduit les risques de coucircts non preacutevus et drsquoannulation de projets ameacuteliore la communication en direction des meacutetiers et des utilisateurs finaux ainsi que leur implication permet drsquoecirctre sucircr de la valeur et de la qualiteacute des livrables du projet et maximise leur contribution aux programmes drsquoinvestissements informatiques

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fi

abilit

eacute

PP






Geacuterer les projets


livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus


un programme deacutefini et une approche de la gestion de projets qui srsquoappliquent aux projets informatiques et permettent aux parties prenantes de srsquoimpliquer et de surveiller les risques et lrsquoavancement des projets


bull deacutefinissant et en appliquant des cadres et des approches pour les programmes et les projets bull diffusant des guides de gestion de projets bull utilisant la planification de projets pour chaque projet deacutetailleacute dans le portefeuille de projets


bull le pourcentage de projets qui reacutepondent aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)

bull le pourcentage de projets qui ont eacuteteacute reacuteviseacutes apregraves leur mise en place bull le pourcentage de projets qui respectent les standards et les pratiques de la gestion de

projet

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Planifier et Organiser PO10 Geacuterer les projets



PO101 Reacutefeacuterentiel de gestion de programme Tenir agrave jour le programme des projets en relation avec le portefeuille des programmes dinvestissements informatiques en identifiant deacutefinissant eacutevaluant seacutelectionnant initiant et controcirclant ces projets et en eacutetablissant leurs prioriteacutes respectives Srsquoassurer que les projets servent les objectifs du programme Coordonner les activiteacutes et lrsquointerdeacutependance de multiples projets geacuterer la contribution de tous les projets aux reacutesultats attendus au sein du programme et reacutesoudre les problegravemes et les conflits lieacutes aux ressources

PO102 Reacutefeacuterentiel de gestion de projet Mettre en place et tenir agrave jour un reacutefeacuterentiel de gestion de projets qui deacutefinit aussi bien leacutetendue et les limites de la gestion de projets que la meacutethode agrave adopter et agrave appliquer pour chaque projet entrepris Le reacutefeacuterentiel et les meacutethodologies qui lrsquoappuient doivent ecirctre inteacutegreacutes aux processus de gestion de programmes

PO103 Approche gestion de projet Eacutetablir une approche de gestion de projet en rapport avec la taille la complexiteacute et les exigences reacuteglementaires de chaque projet La structure de gouvernance des projets peut comporter les rocircles responsabiliteacutes opeacuterationnelles et finales du commanditaire du programme des commanditaires des projets du comiteacute de pilotage du bureau des projets et du chef de projet ainsi que les meacutecanismes gracircce auxquels ils peuvent faire face agrave ces responsabiliteacutes (comme le reporting et les revues drsquoeacutetapes) Veacuterifier que chaque projet informatique est doteacute drsquoun commanditaire assez haut placeacute pour ecirctre proprieacutetaire de la mise en œuvre du projet au sein du programme strateacutegique geacuteneacuteral

PO104 Implication des parties prenantes Obtenir lrsquoimplication et la participation de toutes les parties prenantes concerneacutees par la deacutefinition et la mise en œuvre du projet agrave lrsquointeacuterieur du programme global drsquoinvestissements informatiques

PO105 Eacutenonceacute du peacuterimegravetre du projet Deacutefinir et documenter la nature et lrsquoeacutetendue du projet pour confirmer et deacutevelopper parmi les parties prenantes une compreacutehension commune du peacuterimegravetre du projet et la faccedilon dont il est relieacute aux autres projets du programme global drsquoinvestissements informatiques Cette deacutefinition doit ecirctre formellement approuveacutee par les commanditaires du programme et du projet avant que ce dernier ne deacutemarre

PO106 Deacutemarrage drsquoune phase du projet Le deacutemarrage de chaque phase principale du projet est approuveacutee et communiqueacute agrave toutes les parties prenantes Fonder lrsquoapprobation de la phase de deacutemarrage sur les deacutecisions de la gouvernance des programmes Lrsquoapprobation des phases suivantes doit se baser sur les revues et lrsquoacceptation des livrables de la phase preacuteceacutedente ainsi que sur lrsquoapprobation drsquoune analyse de rentabiliteacute mise agrave jour lors de la prochaine revue majeure du programme Dans lrsquoeacuteventualiteacute ougrave des phases du projet se chevaucheraient les commanditaires du programme et de chaque projet devraient faire le point pour autoriser lrsquoavancement du projet

PO107 Plan projet inteacutegreacute Mettre en place un plan projet inteacutegreacute formaliseacute et approuveacute (couvrant les ressources meacutetiers et informatiques) pour guider la mise en œuvre et le controcircle du projet tout au long de son cycle de vie Les activiteacutes et les interdeacutependances de projets multiples dans un programme doivent ecirctre comprises et documenteacutees Le plan projet doit ecirctre tenu agrave jour durant toute la vie du projet Le plan projet et les modifications qui lui sont apporteacutes doivent ecirctre approuveacutes en ligne avec le cadre de gouvernance des programmes et des projets

PO108 Ressources du projet Deacutefinir les responsabiliteacutes les relations lrsquoautoriteacute et les critegraveres de performances des membres de lrsquoeacutequipe du projet et preacuteciser la base sur laquelle on engagera et affectera des membres compeacutetents etou des contractuels dans lrsquoeacutequipe du projet Lrsquoachat de produits et de services neacutecessaires agrave chaque projet doit ecirctre planifieacute et geacutereacute pour favoriser lrsquoatteinte des objectifs du projet en utilisant les pratiques drsquoachat de lrsquoentreprise

PO109 Gestion des risques du projet Eacuteliminer ou reacuteduire les risques speacutecifiques agrave chaque projet au moyen drsquoun processus systeacutematique de planification drsquoidentification drsquoanalyse drsquoactions de reacuteduction des risques de surveillance et de controcircle des domaines ou des eacuteveacutenements susceptibles de provoquer des changements non souhaiteacutes Les risques auxquels le processus de gestion de projet et les livrables sont exposeacutes doivent ecirctre identifieacutes et consolideacutes au niveau central

PO1010 Plan qualiteacute du projet Preacuteparer un plan de gestion qualiteacute qui deacutecrit le systegraveme qualiteacute du projet et comment il sera mis en place Le plan doit ecirctre formellement revu et accepteacute par toutes les parties prenantes puis incorporeacute au plan projet inteacutegreacute



PO1011 Controcircle des changements du projet Mettre en place un systegraveme de controcircle des changements pour chaque projet de faccedilon agrave ce que toutes les modifications de ses caracteacuteristiques de base (ex coucirct planning peacuterimegravetre et qualiteacute) soient ducircment analyseacutees approuveacutees et incorporeacutees au plan projet inteacutegreacute en ligne avec le cadre de gouvernance des programmes et des projets

PO1012 Planification du projet et meacutethodes dassurance Identifier les tacircches drsquoassurance destineacutees agrave appuyer la validation de systegravemes nouveaux ou modifieacutes pendant la planification du projet et les inclure dans le plan projet inteacutegreacute Les tacircches doivent fournir lrsquoassurance que les controcircles internes et les caracteacuteristiques de seacutecuriteacute satisfont les exigences preacutevues

PO1013 Meacutetrique reporting et surveillance de la performance du projet Mesurer la performance du projet par rapport agrave lrsquoensemble des critegraveres cleacutes de performance des projets peacuterimegravetre planning qualiteacute coucirct et risque Identifier tout eacutecart par rapport au plan Eacutevaluer les conseacutequences drsquoun eacutecart sur le projet et sur lrsquoensemble du programme et rapporter les reacutesultats aux parties prenantes cleacutes Recommander mettre en place et surveiller les actions correctrices lorsque crsquoest neacutecessaire en accord avec le cadre de gouvernance des programmes et des projets

PO1014 Clocircture du projet Exiger qursquoagrave la fin de chaque projet les parties prenantes deacuteterminent si le projet a fourni les reacutesultats et beacuteneacutefices preacutevus Identifier et communiquer toutes les activiteacutes exceptionnelles qui ont eacuteteacute neacutecessaires pour obtenir les reacutesultats du projet et les beacuteneacutefices du programme preacutevus et identifier et documenter les enseignements qui en ont eacuteteacute tireacutes et qui pourront ecirctre utiles agrave des projets ou des programmes futurs






DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Portefeuille projets

PO5 Portefeuille actualiseacute des projets informatiques

PO7 Tableau des compeacutetences informatiques

PO8 Standards de deacuteveloppement


Sorties Vers Rapports sur la performance des projets SE1 Plan de gestion des risques des projets PO9 Guides de gestion des projets AI1hellipAI7 Plans de projets deacutetailleacutes PO8 AI1hellipAI7 DS6 Portefeuille de projets informatiques agrave jour PO1 PO5

Tableau RACI

Activiteacutes Deacutefinir un cadre de gestion de programme etou de portefeuille pour les investissements informatiques C C A R C C

Mettre en place et maintenir un cadre de gestion des projets informatiques I I I AR I C C C C R C

Mettre en place et maintenir opeacuterationnel un systegraveme de surveillance de mesure et de gestion de gestion des projets informatiques I I I R C C C C AR C

Eacutelaborer des chartes plannings plans qualiteacute budgets et des plans de gestion de la communication et des risques pour les projets C C C C C C C AR C

Srsquoassurer de la participation et de lrsquoimplication des parties prenantes aux projets I A R C C

Assurer un controcircle efficace des projets et des changements qui leur sont apporteacutes C C C C C AR C

Deacutefinir et mettre en place des meacutethodes drsquoassurance et de revue pour les projets I C I AR C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Reacutepondre aux exigences des meacutetiers en srsquoalignant sur la strateacutegie de lrsquoentreprise bull Livrer les projets dans le respect des deacutelais des coucircts et de la qualiteacute attendus bull Reacutepondre aux exigences de la gouvernance en ligne avec les orientations du conseil drsquoadministration


induit

induit

bull Pourcentage de projets respectant deacutelais et coucircts bull Pourcentage de projets reacutepondant aux attentes des parties prenantes

bull Pourcentage de projets respectant les standards et les pratiques de la gestion de projet bull Pourcentage de chefs de projets certifieacutes ou formeacutes bull Pourcentage de projets faisant lrsquoobjet drsquoune revue apregraves mise en place bull Pourcentage de parties prenantes participant aux projets (indice drsquoimplication)

Processus

bull Mettre en place un suivi de projet et des meacutecanismes de controcircle des cocircutstemps bull Rendre transparente la situation du projet bull Prendre agrave temps les deacutecisions de gestion de projet aux jalons critiques

Activiteacutes

bull Deacutefinir et appliquer des cadres et des approches pour les programmes et les projets bull Diffuser des guides de gestion de projets bull Reacutealiser la planification de chaque projet du portefeuille de projets


Meacutetriq

ues

bull Pourcentage de projets reacutepondant aux attentes des parties prenantes (deacutelais coucircts conformiteacute aux attentes pondeacutereacutes selon leur importance relative)





La gestion du processus Geacuterer les projets qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique livrer des projets conformes aux deacutelais aux coucircts et agrave la qualiteacute preacutevus est

0 Inexistante quand

On nutilise pas les techniques de gestion de projets et lentreprise ne prend pas en compte les conseacutequences pour son activiteacute dune mauvaise gestion des projets et des eacutechecs survenus au cours du deacuteveloppement des projets


Lutilisation des techniques de gestion de projets et leur approche informatique est laisseacutee agrave linitiative individuelle des responsables informatiques Il y a un manque drsquoimplication de la part du management dans la proprieacuteteacute et la gestion des projets Les deacutecisions critiques concernant la gestion des projets sont prises participation des utilisateurs ni des clients Les clients et utilisateurs ne sont que peu impliqueacutes dans la deacutefinition des projets informatiques voire pas du tout Il nrsquoy a pas drsquoorganisation claire de la gestion des projets au sein de lrsquoinformatique Les rocircles et responsabiliteacutes en matiegravere de gestion des projets ne sont pas deacutefinis Les projets leur planning et leurs jalons sont mal deacutefinis On ne fait pas de releveacutes des temps ni des deacutepenses consacreacutes aux projets et donc on ne les confronte pas aux preacutevisions


La direction geacuteneacuterale sest convaincue du besoin de faire de la gestion des projets et communique sur ce thegraveme Lentreprise a deacutecideacute de deacutevelopper et drsquoutiliser certaines techniques et meacutethodes quelle commence agrave appliquer projet apregraves projet Les objectifs meacutetiers et techniques des projets informatiques sont deacutefinis de faccedilon informelle Limplication des parties prenantes dans la gestion des projets informatiques est faible On deacuteveloppe les premiers guides pour de nombreux aspects de la gestion des projets Lrsquoapplication des guides de gestion des projets est laisseacutee agrave lrsquoinitiative de chaque chef de projets


Le processus et la meacutethodologie de gestion des projets informatiques sont en place et on communique sur ces thegravemes On dote les projets informatiques drsquoobjectifs meacutetiers et techniques approprieacutes Le management de lrsquoinformatique et des meacutetiers commence agrave srsquoimpliquer dans la gestion des projets informatiques Un bureau de gestion des projets est mis en place agrave lrsquoinformatique et on en a deacutefini certains rocircles et certaines responsabiliteacutes On deacutefinit et actualise les jalons le planning le budget et les mesures de performance des projets et on les surveille La formation agrave la gestion des projets existe et reacutesulte encore drsquoinitiatives individuelles On deacutefinit des proceacutedures dassurance qualiteacute et des activiteacutes post-deacutemarrage cependant la direction des SI ne les applique pas systeacutematiquement Les projets commencent agrave ecirctre geacutereacutes en portefeuilles


Le management exige des meacutetriques projet standardiseacutees et formelles et une revue des enseignements agrave tirer agrave lrsquoeacutecheacuteance drsquoun projet La gestion des projets est mesureacutee et eacutevalueacutee non seulement au sein de lrsquoinformatique mais dans toute lentreprise On formalise et communique les ameacuteliorations aux processus de gestion des projets avec les membres des eacutequipes des projets formeacutees agrave ces ameacuteliorations La direction des SI met en place une structure dorganisation de projets attribue des rocirclesresponsabiliteacutes et des critegraveres de performance pour le personnel le tout ducircment documenteacute Des critegraveres drsquoeacutevaluation de succegraves de chaque jalon sont mis en place Valeur et risques sont mesureacutes et geacutereacutes avant pendant et apregraves lrsquoachegravevement des projets Les projets visent de plus en plus des objectifs de lrsquoentreprise plutocirct que des objectifs speacutecifiquement informatiques Les commanditaires de la direction geacuteneacuterale et les parties prenantes soutiennent fortement et activement les projets Une formation approprieacutee agrave la gestion des projets est preacutevue pour le personnel du bureau de gestion des projets et pour certains personnels de lrsquoinformatique


On met en place et on applique une meacutethodologie de gestion des projets et des programmes qui prend en compte leur cycle de vie entier et cette meacutethodologie fait deacutesormais partie de la culture de toute lentreprise On met en place une initiative permanente pour identifier et institutionnaliser les meilleures pratiques de gestion des projets Lrsquoinformatique met en place une strateacutegie de recherche de collaborateurs pour les projets de deacuteveloppement et les projets techniques Une cellule inteacutegreacutee de gestion des projets est responsable des projets et des programmes de leur origine agrave leur achegravevement La planification des programmes et des projets agrave leacutechelle de lentreprise permet de sassurer que les ressources utilisateurs et informatiques sont utiliseacutees au mieux pour soutenir les initiatives strateacutegiques



AI1 Trouver des solutions informatiques AI2 Acqueacuterir des applications et en assurer la maintenance AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lrsquoutilisation AI5 Acqueacuterir des ressources informatiques AI6 Geacuterer les changements AI7 Installer et valider les solutions et les modifications

AC

QU

EacuteR

IR E

T

IMPL

EacuteM

EN

TE

R









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Acqueacuterir et Impleacutementer Trouver des solutions informatiques AI1


AI1 Trouver des solutions informatiques

Le besoin drsquoune nouvelle application ou fonction impose une analyse avant achat ou creacuteation pour srsquoassurer que les exigences des meacutetiers seront satisfaites gracircce agrave une approche efficace et efficiente Ce processus recouvre la deacutefinition des besoins la prise en compte de sources alternatives lrsquoanalyse de la faisabiliteacute technique et eacuteconomique lrsquoanalyse des risques et du rapport coucirctsbeacuteneacutefices et la deacutecision finale qui tranchera entre faire ou acheter Toutes ces eacutetapes permettent aux entreprises de minimiser les coucircts drsquoachat et de mise en place de solutions et de srsquoassurer que celles-ci permettront agrave lrsquoentreprise drsquoatteindre ses objectifs

Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S





Trouver des solutions informatiques



traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes


lrsquoidentification de solutions techniquement faisables et rentables


bull deacutefinissant les exigences des meacutetiers et les impeacuteratifs techniques bull entreprenant des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull approuvant (ou rejetant) les reacutesultats des eacutetudes des besoins et de faisabiliteacute


bull le nombre de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de leur faisabiliteacute

bull le pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes livreacutees

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI1 Trouver des solutions informatiques



AI11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles Identifier classer par prioriteacutes et agreacuteer les exigences meacutetiers techniques et fonctionnelles qui couvrent lrsquoeacutetendue complegravete de toutes les initiatives requises pour obtenir les reacutesultats escompteacutes du programme drsquoinvestissement informatique

AI12 Rapport danalyse de risques Identifier documenter et analyser les risques associeacutes aux processus meacutetiers en tant qursquoeacuteleacutements du processus drsquoentreprise pour lrsquoeacutelaboration des exigences

AI13 Eacutetude de faisabiliteacute et formulation drsquoalternatives Mener une eacutetude de faisabiliteacute qui examine la possibiliteacute de mettre en place les exigences Le management des meacutetiers assisteacute par lrsquoinformatique doit eacutevaluer la faisabiliteacute et les alternatives et faire des recommandations aux commanditaires meacutetiers

AI4 Deacutecision et approbation concernant les exigences et la faisabiliteacute Srsquoassurer que le processus impose que les commanditaires meacutetiers approuvent et avalisent les rapports sur les exigences des meacutetiers fonctionnelles et techniques et sur lrsquoeacutetude de faisabiliteacute agrave des eacutetapes cleacutes preacutedeacutetermineacutees La deacutecision finale quant au choix de la solution et de la proceacutedure drsquoacquisition doit appartenir aux commanditaires meacutetiers



DSI





ents


Bureau projet



it


GUIDE DE MANAGEMENT


De Entreacutees PO1 Plans informatiques strateacutegiques et tactiques PO3 Mises agrave niveau reacuteguliegraveres de la technologie

standards technologiques

PO8 Standards drsquoacquisition et de deacuteveloppement

PO10 Principes de gestion de projets et plans deacutetailleacutes des projets

AI6 Description du processus de changement

DS1 Contrats de services


Sorties Vers Eacutetude de faisabiliteacute des exigences des meacutetiers PO2 PO5 PO7 AI2 AI3 AI4 AI5

Tableau RACI

Activiteacutes Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques C C R C R R AR I

Mettre en place les processus pour les exigences drsquointeacutegriteacutedrsquoactualiteacute C C C AR C

Identifier documenter et analyser les risques des processus meacutetiers AR R R R C R R C

Conduire une eacutetude drsquoeacutevaluation faisabiliteacuteimpact pour la mise en place des exigences des meacutetiers proposeacutees AR R R C C C R C

Eacutevaluer les beacuteneacutefices informatiques des solutions proposeacutees I R AR R I I I R

Eacutevaluer les beacuteneacutefices pour les meacutetiers des solutions proposeacutees AR R C C C I R

Eacutelaborer un processus drsquoapprobation des exigences C A C C C R C

Approuver et avaliser les solutions proposeacutees C AR R R C C C I R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Objectifs et Meacutetriques

deacutefinit

Informatique

Objectifs

bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie des meacutetiers

mesure indu

ii

ndu t

Meacutetriq

ues

bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoeacutevaluations incorrectes de la faisabiliteacute bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies

deacutefinit

Processus

bull Identifier les solutions qui satisfont les exigences utilisateurs bull Identifier les solutions techniquement faisables et rentables bull Trancher entre acheter ou faire de faccedilon agrave optimiser la valeur et agrave minimiser les risques

bull Pourcentage de parties prenantes satisfaites de lrsquoexactitude de lrsquoeacutetude de faisabiliteacute bull Diffeacuterence drsquoeacutevaluation des beacuteneacutefices entre lrsquoeacutetude de faisabiliteacute et lrsquoimpleacutementation bull Pourcentage du portefeuille drsquoapplications incoheacuterent avec lrsquoarchitecture bull Pourcentage des eacutetudes de faisabiliteacute fournies dans les deacutelais et les coucircts

bull Pourcentage de projets du plan informatique annuel soumis agrave une eacutetude de faisabiliteacute bull Pourcentage drsquoeacutetudes de faisabiliteacute avaliseacutees par le proprieacutetaire de processus

Activiteacutes

bull Deacutefinir les exigences des meacutetiers et les impeacuteratifs techniques bull Entreprendre des eacutetudes de faisabiliteacute telles que deacutefinies dans les standards de deacuteveloppement bull Prendre en compte tocirct les exigences de seacutecuriteacute et de controcircle bull Approuver (ou rejeter) les reacutesultats des eacutetudes des exigences et de la faisabiliteacute

mesure mesure





La gestion du processus Trouver des solutions informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique traduire les exigences fonctionnelles et de controcircle de lrsquoentreprise en solutions informatiques efficaces et efficientes est

0 Inexistante quand

Lentreprise ne se preacuteoccupe pas didentifier les besoins fonctionnels et opeacuterationnels pour le deacuteveloppement la mise en œuvre ou la modification de solutions telles que systegravemes services infrastructures logiciels ou donneacutees Lentreprise ne se tient pas au courant des solutions techniques disponibles qui pourraient concerner son activiteacute


On prend conscience de la neacutecessiteacute de deacutefinir les besoins et de trouver des solutions techniques Des groupes se reacuteunissent pour discuter des besoins de maniegravere informelle et les exigences sont parfois documenteacutees Certaines personnes trouvent des solutions gracircce agrave une connaissance partielle des produits qui existent sur le marcheacute ou par lintermeacutediaire doffres commerciales Il existe un minimum de recherche et drsquoanalyse raisonneacutee de la technologie disponible


Il existe diffeacuterentes approches intuitives agrave travers lrsquoentreprise pour trouver des solutions informatiques On trouve des solutions informelles en fonction des connaissances et de lexpeacuterience accumuleacutees en interne agrave la DSI Le succegraves de chaque projet deacutepend de lrsquoexpertise de quelques individus cleacutes La qualiteacute de la documentation et de la prise de deacutecision varie consideacuterablement On utilise des approches non structureacutees pour deacutefinir les exigences et trouver des solutions techniques


Il existe des approches claires et structureacutees pour deacuteterminer des solutions informatiques Cette approche impose drsquoeacutevaluer les solutions alternatives en fonction des exigences meacutetiers ou utilisateurs des opportuniteacutes technologiques de la faisabiliteacute eacuteconomique de leacutevaluation des risques et drsquoautres facteurs Ce processus trouver des solutions informatiques est mis en œuvre pour certains projets qui deacutependent des deacutecisions que prend individuellement une personne impliqueacutee du temps qursquoy consacre le management de limportance et des prioriteacutes des exigences meacutetiers qui en sont agrave lrsquoorigine On utilise des approches structureacutees pour deacutefinir les exigences et trouver des solutions informatiques


Il existe une meacutethodologie pour identifier et eacutevaluer les solutions informatiques et on lrsquoutilise pour la plupart des projets La documentation des projets est de bonne qualiteacute et chaque eacutetape est ducircment approuveacutee Les exigences sont bien coordonneacutees et suivent des structures preacutedeacutefinies On examine diffeacuterentes hypothegraveses pour la solution choisie en tenant compte drsquoanalyses coucirctsbeacuteneacutefices La meacutethode est claire deacutefinie en geacuteneacuteral comprise et mesurable Il existe une interface clairement deacutefinie entre la direction des SI et les meacutetiers pour identifier et eacutevaluer les solutions informatiques


La meacutethodologie pour trouver et eacutevaluer des solutions informatiques suit un processus drsquoameacutelioration continue La meacutethodologie drsquoacquisition et drsquoimpleacutementation est assez souple pour srsquoadapter agrave des projets de dimensions diverses Cette meacutethodologie sappuie sur des bases de connaissances internes et externes renfermant des reacutefeacuterences agrave des solutions techniques La meacutethodologie elle-mecircme produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces On deacutecouvre souvent de nouvelles occasions dutiliser lrsquoinformatique pour obtenir un avantage concurrentiel pour stimuler la reacute-ingeacutenierie des processus meacutetiers pour ameacuteliorer globalement lrsquoefficience Le management agit lorsqursquoil se rend compte que les solutions informatiques ont eacuteteacute approuveacutees sans que des exigences techniques et fonctionnelles alternatives aient eacuteteacute prises en compte


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









Acqueacuterir et Impleacutementer Acqueacuterir des applications et en assurer la maintenance AI2


AI2 Acqueacuterir des applications et en assurer la maintenance

Les applications sont rendues disponibles en fonction des exigences des meacutetiers Ce processus recouvre la conception des applications les controcircles applicatifs et les exigences de seacutecuriteacute approprieacutes qursquoil faut y inclure ainsi que leur deacuteveloppement et leur configuration conformeacutement aux standards Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tacircches meacutetiers

Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS





Acqueacuterir des applications et en assurer la maintenance



rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable


un processus de deacuteveloppement respectueux des deacutelais et de la rentabiliteacute


bull traduisant les exigences des meacutetiers en speacutecifications pour la conception bull adoptant des standards de deacuteveloppement pour toutes les modifications bull seacuteparant les activiteacutes de deacuteveloppement de tests et de production


bull le nombre de problegravemes de production par application causant des retards perceptibles bull le pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI2 Acqueacuterir des applications et en assurer la maintenance



AI21 Conception geacuteneacuterale Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales drsquoacquisition de logiciel en prenant en compte les orientations technologiques de lrsquoentreprise et lrsquoarchitecture de lrsquoinformation Faire approuver les speacutecifications de la conception par le management pour srsquoassurer que la conception geacuteneacuterale reacutepond aux exigences Reacuteeacutevaluer lorsque des anomalies techniques ou logicielles significatives se produisent pendant le deacuteveloppement ou la maintenance

AI22 Conception deacutetailleacutee Preacutesenter en deacutetail les speacutecifications et les impeacuteratifs techniques des applications logicielles Deacutefinir les critegraveres drsquoacceptation de ces impeacuteratifs Faire approuver ces impeacuteratifs pour ecirctre sucircr qursquoils correspondent agrave la conception geacuteneacuterale Effectuer une reacuteeacutevaluation lorsque des anomalies significatives techniques ou logicielles se produisent pendant le deacuteveloppement ou la maintenance

AI23 Controcircles applicatifs et auditabiliteacute Si neacutecessaire mettre en place des controcircles meacutetiers des controcircles programmeacutes de faccedilon agrave ce que le traitement soit reacutealiseacute avec exactitude complegravetement au bon moment et qursquoil soit autoriseacute et auditable

AI24 Seacutecuriteacute et disponibiliteacute des applications Reacutepondre aux exigences de seacutecuriteacute et de disponibiliteacute des applications en regard des risques identifieacutes et en ligne avec la classification des donneacutees lrsquoarchitecture de lrsquoinformation et de la seacutecuriteacute de lrsquoinformation de lrsquoappeacutetence au risque de lrsquoentreprise

AI25 Configuration et impleacutementation des logiciels applicatifs acquis Configurer et impleacutementer les progiciels de faccedilon agrave reacutepondre aux objectifs des meacutetiers

AI26 Mises agrave jour majeures des systegravemes existants Suivre un processus de deacuteveloppement similaire agrave celui du deacuteveloppement de nouveaux systegravemes dans lrsquoeacuteventualiteacute de modifications majeures des systegravemes existants qui ont pour conseacutequences des modifications significatives de conception etou des fonctionnaliteacutes actuelles

AI27 Deacuteveloppement drsquoapplications Srsquoassurer que les nouvelles fonctionnaliteacutes automatiseacutees se conforment aux speacutecifications de conception aux standards de deacuteveloppement et de documentation aux exigences de qualiteacute et aux normes de recette Srsquoassurer que tous les aspects leacutegaux et contractuels sont identifieacutes et pris en compte dans les applications deacuteveloppeacutees par des tiers

AI28 Assurance qualiteacute des logiciels Deacutevelopper un plan drsquoassurance qualiteacute le doter de ressources et le mettre en œuvre de faccedilon agrave obtenir la qualiteacute speacutecifieacutee dans la deacutefinition des exigences et dans les politiques et les proceacutedures qualiteacute de lrsquoentreprise

AI29 Gestion des exigences des applications Au cours de la conception du deacuteveloppement et de la mise en place effectuer un suivi individuel de chaque exigence (y compris de celles qui ont eacuteteacute rejeteacutees) et approuver les modifications apporteacutees agrave certaines exigences selon un processus eacutetabli de gestion des changements

AI210 Maintenance des applications Deacutevelopper un plan strateacutegique pour la maintenance des applications



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO2 Dictionnaire de donneacutees scheacutema de classification des donneacutees plan optimiseacute des systegravemes meacutetiers

PO3 Mises agrave niveau reacuteguliegraveres de leacutetat de lart de la technologie

PO5 Comptesshyrendus coucirctsbeacuteneacutefices


PO10 Guides de gestion des projets et plans de projets deacutetailleacutes



Sorties Vers Speacutecification des controcircles de seacutecuriteacute des applications DS5 Connaissance des applications et des progiciels AI4 Deacutecisions drsquoacquisition AI5 Contrats de services initialement preacutevus DS1 Speacutecifications de disponibiliteacute continuiteacute et reprise DS3 DS4

Tableau RACI

Activiteacutes Traduire les exigences des meacutetiers en speacutecifications de conception geacuteneacuterale C C AR R C

Preacuteparer la conception deacutetailleacutee et les besoins techniques des applications I C C C AR R C

Speacutecifier les controcircles applicatifs dans la conception R C AR R R

Adapter et impleacutementer les fonctionnaliteacutes automatiseacutees acquises C C AR R C

Deacutevelopper des meacutethodologies les formaliser et des processus pour geacuterer le processus de deacuteveloppement des applications

C C C A C R C

Creacuteer un plan drsquoassurance qualiteacute pour le projet I C R AR C

Suivre et geacuterer les exigences des applications R AR

Deacutevelopper un plan pour la maintenance des applications C C AR C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Deacuteterminer comment traduire les besoins fonctionnels des meacutetiers et de controcircle en solutions automatiseacutees efficaces et efficientes bull Acqueacuterir et maintenir des systegravemes applicatifs inteacutegreacutes et standardiseacutes

induit

induit

Meacutetriq

ues

bull Pourcentage de projets qui fournissent les modifications meacutetiers dans les deacutelais demandeacutes bull Nb de projets dont les beacuteneacutefices annonceacutes nrsquoont pas eacuteteacute reacutealiseacutes agrave cause drsquoune mauvaise conception ou drsquoun mauvais deacuteveloppement de lrsquoapplication bull Pourcentage drsquoutilisateurs satisfaits des fonctionnaliteacutes fournies

bull Pourcentage de projets reacutealiseacutes dans les deacutelais et les coucircts bull Pourcentage defforts de deacuteveloppement consacreacutes agrave la maintenance des applications existantes bull Nb de problegravemes de production entraicircnant des peacuteriodes drsquoimproductiviteacute visibles bull Nb de deacutefauts rapporteacutes par mois (par point de fonction)

bull Pourcentage de projets drsquoapplications pour lesquels on a deacuteveloppeacute et exeacutecuteacute un plan drsquoassurance qualiteacute logicielle bull Pourcentage de projets drsquoapplications qui ont subi les revues approprieacutees et dont on a approuveacute la conformiteacute aux standards de deacuteveloppement bull Deacutelai de livraison moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code bull Effort de programmation moyen par fonctionnaliteacute selon par exemple le nombre de points de fonction ou de lignes de code

Processus

bull Acqueacuterir et assurer la maintenance des applications qui satisfont les exigences des meacutetiers deacutefinies de faccedilon rentable bull Acqueacuterir et assurer la maintenance des applications en accord avec la strateacutegie et lrsquoarchitecture informatique bull Srsquoassurer que le processus de deacuteveloppement est rentable et respectueux des deacutelais

Activiteacutes

bull Traduire les exigences des meacutetiers en speacutecifications geacuteneacuterales bull Adopter les standards de deacuteveloppement pour toutes les modifications bull Eacutetablir les prioriteacutes des exigences en fonction de leur importance pour les meacutetiers bull Seacuteparer les activiteacutes de deacuteveloppement de tests et drsquoexploitation bull Tirer profit des investissements dans la technologie existante







La gestion du processus Acqueacuterir des applications et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique rendre disponibles des applications conformes aux exigences des meacutetiers dans les deacutelais preacutevus et agrave un coucirct raisonnable est

0 Inexistante quand

Il nexiste pas de processus pour concevoir des applications et en faire le cahier des charges Typiquement on achegravete les applications en se basant sur les offres des fournisseurs la reacuteputation dune marque ou les habitudes des informaticiens sans beaucoup tenir compte des veacuteritables besoins


On est conscient de la neacutecessiteacute davoir un processus dacquisition et de maintenance des applications Les faccedilons drsquoacheter et drsquoassurer la maintenance de logiciels applicatifs varient drsquoun projet agrave lrsquoautre On a sans doute acheteacute de faccedilon indeacutependante quelques solutions individuelles pour reacutepondre agrave certaines exigences des meacutetiers ce qui peacutenalise lrsquoefficaciteacute de la maintenance et du support


Il existe des processus diffeacuterents mais similaires pour lrsquoachat et la maintenance drsquoapplications et on se fie agrave lrsquoexpertise de la fonction informatique Le taux de succegraves des applications deacutepend largement des compeacutetences internes et du niveau dexpeacuterience de lrsquoinformatique La maintenance est en geacuteneacuteral probleacutematique et sa qualiteacute se deacutegrade lorsque des personnels qui ont accumuleacute des connaissances speacutecifiques quittent lentreprise On nrsquoa que peu pris en compte la seacutecuriteacute et la disponibiliteacute dans la conception ou lrsquoacquisition des logiciels applicatifs


Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de logiciels applicatifs Ce processus est aligneacute sur les strateacutegies SI et meacutetiers On srsquoefforce de mettre en œuvre des processus documenteacutes et coheacuterents pour diffeacuterentes applications et diffeacuterents projets Les meacutethodologies sont en geacuteneacuteral rigides et difficiles agrave appliquer agrave tous les cas si bien quil peut arriver qursquoon en neacuteglige certaines eacutetapes Les activiteacutes de maintenance sont planifieacutees et coordonneacutees


Il existe une meacutethodologie formelle et bien comprise qui comporte un processus de conception et de speacutecifications des critegraveres drsquoachat un processus de tests et des exigences de documentation On srsquoest mis drsquoaccord sur des meacutecanismes dapprobation formels et documenteacutes pour sassurer que toutes les eacutetapes sont respecteacutees et que les cas particuliers sont geacutereacutes Les pratiques et les proceacutedures ont eacutevolueacute pour bien srsquoadapter agrave lrsquoentreprise elles sont utiliseacutees par tout le personnel et reacutepondent agrave la plupart des exigences des applications


Les pratiques dacquisition et de maintenance des applications sont conformes aux processus deacutefinis Lapproche est modulaire favorisant des applications preacutedeacutefinies standardiseacutees et adapteacutees aux besoins de lentreprise Cette approche concerne lrsquoensemble de lrsquoentreprise La meacutethodologie dacquisition et de maintenance est bien avanceacutee et permet des deacuteploiements rapides une forte reacuteactiviteacute ainsi que suffisamment de souplesse pour reacutepondre agrave des exigences meacutetiers eacutevolutives La meacutethodologie dacquisition et de mise en place des applications connaicirct des ameacuteliorations permanentes et sappuie sur des bases de connaissances internes et externes donnant accegraves agrave des documents de reacutefeacuterence et aux bonnes pratiques La meacutethodologie produit de la documentation selon un format preacutedeacutefini qui permet une production et une maintenance efficaces


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS

Acqueacuterir et Impleacutementer Acqueacuterir une infrastructure technique et en assurer la maintenance AI3


AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance

Une entreprise dispose de processus pour lrsquoacquisition la mise en place et la mise agrave niveau de son infrastructure technique Cela exige une approche planifieacutee de lrsquoacquisition de la maintenance et de la protection de lrsquoinfrastructure en accord avec les strateacutegies technologiques adopteacutees et de disposer drsquoenvironnements de deacuteveloppement et de tests On est ainsi sucircr de disposer drsquoun support technique permanent pour les applications meacutetiers




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS


Acqueacuterir une infrastructure technique et en assurer la maintenance



acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee


la mise agrave disposition de plates-formes approprieacutees pour les applications meacutetiers en accord avec les standards informatiques et drsquoarchitecture technique deacutefinis


bull eacutelaborant un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull planifiant la maintenance de lrsquoinfrastructure bull mettant en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute


bull le pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis

bull le nombre de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre

bull le nombre de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures


Acqueacuterir et Impleacutementer AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance



AI31 Plan drsquoacquisition drsquoune infrastructure technique Eacutelaborer un plan drsquoacquisition de mise en place et de maintenance de lrsquoinfrastructure technique qui reacuteponde aux besoins fonctionnels et techniques deacutefinis des meacutetiers et qui soit en accord avec les orientations technologiques de lrsquoentreprise

AI32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute au cours de la configuration de lrsquointeacutegration et de la maintenance du mateacuteriel et des logiciels systegraveme pour proteacuteger les ressources et assurer la disponibiliteacute et lrsquointeacutegriteacute Il faut que ceux qui deacuteveloppent et integravegrent les composants drsquoinfrastructure deacutefinissent clairement les responsabiliteacutes drsquoutilisation des composants sensibles Leur utilisation doit ecirctre suivie et eacutevalueacutee

AI33 Maintenance de lrsquoinfrastructure Deacutevelopper une strateacutegie et un plan pour la maintenance de lrsquoinfrastructure et srsquoassurer que les modifications sont controcircleacutees conformeacutement agrave la proceacutedure de gestion des changements de lrsquoentreprise Inclure une reacutevision peacuteriodique en fonction des besoins des meacutetiers de la gestion des correctifs et des strateacutegies de mise agrave niveau et en fonction de lrsquoeacutevaluation de la vulneacuterabiliteacute et des exigences de seacutecuriteacute

AI34 Environnement de test de faisabiliteacute Mettre en place des environnements de deacuteveloppement et de test pour srsquoassurer drsquoune faisabiliteacute et de tests drsquointeacutegration des composants de lrsquoinfrastructure efficaces et efficients



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO3 Plan drsquoinfrastructure technique standards et opportuniteacutes mises agrave niveau techniques reacuteguliegraveres


PO10 Principes geacuteneacuteraux gestion de projets et plans projets deacutetailleacutes


AI6 Changer lrsquointituleacute des processus


Sorties Vers Deacutecisions drsquoacquisition AI5 Systegraveme configureacute agrave testerinstaller AI7 Exigences de lrsquoenvironnement physique DS12 Mises agrave jour des standards techniques PO3 Exigences de surveillance des systegravemes DS3 Connaissance de lrsquoinfrastructure AI4 CE preacutevus initialement DS1

Deacutefinir les proceacuteduresprocessus drsquoacquisition C A C C C R I

Examiner les besoins dinfrastructure avec les fournisseurs (agreacuteeacutes) CI A I R C C R I

Deacutefinir la strateacutegie et planifier la maintenance pour lrsquoinfrastructure A R R R C

Configurer les composants de lrsquoinfrastructure A R C I


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Donner de lrsquoagiliteacute agrave lrsquoinformatique


induit

induit

bull Pourcentage de plates-formes non conformes aux standards informatiques et drsquoarchitecture technique deacutefinis bull Nb de plates-formes techniques par fonction dans lrsquoentreprise bull Pourcentage de composants drsquoinfrastructure acheteacutes en dehors du processus drsquoacquisition bull Nb de composants drsquoinfrastructure dont la maintenance est devenue impossible ou qui le sera bientocirct

bull Nb et type de modifications drsquourgence aux composants de lrsquoinfrastructure bull Nb de demandes drsquoacquisition exceptionnelles bull Dureacutee moyenne pour configurer les composants drsquoinfrastructure

Meacutetriq

ues

bull Nb de processus meacutetiers critiques qui srsquoappuient sur une infrastructure obsolegravete ou en voie de lrsquoecirctre

Processus

bull Fournir les plates-formes approprieacutees aux applications meacutetiers conformes agrave lrsquoarchitecture technique deacutefinie et aux standards techniques bull Fournir une infrastructure technique fiable et seacutecuriseacutee

Activiteacutes

bull Eacutelaborer un plan drsquoacquisition des technologies qui srsquoaligne sur le plan drsquoinfrastructure technique bull Planifier la maintenance de lrsquoinfrastructure bull Fournir lrsquoinfrastructure drsquoenvironnement de deacuteveloppement et de test bull Mettre en place des mesures de controcircle interne de seacutecuriteacute et drsquoaptitude agrave ecirctre auditeacute






La gestion du processus Acqueacuterir une infrastructure technique et en assurer la maintenance qui reacutepond agrave lexigence des meacutetiers vis-agraveshyvis de lrsquoinformatique acqueacuterir et maintenir opeacuterationnelle une infrastructure technique inteacutegreacutee et standardiseacutee est

0 Inexistante quand

On ne considegravere pas lrsquoinfrastructure technique comme une question suffisamment importante pour sen occuper


On modifie linfrastructure pour chaque nouvelle application sans avoir de plan geacuteneacuteral Bien que lon ait conscience de limportance de linfrastructure technique il ny a pas dapproche globale coheacuterente Les activiteacutes de maintenance reacuteagissent aux besoins agrave court terme Lrsquoenvironnement de test est lrsquoenvironnement de production


Il y a une certaine coheacuterence dans les approches tactiques lors de lrsquoacquisition et de la maintenance drsquoune infrastructure technique Lrsquoacquisition et la maintenance drsquoune infrastructure technique ne sont pas baseacutees sur une strateacutegie deacutefinie et ne prennent pas en compte les besoins des applications meacutetiers qursquoil srsquoagit de supporter On comprend que lrsquoinfrastructure technique est importante et certaines pratiques formelles en tiennent compte On planifie une certaine maintenance mais incomplegravetement et sans coordination Dans certains cas de figure il existe un environnement de test speacutecifique


Il existe un processus clair et globalement compris pour lrsquoachat et la maintenance de lrsquoinfrastructure technique Ce processus reacutepond aux besoins des applications critiques de lentreprise et il est caleacute sur la strateacutegie des meacutetiers et sur la strateacutegie des SI mais il nrsquoest pas constamment mis en œuvre La maintenance est planifieacutee et coordonneacutee Les environnements de test et de production sont seacutepareacutes


Le processus dacquisition et de maintenance de linfrastructure technique sest deacuteveloppeacute au point de bien fonctionner dans la plupart des situations decirctre mis en œuvre avec constance et decirctre reacuteutilisable Lrsquoinfrastructure technique supporte comme il convient les applications meacutetiers Le processus est agrave la fois bien structureacute et proactif Le coucirct en temps et en argent pour atteindre le niveau souhaitable deacutevolutiviteacute compatibiliteacute souplesse et inteacutegration est partiellement optimiseacute


Le processus dacquisition et de maintenance de linfrastructure technique est proactif et parfaitement aligneacute sur les applications meacutetiers cleacutes et sur lrsquoarchitecture technique On applique les bonnes pratiques pour ce qui est des solutions technologiques et lrsquoentreprise est au courant des derniers deacuteveloppements en matiegravere de plates-formes et drsquooutils de gestion On reacuteduit les coucircts par la rationalisation et la standardisation des composants drsquoinfrastructure et par lautomatisation Gracircce agrave un haut niveau de veille technologique on sait trouver les meilleurs moyens danticiper pour ameacuteliorer les performances y compris en externalisant Linfrastructure mateacuterielle et logicielle est vue comme le facteur essentiel pour geacuteneacuteraliser lutilisation de linformatique


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S S

Acqueacuterir et Impleacutementer Faciliter le fonctionnement et lrsquoutilisation AI4


AI4 Faciliter le fonctionnement et lrsquoutilisation

Les connaissances sur les nouveaux systegravemes sont rendues disponibles Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour lrsquoinformatique et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de lrsquoinfrastructure




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S S



Faciliter le fonctionnement et lrsquoutilisation


satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers


la fourniture de manuels utilisateurs de manuels opeacuterationnels et de supports de formation efficaces pour transfeacuterer la connaissance neacutecessaire au bon fonctionnement et agrave la bonne utilisation des systegravemes


bull deacuteveloppant la documentation de transfert des connaissances et en la rendant disponible bull communiquant en direction des utilisateurs et des directions des meacutetiers du personnel en charge du

support et de la production et en les formant bull produisant des supports de formation


bull le nombre dapplications ougrave des proceacutedures informatiseacutees sont inteacutegreacutees progressivement dans les processus meacutetiers

bull le pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents de support

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


bull le nombre dapplications pour lesquelles les utilisateurs et les agents du support beacuteneacuteficient dune formation adeacutequate

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI4 Faciliter le fonctionnement et lrsquoutilisation



AI41 Planification pour rendre les solutions exploitables Deacutevelopper un plan pour identifier et documenter tous les aspects techniques drsquoexploitation et drsquoutilisation de faccedilon agrave ce que tous ceux qui doivent exploiter utiliser et maintenir les solutions automatiseacutees puissent exercer leurs responsabiliteacutes

AI42 Transfert de connaissances aux meacutetiers Transfeacuterer les connaissances aux responsables des meacutetiers pour permettre agrave cette population drsquoassumer la proprieacuteteacute des systegravemes et des donneacutees et drsquoexercer la responsabiliteacute de la livraison de services et de la qualiteacute du controcircle interne et de lrsquoadministration des applications

AI43 Transfert de connaissances aux utilisateurs finaux Transfeacuterer les connaissances et le savoir-faire aux utilisateurs finaux pour leur permettre drsquoutiliser les applications avec efficaciteacute et efficience au beacuteneacutefice des processus meacutetiers

AI44 Transfert de connaissances aux eacutequipes drsquoexploitation et de support Transfeacuterer les connaissances et le savoir-faire aux eacutequipes drsquoexploitation et de support technique pour leur permettre de travailler de fournir lrsquoassistance et drsquoassurer la maintenance du systegraveme et de lrsquoinfrastructure associeacutee avec efficaciteacute et efficience



DSI





ents


Bureau projet



Service formation

Equipe de deacuteploiem

ent


DSI





ents


Bureau projet



Service formation


ent

Service formation


ent


GUIDE DE MANAGEMENT


De Entreacutees PO10 Principes geacuteneacuteraux gestion de projets et plans

projets deacutetailleacutes AI1 Eacutetude de faisabiliteacute des exigences des meacutetiers

AI2 Connaissance de lrsquoapplication et de la suite logicielle

AI3 Connaissance de lrsquoinfrastructure

AI7 Erreurs connues et accepteacutees

DS7 Mises agrave jour de la documentation requise

Sorties Vers Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration

AI7 DS4 DS8 DS9 DS11 DS13

Exigences de transfert de connaissances pour la mise en place dune solution

DS7

Supports de formation DS7

Deacutevelopper une strateacutegie pour rendre la solution exploitable A A R R I R C

Deacutevelopper une meacutethodologie de transfert de connaissances C A C R

Deacutevelopper des manuels de proceacutedure pour les utilisateurs finaux AR R C C

Deacutevelopper de la documentation de support technique pour le personnel de lrsquoexploitation et du support AR C C

Deacutevelopper et fournir la formation A A R R

Eacutevaluer les reacutesultats de la formation et ameacuteliorer la documentation lorsque crsquoest neacutecessaire A A R R


DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Equipe

dedeacuteploiem

ent

Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Inteacutegrer progressivement des solutions informatiques aux processus meacutetiers bull Reacuteduire le nombre de deacutefauts et de remise en chantier de la fourniture de solutions et de services


bull Deacutevelopper la documentation de transfert des connaissances et la rendre disponible bull Communiquer en direction des utilisateurs et des directions meacutetiers du personnel du support et du personnel drsquoexploitation et les former bull Produire des supports de formation

induit

induit

Meacutetriq

ues

bull Nb dapplications ougrave des proceacutedures informatiseacutees ont eacuteteacute progressivement inteacutegreacutees aux processus meacutetiers bull Pourcentage de responsables drsquoactiviteacutes satisfaits des documents de formation aux applications et des documents drsquoassistance

bull Nb drsquoincidents causeacutes par une documentation et une formation utilisateur et drsquoexploitation deacuteficientes bull Nb de seacuteances de formation faites par le service de support bull Indices de satisfaction concernant la formation et la documentation des proceacutedures utilisateurs et drsquoexploitation bull Coucirct reacuteduit de production et de maintenance de la documentation utilisateur des proceacutedures drsquoexploitation et des supports de formation

bull Taux de participation des utilisateurs et des exploitants aux formations pour chaque application bull Deacutelai entre les changements et les mises agrave jour de la formation des manuels de proceacutedure et de la documentation bull Disponibiliteacute exhaustiviteacute et exactitude de la documentation des utilisateurs et des exploitants bull Nb drsquoapplications qui beacuteneacuteficient de formationssupport destineacutes aux utilisateurs et aux exploitants

Processus

bull Fournir des manuels utilisateurs et drsquoexploitation et des supports de formation efficaces pour les applications et les solutions techniques bull Transfeacuterer les connaissances neacutecessaires au succegraves de lrsquoexploitation du systegraveme






La gestion du processus Faciliter le fonctionnement et lrsquoutilisation qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique satisfaire les utilisateurs finaux par lrsquooffre de services et par les niveaux de services et inteacutegrer progressivement les applications et les solutions informatiques dans les processus meacutetiers est

0 Inexistante quand

Il nexiste pas de processus de production de la documentation utilisateurs des manuels dexploitation ni des supports de formation Les seuls documents existants sont ceux qui sont fournis avec les produits acheteacutes


On est conscient de la neacutecessiteacute de documenter les processus On produit certaines documentations et on les distribue irreacuteguliegraverement agrave des groupes limiteacutes Une grande partie de la documentation et de nombreuses proceacutedures sont peacuterimeacutees Les supports de formation ont tendance agrave ecirctre agrave usage unique et leur qualiteacute est inconstante Il nrsquoy a pratiquement aucune inteacutegration des proceacutedures dans les diffeacuterents services systegravemes et meacutetiers Les services meacutetiers ne sont pas impliqueacutes dans la conception des programmes de formation


On utilise des approches similaires pour produire des proceacutedures et de la documentation mais sans srsquoappuyer sur un reacutefeacuterentiel ou sur une meacutethodologie Les approches du deacuteveloppement des proceacutedures utilisateur ou drsquoexploitation ne sont pas uniformiseacutees Les supports de formation sont faits par des individus ou par des eacutequipes de projet et la qualiteacute deacutepend des personnes impliqueacutees Les proceacutedures et la qualiteacute du support aux utilisateurs varient de meacutediocres agrave tregraves bonnes lensemble eacutetant inconstant et le niveau dinteacutegration dans lrsquoentreprise tregraves faible On fournit ou on encourage les programmes de formation pour les utilisateurs et les meacutetiers mais il nrsquoexiste pas de plan geacuteneacuteral de fourniture ou de deacuteploiement de formations


Il existe un cadre clairement deacutefini accepteacute et compris pour ce qui concerne la documentation utilisateurs les manuels dexploitation et les supports de formation Les proceacutedures sont stockeacutees et mises agrave jour dans une bibliothegraveque officielle et sont accessibles par tous ceux qui en ont besoin La documentation et les proceacutedures sont corrigeacutees en fonction des besoins Il existe des versions de sauvegarde des proceacutedures que lon peut mettre agrave jour et auxquelles on peut acceacuteder en cas de sinistre Il existe un processus qui speacutecifie que les mises agrave jour des proceacutedures et des supports de formation font partie des livrables dun projet de changement Malgreacute lexistence dapproches deacutefinies le contenu reacuteel varie parce quon ne controcircle pas la conformiteacute avec les standards Les utilisateurs sont impliqueacutes dans le processus de maniegravere informelle On automatise de plus en plus la geacuteneacuteration et la distribution des proceacutedures La formation des utilisateurs et des meacutetiers est planifieacutee et programmeacutee


Il existe un cadre deacutefini pour la maintenance des proceacutedures et les supports de formation qui a le soutien du management de lrsquoinformatique Lrsquoapproche adopteacutee pour la maintenance des proceacutedures et pour les manuels de formation concerne tous les systegravemes et toutes les services si bien qursquoon peut consideacuterer les processus dans une perspective meacutetier Les manuels de proceacutedures et les supports de formation sont inteacutegreacutes de faccedilon agrave inclure les eacuteleacutements communs et les interfaces Il existe des controcircles pour sassurer quon applique les standards et quon deacuteveloppe des proceacutedures quon assure leur maintenance pour tous les processus On collecte les informations en provenance des utilisateurs et des meacutetiers et on les eacutevalue comme eacuteleacutements drsquoun processus drsquoameacutelioration continue La documentation et les supports de formation ont en geacuteneacuteral un bon niveau de fiabiliteacute et de disponibiliteacute On a mis en place un nouveau processus dutilisation de la documentation et de gestion des proceacutedures informatiseacutees Le deacuteveloppement de proceacutedures informatiseacutees est de plus en plus inteacutegreacute au deacuteveloppement dapplications ce qui ameacuteliore la coheacuterence et facilite laccegraves des utilisateurs La formation des meacutetiers et des utilisateurs srsquoadapte aux besoins des meacutetiers Le management de lrsquoinformatique eacutelabore des outils pour mesurer le deacuteveloppement et la fourniture de documentation de supports et de programmes de formation


Le processus de documentation destineacutee aux utilisateurs et exploitants sameacuteliore constamment gracircce agrave ladoption de nouveaux outils et de nouvelles meacutethodes La documentation des proceacutedures et les supports de formation sont traiteacutes comme une base de connaissances en constante eacutevolution qui est tenue agrave jour au moyen des outils de gestion des connaissances de workflow et de diffusion les plus modernes ce qui en facilite laccessibiliteacute et la maintenance La documentation et les supports de formation sont mis agrave jour pour tenir compte des changements dans lrsquoentreprise dans lrsquoexploitation et dans les logiciels Le deacuteveloppement de documentation et de supports de formation ainsi que la fourniture de programmes de formation sont pleinement inteacutegreacutes aux meacutetiers et aux deacutefinitions des processus meacutetiers satisfaisant ainsi aux exigences geacuteneacuterales de lrsquoentreprise et non plus seulement aux proceacutedures informatiseacutees


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

S P SAcqueacuterir et Impleacutementer








Acqueacuterir et Impleacutementer Acqueacuterir des ressources informatiques AI5


AI5 Acqueacuterir des ressources informatiques

On a besoin drsquoacqueacuterir des ressources informatiques Elles comprennent les personnes le mateacuteriel le logiciel et les services Cela exige de deacutefinir et drsquoappliquer des proceacutedures de recrutement et drsquoachat la seacutelection des fournisseurs lrsquoeacutetablissement drsquoarrangements contractuels et lrsquoacte lui-mecircme de se procurer ces ressources Crsquoest ainsi qursquoon peut assurer agrave lrsquoentreprise toutes les ressources informatiques requises au bon moment et au meilleur coucirct

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

S P S Acqueacuterir et Impleacutementer




Acqueacuterir des ressources informatiques



ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise


le recrutement et la conservation des compeacutetences informatiques qui correspondent agrave la strateacutegie de fourniture de services lrsquoacquisition drsquoune infrastructure informatique inteacutegreacutee et standardiseacutee et la reacuteduction des risques lieacutes aux achats informatiques


bull se faisant conseiller sur les aspects juridiques et contractuels bull deacutefinissant des proceacutedures et des standards drsquoachat bull se procurant les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies


bull le nombre de contestations lieacutees aux contrats drsquoachat bull la reacuteduction des coucircts drsquoachat bull le pourcentage des parties prenantes cleacutes satisfaites des fournisseurs

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI5 Acqueacuterir des ressources informatiques



AI51 Controcircle des achats Deacutevelopper et suivre un ensemble de proceacutedures et de standards conformes au processus geacuteneacuteral et agrave la strateacutegie drsquoacquisition de lrsquoentreprise pour acheter lrsquoinfrastructure informatique les installations les mateacuteriels logiciels et services dont les meacutetiers ont besoin

AI52 Gestion des contrats fournisseurs Mettre en place pour tous les fournisseurs une proceacutedure pour eacutetablir modifier et mettre un terme aux contrats Cette proceacutedure doit recouvrir au minimum les responsabiliteacutes leacutegales financiegraveres et civiles ainsi que celles qui sont lieacutees agrave la documentation agrave la performance agrave la seacutecuriteacute agrave la proprieacuteteacute intellectuelle et agrave la reacutesiliation (y compris les clauses peacutenales) Tous les contrats doivent ecirctre examineacutes par des conseillers juridiques ainsi que toutes les modifications

AI53 Choix des fournisseurs Choisir les fournisseurs selon une pratique loyale et formelle pour garantir la meilleure adaptation durable aux exigences formuleacutees Ces exigences doivent ecirctre optimiseacutees en fonction de propositions de fournisseurs potentiels

AI54 Acquisition de ressources informatiques Veiller agrave la protection et au respect des inteacuterecircts de lrsquoentreprise dans tous les accords contractuels drsquoacquisition en incluant les droits et obligations de toutes les parties dans les clauses contractuelles drsquoacquisition de logiciels de ressources de deacuteveloppement drsquoinfrastructures et de services



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees PO1 Strateacutegie drsquoachats informatiques PO8 Standards drsquoacquisition



AI2shy3 Deacutecisions drsquoacquisition

DS2 Catalogue fournisseurs

Sorties Vers Exigences gestion des relations avec les tiers DS2 Articles acheteacutes AI7 Accords contractuels DS2

Deacutevelopper des politiques et des proceacutedures drsquoacquisition informatique conformes aux politiques drsquoacquisition de lrsquoentreprise

I C A I I I R C

Eacutetablirtenir agrave jour une liste de fournisseurs accreacutediteacutes AR

Eacutevaluer et seacutelectionner les fournisseurs selon un processus de demande de proposition (devis) C C A R R R R C

Reacutediger des contrats qui protegravegent les inteacuterecircts de lrsquoentreprise R C A R R R C

Respecter les proceacutedures drsquoacquisition eacutetablies A R R R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Acqueacuterir des applications informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Ameacuteliorer des infrastructures informatiques inteacutegreacutees et standardiseacutees et en assurer la maintenance bull Se procurer et conserver les compeacutetences informatiques neacutecessaires agrave la mise en oeuvre de la strateacutegie informatique

deacutefinit

bull Reacuteduire les risques lieacutes aux achats informatiques bull En obtenir pour son argent dans les achats informatiques

deacutefinit

induit

induit

Meacutetriq

ues

bull Nb de contestations lieacutees aux contrats de recrutement ou drsquoacquisition bull Reacuteduction en montant des coucircts drsquoachat bull Pourcentage de principales parties prenantes satisfaites des prestations des fournisseurs

bull Pourcentage drsquoexigences initiales satisfaites par la solution choisie bull Pourcentage drsquoachats conformes aux politiques et proceacutedures drsquoacquisition en cours bull Coucircts reacuteduits des biens ou des services acquis

bull Deacutelai entre la demande de proposition et la signature du contrat ou lrsquoachat bull Nb de demandes de proposition satisfaites par la liste des fournisseurs preacutefeacutereacutes bull Nb de demandes de propositions qui avaient besoin drsquoecirctre ameacutelioreacutees drsquoapregraves les reacuteponses des fournisseurs bull Nb de demandes de propositions qui ont abouti dans les deacutelais bull Nb de changements de fournisseurs pour le mecircme type de biens ou de services fournis bull Nb de reacuteponses aux demandes de proposition

Activiteacutes

bull Se faire conseiller sur les aspects juridiques et contractuels bull Deacutefinir des proceacutedures et des standards de recrutement et drsquoacquisition bull Se procurer les mateacuteriels logiciels et services neacutecessaires conformeacutement aux proceacutedures deacutefinies






La gestion du processus Acqueacuterir des ressources informatiques qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise est

0 Inexistante quand

On nrsquoa pas mis en place un processus deacutefini drsquoacquisition de ressources Lrsquoentreprise ne reconnaicirct pas la neacutecessiteacute de politiques et de proceacutedures claires pour srsquoassurer que toutes les ressources informatiques soient acquises au bon moment et dans de bonnes conditions eacuteconomiques


Lrsquoentreprise reconnaicirct la neacutecessiteacute drsquoavoir des proceacutedures et des politiques qui lient les acquisitions informatiques au processus geacuteneacuteral drsquoacquisition Les contrats drsquoacquisition de ressources informatiques sont reacutedigeacutes et geacutereacutes par des directeurs de projets et drsquoautres personnes qui exercent leur jugement professionnel au lieu drsquoecirctre le reacutesultat de proceacutedures et de politiques formelles La relation entre les processus de gestion des achats et des contrats de lrsquoentreprise drsquoune part et lrsquoinformatique drsquoautre part nrsquoexiste qursquoau cas par cas Les contrats drsquoachats sont geacutereacutes au moment de la conclusion des projets au lieu de lrsquoecirctre de faccedilon continue


On est conscient au niveau de lrsquoentreprise du besoin drsquoavoir des politiques et des proceacutedures de base pour les acquisitions informatiques Les politiques et les proceacutedures sont partiellement inteacutegreacutees au processus global drsquoacquisition de lrsquoentreprise Les processus drsquoachats sont essentiellement utiliseacutes pour les projets importants agrave grande visibiliteacute Crsquoest lrsquoexpeacuterience individuelle du gestionnaire de contrats qui permet de deacutefinir les responsabiliteacutes opeacuterationnelles et finales des achats informatiques et de la gestion des contrats On reconnaicirct lrsquoimportance de la gestion des fournisseurs et de la gestion des relations mais elles ne sont mises en œuvre que sur des initiatives individuelles Les processus de passation de contrats sont essentiellement utiliseacutes pour les projets importants ou agrave grande visibiliteacute


Le management met en place des politiques et des proceacutedures pour les achats informatiques Les politiques et les proceacutedures sont inspireacutees par le processus global drsquoacquisition de lrsquoentreprise Les achats informatiques sont largement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Il existe des standards pour lrsquoacquisition de ressources informatiques Les fournisseurs de ressources informatiques sont inteacutegreacutes aux meacutecanismes de gestion de projets de lrsquoentreprise en ce qui concerne la gestion des contrats Le management de lrsquoinformatique communique agrave lrsquoensemble du service le besoin drsquoune bonne gestion des achats et des contrats


Les achats informatiques sont totalement inteacutegreacutes aux systegravemes drsquoachats geacuteneacuteraux de lrsquoentreprise Les standards drsquoachat des ressources informatiques sont utiliseacutes pour toutes les acquisitions On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On dispose de rapports sur les achats informatiques qui prennent en compte les objectifs des meacutetiers Le management est en geacuteneacuteral au courant des exceptions aux politiques et aux proceacutedures drsquoacquisition informatique La gestion strateacutegique des relations se deacuteveloppe Le management de lrsquoinformatique fait appliquer le processus de gestion de contrats et drsquoacquisitions pour tous les achats en analysant les mesures de performance


Le management eacutetablit des processus complets pour les achats informatiques et il fournit les ressources neacutecessaires Le management impose la conformiteacute avec les politiques et les proceacutedures pour les acquisitions informatiques On utilise des meacutetriques pour la gestion des contrats et des acquisitions qui sont en rapport avec les analyses de rentabiliteacute des achats informatiques On a eacutetabli au fil du temps de bonnes relations avec la plupart des fournisseurs et partenaires et on mesure et on surveille la qualiteacute de ces relations Les relations font lrsquoobjet drsquoune gestion strateacutegique Les standards informatiques les politiques et les proceacutedures pour lrsquoacquisition de ressources informatiques sont geacutereacutes de faccedilon strateacutegique et reacuteagissent aux mesures effectueacutees au cours du processus Le management de lrsquoinformatique communique agrave lrsquoensemble du service lrsquoimportance strateacutegique drsquoune bonne gestion des achats et des contrats


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SPP

Acqueacuterir et Impleacutementer Geacuterer les changements AI6


AI6 Geacuterer les changements

Tous les changements y compris la maintenance et les correctifs drsquourgence concernant lrsquoinfrastructure et les applications de lrsquoenvironnement de production sont geacutereacutes et controcircleacutes de faccedilon formelle Les changements (y compris ceux relatifs aux proceacutedures processus paramegravetres systegravemes et services) sont enregistreacutes dans un fichier eacutevalueacutes et autoriseacutes avant mise en place et confronteacutes aux reacutesultats attendus degraves leur mise en œuvre Cela reacuteduit les risques de conseacutequences neacutegatives pour la stabiliteacute ou lrsquointeacutegriteacute de lrsquoenvironnement de production






Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SPP

Geacuterer les changements


reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises


le controcircle de lrsquoeacutevaluation des conseacutequences de lrsquoautorisation et de la mise en place de toutes les modifications de lrsquoinfrastructure informatique des applications et des solutions techniques la reacuteduction des erreurs dues agrave des speacutecifications insuffisantes et lrsquointerruption de modifications non autoriseacutees


bull deacutefinissant et en communiquant les proceacutedures de changement y compris pour les modifications drsquourgence

bull eacutevaluant les changements deacutefinissant leurs prioriteacutes et en les autorisant bull faisant un suivi des changements et en en rendant compte


bull le nombre de perturbations ou de donneacutees erroneacutees provoqueacutees par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact

bull un travail suppleacutementaire sur les applications ou sur lrsquoinfrastructure du fait de speacutecifications inadeacutequates des modifications

bull le pourcentage de changements qui suivent le processus formel de controcircle des changements

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI6 Geacuterer les changements



AI61 Standards et proceacutedures de changement Mettre en place des proceacutedures formelles de gestion des changements pour traiter de faccedilon standardiseacutee toutes les demandes de modifications (y compris maintenance et correctifs) des applications proceacutedures processus paramegravetres systegravemes et services ainsi qursquoaux plates-formes sur lesquelles ils srsquoappuient

AI62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation Eacutevaluer toutes les demandes de changements de faccedilon structureacutee en terme drsquoimpacts sur le systegraveme en exploitation et sur ses fonctionnaliteacutes Srsquoassurer que les changements sont classeacutes par cateacutegorie par prioriteacute et sont autoriseacutes

AI63 Modifications durgence Mettre en place un processus pour deacutefinir reacutealiser tester documenter eacutevaluer et autoriser les modifications drsquourgence qui ne suivent pas le processus de changement eacutetabli

AI64 Suivi et compte-rendu des changements Mettre en place un systegraveme de suivi et de reporting pour documenter les changements refuseacutes et communiquer sur la situation des changements approuveacutes en cours et acheveacutes Srsquoassurer que les changements approuveacutes sont mis en œuvre comme planifieacutes

AI65 Clocircture et documentation des changements A chaque mise en œuvre de changement mettre agrave jour les systegravemes associeacutes la documentation utilisateur et les proceacutedures



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees PO1 Portefeuille de projets informatiques PO8 Actions pour lrsquoameacutelioration de la qualiteacute

PO9 Plans drsquoactions pour remeacutedier aux risques informatiques

PO10 Principes geacuteneacuteraux de gestion de projets et plans de projets deacutetailleacutes

DS3 Changements demandeacutes

DS5 Changements de seacutecuriteacute demandeacutes

DS8 Demande de servicedemande de changement

DS9shy10 Demande de changement (ougrave et comment faire la modification)

DS10 Historique des problegravemes

Sorties Vers Modifier la description du processus AI1hellipAI3 Modifier le rapport sur le statut SE1 Modifier lrsquoautorisation AI7 DS8 DS10

Deacutevelopper et mettre en place un processus pour enregistrer et eacutevaluer les demandes de changements et les classer par prioriteacutes

A I R C R C C C

Eacutevaluer lrsquoimpact des changements et deacutefinir leur prioriteacute en fonction des besoins des meacutetiers I R AR C R C R C

Srsquoassurer que toute modification drsquourgence ou critique suit le processus approuveacute I I AR I R C

Autoriser les changements I C AR R

Geacuterer et diffuser les informations utiles concernant les modifications A I R C R I R C


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Reacuteduire les deacutefauts et les reprises touchant agrave la fourniture de solutions et de services bull Srsquoassurer qursquoun incident ou un changement dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Deacuteterminer comment traduire les exigences des meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement

induit

induit

bull Nombre de reprises dues agrave des speacutecifications inadeacutequates de changements bull Diminution du temps et des efforts neacutecessaires pour effectuer les changements bull Pourcentage du total des changements qui sont des correctifs drsquourgence bull Pourcentage drsquoeacutechec des changements drsquoinfrastructure du fait de speacutecifications de changement inadeacutequates bull Nb de changements non formellement suivis non autoriseacutes ou sans compte-rendu bull Nb de demandes de changements encore non traiteacutees

bull Pourcentage de changements enregistreacutes et suivis par des outils automatiseacutes bull Pourcentage de changements respectant le processus formel de controcircle des changements bull Ratio demandes de changements accepteacuteesrefuseacutees bull Nb de versions diffeacuterentes de chaque application ou infrastructure meacutetiers maintenues bull Nb et type de modifications drsquourgence apporteacutees aux composants de lrsquoinfrastructure bull Nb et type de correctifs apporteacutes aux composants de lrsquoinfrastructure

Processus

bull Appliquer les changements autoriseacutes agrave lrsquoinfrastructure et aux applications informatiques bull Eacutevaluer lrsquoimpact des changements de lrsquoinfrastructure et des applications informatiques ainsi que des solutions techniques bull Suivre le statut des changements et en rendre compte aux parties prenantes cleacutes bull Reacuteduire le nombre drsquoerreurs dues agrave des speacutecifications incomplegravetes dans les demandes

Activiteacutes

bull Deacutefinir et communiquer les proceacutedures de changement y compris les modifications et les correctifs drsquourgence bull Eacutevaluer les changements deacutefinir leurs prioriteacutes et les autoriser bull Programmer les changements bull Faire un suivi des changements et en rendre compte



Meacutetriq

ues

bull Nb de perturbations ou de donneacutees erroneacutees provoqueacutes par des speacutecifications inexactes ou une eacutevaluation insuffisante de lrsquoimpact





La gestion du processus Geacuterer les changements qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise tout en reacuteduisant les deacutefauts des solutions et des services livreacutes ainsi que les reprises est

0 Inexistante quand

Il nexiste pas de processus deacutefini de gestion des changements et les changements peuvent ecirctre faits pratiquement en dehors de tout controcircle On na pas conscience que les changements peuvent perturber le fonctionnement de linformatique et celui de lentreprise et on nest pas conscient non plus des beacuteneacutefices quapporterait une bonne gestion des changements


On reconnaicirct qursquoil faudrait geacuterer et controcircler les changements Les pratiques varient et il est probable que des changements non autoriseacutes ont lieu La documentation des changements est pauvre ou absente et celle de la configuration est incomplegravete et peu fiable Des erreurs se produisent vraisemblablement ainsi que des interruptions dans lenvironnement de production du fait dune mauvaise gestion des changements


Il existe un processus informel de gestion des changements et la plupart des changements le suivent Il est cependant mal structureacute rudimentaire et sujet agrave erreurs La documentation de la configuration nest pas preacutecise et avant un changement on se contente dune planification et dune eacutevaluation de limpact limiteacutees


Il existe un processus deacutefini et formel de gestion des changements qui comporte leur reacutepartition par cateacutegories et par prioriteacutes les proceacutedures drsquourgence les autorisations de changements et la gestion de leur diffusion et on srsquoy conforme peu agrave peu On improvise des solutions et les processus sont souvent court-circuiteacutes Des erreurs peuvent toujours se produire et de temps en temps des changements sont pratiqueacutes sans autorisation On commence agrave formaliser lanalyse de limpact des changements informatiques sur les activiteacutes meacutetiers pour soutenir le deacuteploiement programmeacute de nouvelles applications et technologies


Le processus de gestion des changements est bien deacuteveloppeacute et suivi avec constance dans tous les cas Le management est convaincu quil ny a qursquoun minimum dexceptions Le processus est efficace et efficient mais sappuie sur de nombreuses proceacutedures et controcircles manuels pour garantir le niveau de qualiteacute Tous les changements sont assujettis agrave une planification complegravete et agrave une eacutevaluation dimpact de faccedilon agrave minimiser la probabiliteacute de problegravemes apregraves la mise en production On a mis en place un processus dapprobation des changements La documentation de la gestion des changements est bien faite et agrave jour les changements eacutetant formellement suivis de pregraves La documentation de la configuration est en geacuteneacuteral preacutecise La planification et la mise en place de la gestion des changements informatiques sont de plus en plus inteacutegreacutees aux eacutevolutions des processus meacutetiers de maniegravere agrave sassurer que les questions concernant la formation les changements organisationnels et la continuiteacute de lactiviteacute sont bien prises en compte Il y a une coordination accrue entre la gestion des changements informatiques et la redeacutefinition des processus meacutetiers Il existe un processus continu de surveillance de la qualiteacute et de la performance du processus de gestion des changements


Le processus de gestion des changements est reacuteguliegraverement reacuteviseacute et mis agrave jour pour rester au niveau des bonnes pratiques Le processus de revue est le reflet des reacutesultats de la surveillance Linformation sur la configuration est informatiseacutee et permet de controcircler les diffeacuterentes versions Le suivi des changements est eacutelaboreacute et comporte des outils de deacutetection des logiciels non autoriseacutes etou sans licence La gestion des changements informatiques est inteacutegreacutee agrave la gestion des changements meacutetiers pour srsquoassurer que lrsquoinformatique apporte un plus en productiviteacute et en nouvelles opportuniteacutes meacutetiers pour lrsquoentreprise


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS

Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7 DESCRIPTION DU PROCESSUS

AI7 Installer et valider les solutions et les modifications

Il faut mettre en exploitation les nouveaux systegravemes lorsque la phase de deacuteveloppement est acheveacutee Cela exige drsquoeffectuer les bons tests sur les donneacutees dans un environnement deacutedieacute de deacutefinir les instructions de deacuteploiement et de migration un planning de livraison et la mise en production proprement dite et des revues apregraves mise en place Cela garantit que les systegravemes opeacuterationnels sont en phase avec les attentes et les reacutesultats rechercheacutes




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS


Installer et valider les solutions et les modifications


qui reacutepond agrave lrsquoexigence suivante des meacutetiers vis-agrave-vis de lrsquoinformatique

mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation


la veacuterification que les applications et lrsquoinfrastructure sont approprieacutees agrave lrsquoobjectif proposeacute et libres drsquoerreurs et sur la planification de la mise en production des versions


bull mettant en place une meacutethodologie de tests bull travaillant sur un planning des versions bull faisant eacutevaluer et approuver les reacutesultats de tests par le management bull effectuant des revues apregraves la mise en œuvre


bull le nombre drsquoapplications indisponibles et de correctifs apporteacutes du fait de tests inapproprieacutes

bull le pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation

bull le pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Acqueacuterir et Impleacutementer AI7 Installer et valider les solutions et les modifications



AI71 Formation Former le personnel des services utilisateurs concerneacutes et leacutequipe de production informatique conformeacutement au plan de formation deacutefini et aux supports associeacutes cette eacutetape doit faire partie inteacutegrante de tous les projets de deacuteveloppement de mise en place ou de modification des systegravemes dinformation

AI72 Plan de tests Eacutelaborer un plan de tests baseacute sur des standards de lrsquoentreprise deacutefinissant les rocircles les responsabiliteacutes et les critegraveres drsquoentreacutee et de sortie Srsquoassurer que le plan est approuveacute par les parties concerneacutees

AI73 Plan drsquoimpleacutementation Eacutelaborer un plan drsquoimpleacutementation de repli ou de retour en arriegravere Obtenir lrsquoapprobation des parties concerneacutees

AI74 Environnement de tests Deacutefinir et mettre en place un environnement seacutepareacute de tests seacutecuriseacute et repreacutesentatif de lrsquoenvironnement de production preacutevu sur le plan de la seacutecuriteacute des controcircles internes des pratiques drsquoexploitation de la qualiteacute des donneacutees des exigences lieacutees agrave la protection des donneacutees personnelles et de la charge de travail

AI75 Conversion des systegravemes et des donneacutees Planifier la conversion des donneacutees et la migration drsquoinfrastructure comme faisant partie des meacutethodes de deacuteveloppement de lrsquoentreprise et incluant les pistes drsquoaudit les reprises et les retours en arriegravere

AI76 Test des modifications Tester les modifications unitaires conformeacutement au plan de test deacutefini avant la migration dans lrsquoenvironnement drsquoexploitation Srsquoassurer que le plan prend en compte la seacutecuriteacute et la performance

AI77 Tests de recette deacutefinitive Srsquoassurer que les responsables des processus meacutetiers et les parties prenantes de lrsquoinformatique eacutevaluent les reacutesultats du processus de test tel que deacutefini dans le plan de test Corriger les erreurs significatives mises en lumiegravere par le processus de test apregraves avoir acheveacute lrsquoensemble des tests recenseacutes dans le plan de test ainsi que tous les tests de non reacutegression neacutecessaires Apregraves lrsquoeacutevaluation approuver la mise en production

AI78 Mise en production Apregraves les tests controcircler le passage en production du systegraveme modifieacute en veillant agrave ce qursquoil se reacutealise conformeacutement au plan drsquoimpleacutementation Obtenir lrsquoaccord des parties prenantes cleacutes comme les utilisateurs le proprieacutetaire du systegraveme et le management Si crsquoest opportun exploitez pendant un moment lrsquoancien systegraveme parallegravelement au nouveau de faccedilon agrave comparer leur fonctionnement et leurs reacutesultats

AI79 Revue post-impleacutementation Dans le cadre des standards de gestion des changements de lrsquoorganisation eacutelaborer des proceacutedures pour exiger une revue postshyimpleacutementation comme mentionneacutee dans le plan drsquoimpleacutementation



DSI





ents


Bureau projet



Acqueacuterir et Impleacutementer Installer et valider les solutions et les modifications AI7

GUIDE DE MANAGEMENT


De Entreacutees PO3 Standards technologiques PO4 Documentation sur les proprieacutetaires de systegravemes


PO10 Guides de gestion de projets et plans de projets deacutetailleacutes

AI3 Systegraveme configureacute agrave testerinstaller

AI4 Manuels utilisateur drsquoexploitation de support technique et drsquoadministration

AI5 Articles acheteacutes

AI6 Autorisation de changement

Sorties Vers Eacuteleacutements de configuration mis agrave disposition DS8 DS9 Erreurs connues et accepteacutees AI4 Mises en production DS13 Plan de publication et de diffusion de logiciel DS13 Revue postshydeacutemarrage PO2 PO5 PO10

Tableau RACI

Activiteacutes Construire et veacuterifier les plans drsquoimpleacutementation C A I C C R C C

Deacutefinir et veacuterifier une strateacutegie de tests (critegraveres drsquoentreacuteesortie) et une meacutethodologie de programme de tests C A C C C R C C

Constituer un dossier de reacutefeacuterence des exigences meacutetiers et techniques le tenir agrave jour et y joindre des reacutesultats de tests types pour les systegravemes valideacutes

A R

Faire des tests drsquointeacutegration et de conversion systegraveme sur lrsquoenvironnement de tests I I R C C AR I C

Deacuteployer lrsquoenvironnement de tests et conduire les tests de recette deacutefinitive I I R A C AR I C

Recommander le transfert en production selon des critegraveres de validation approuveacutes I R A R C R I C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Reacuteduire le nombre de deacutefauts et de tacircches de reacutefection touchant la fourniture de solutions et de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Sassurer dune inteacutegration en douceur des applications aux processus meacutetiers bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services et lrsquoinfrastructure informatiques peuvent correctement reacutesister agrave une panne due agrave une erreur une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir

induit

induit

Meacutetriq

ues

bull Pourcentage de parties prenantes satisfaites de lrsquointeacutegriteacute des donneacutees des nouveaux systegravemes bull Pourcentage de systegravemes qui apportent les beacuteneacutefices attendus mesureacutes par le processus post-impleacutementation

bull Nb drsquoerreurs trouveacutees agrave loccasion daudits internes ou externes concernant le processus dinstallation et de validation bull Reacutefections apregraves impleacutementation agrave cause de tests de validation inadeacutequats bull Appels au service drsquoassistance dus agrave une formation inadeacutequate bull Indisponibiliteacute des applications et correctifs apporteacutes du fait de tests inapproprieacutes

bull Degreacute dimplication des parties prenantes dans le processus dinstallation et de validation bull Pourcentage de projets accompagneacutes drsquoun plan de tests documenteacute et approuveacute bull Nb de leccedilons tireacutees de la revue post-impleacutementation bull Nb drsquoerreurs deacutecouvertes lors de la revue dassurance qualiteacute des fonctions dinstallation et de validation bull Nb de modifications non avaliseacutees par le management avant impleacutementation

Processus

bull Veacuterifier et confirmer que les applications et les solutions technologiques sont adapteacutees au but rechercheacute bull Publier et deacuteployer de faccedilon approprieacutee les applications et les solutions informatiques bull Preacuteparer les utilisateurs meacutetiers et lrsquoexploitation agrave utiliser les applications et les solutions informatiques bull Srsquoassurer que les nouvelles applications meacutetiers et les modifications aux applications existantes sont libres drsquoerreurs

Activiteacutes

bull Constituer une meacutethodologie de tests qui garantisse des tests drsquoacceptation suffisants avant la mise en production bull Faire un suivi des modifications de tous les eacuteleacutements de configuration bull Travailler sur un planning de mise agrave disposition de versions bull Effectuer des revues post-impleacutementation bull Faire eacutevaluer et approuver les reacutesultats de tests par le management des meacutetiersdeacutefinit deacutefinit






La gestion du processus Installer et valider les solutions et les modifications qui reacutepond agrave lexigence des meacutetiers mettre en place de nouveaux systegravemes ou des systegravemes modifieacutes qui fonctionnent sans problegravemes majeurs apregraves leur installation est

0 Inexistante quand Il ny a aucun processus formel dinstallation et de validation et ni la direction geacuteneacuterale ni les informaticiens ne reconnaissent le besoin de veacuterifier que les solutions correspondent aux objectifs preacutevus

1 Initialiseacutee au cas par cas quand On est conscient du besoin de veacuterifier et de confirmer que les solutions permettent datteindre les objectifs fixeacutes Certains projets sont soumis agrave des tests mais linitiative des tests est laisseacutee individuellement agrave chaque eacutequipe de projet et les approches sont diffeacuterentes La validation formelle et le visa opeacuterationnel sont rares ou inexistants

2 Reproductible mais intuitive quand Les approches de tests et de validation ont une certaine coheacuterence mais elles ne sont baseacutees sur aucune meacutethode Les eacutequipes de deacuteveloppement deacutecident en geacuteneacuteral individuellement de la faccedilon de faire les tests et il ny a habituellement pas de systegraveme de tests dinteacutegration Le processus drsquoapprobation existe mais il est informel

3 Deacutefinie quand On a mis en place une meacutethodologie formelle pour linstallation la migration la conversion et lacceptation Les processus dinstallation et de validation sont inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes en partie La formation les tests le passage en production et la validation peuvent diffeacuterer du processus deacutefini en fonction de deacutecisions individuelles La qualiteacute des systegravemes qui entrent en production est variable les nouveaux systegravemes pouvant souvent geacuteneacuterer un nombre significatif de problegravemes suite agrave leur mise en place

4 Geacutereacutee et mesurable quand Les proceacutedures sont formaliseacutees et deacuteveloppeacutees pour ecirctre bien organiseacutees et pratiques les environnements de tests et les proceacutedures de validation sont bien deacutefinis Dans la pratique toutes les modifications majeures apporteacutees aux systegravemes suivent cette approche formaliseacutee On a standardiseacute leacutevaluation des reacutesultats permettant de savoir si les exigences des utilisateurs sont satisfaites et on est capable de fournir des mesures qui peuvent effectivement ecirctre eacutetudieacutees et analyseacutees par le management La qualiteacute des systegravemes entrant en production satisfait le management et le nombre dincidents post-impleacutementation reste raisonnable Lautomatisation des processus se fait au cas par cas en fonction des projets Le management peut ecirctre satisfait du niveau drsquoefficaciteacute malgreacute lrsquoabsence drsquoeacutevaluation post-impleacutementation Le systegraveme de tests reflegravete bien les conditions reacuteelles On fait subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes pour les projets les plus importants

5 Optimiseacutee quand Les processus dinstallation et de validation ont atteint le niveau des bonnes pratiques du fait dameacuteliorations et perfectionnements continuels Ces processus sont pleinement inteacutegreacutes au cycle de vie du systegraveme et automatiseacutes lorsque cest une bonne solution ce qui donne la meilleure efficaciteacute agrave la formation aux tests et au passage en production des nouveaux systegravemes Des environnements de tests bien deacuteveloppeacutes des releveacutes danomalies et des processus de correction de problegravemes assurent une transition efficace et performante vers lenvironnement de production La validation nrsquoimplique en geacuteneacuteral pas de reacutefections et les problegravemes post-impleacutementation sont habituellement limiteacutes agrave des corrections mineures Les revues post-impleacutementation sont elles aussi standardiseacutees et les enseignements qursquoon en tire sont en geacuteneacuteral dirigeacutes vers le processus pour assurer une ameacutelioration permanente de la qualiteacute On fait systeacutematiquement subir des tests de stress aux nouveaux systegravemes et des tests de non reacutegression aux systegravemes modifieacutes



DS1 Deacutefinir et geacuterer les niveaux de services DS2 Geacuterer les services tiers DS3 Geacuterer la performance et la capaciteacute DS4 Assurer un service continu DS5 Assurer la seacutecuriteacute des systegravemes DS6 Identifier et imputer les coucircts DS7 Instruire et former les utilisateurs DS8 Geacuterer le service drsquoassistance client et les incidents DS9 Geacuterer la configuration DS10 Geacuterer les problegravemes DS11 Geacuterer les donneacutees DS12 Geacuterer lrsquoenvironnement physique DS13 Geacuterer lrsquoexploitation

DEacute

LIV

RE

R E

T

SUPP

OR

TE

R

Deacutelivrer etSupporter








GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS

Deacutelivrer et Supporter Deacutefinir et geacuterer les niveaux de services DS1


DS1 Deacutefinir et geacuterer les niveaux de services

Une communication efficace entre les responsables informatiques et les clients meacutetiers agrave propos des services demandeacutes est faciliteacutee par des accords sur les services informatiques et sur les niveaux de services et par leur deacutefinition et leur documentation Ce processus inclut aussi la surveillance et le compte-rendu en temps utile aux parties prenantes du respect des niveaux de services convenus Il permet lrsquoalignement entre les services informatiques et les exigences des meacutetiers qui srsquoy rapportent





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS


Deacutefinir et geacuterer des niveaux de services


assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers


lrsquoidentification des exigences de service lrsquoaccord sur les niveaux de services et la surveillance du respect des niveaux de services convenus


bull formalisant les accords internes et externes en tenant compte des exigences et des capaciteacutes de fourniture

bull rendant compte des niveaux de services atteints (rapports et reacuteunions) bull identifiant et en communiquant les nouvelles exigences de services et leur eacutevolution agrave la

planification strateacutegique


SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

bull le pourcentage de parties prenantes meacutetiers satisfaites de voir les fournitures de services atteindre les niveaux convenus

bull le nombre de services livreacutes qui ne sont pas reacutepertorieacutes bull le nombre annuel de reacuteunions avec les clients meacutetiers destineacutees agrave la reacutevision formelle des

contrats de services

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS1 Deacutefinir et geacuterer les niveaux de services



DS11 Reacutefeacuterentiel pour la gestion des niveaux de services Deacutefinir un cadre de reacutefeacuterence qui propose un processus formaliseacute de gestion des niveaux de services entre les clients et les fournisseurs Ce cadre veille agrave lrsquoalignement continu avec les exigences des meacutetiers et avec les prioriteacutes pour faciliter une compreacutehension commune entre clients et fournisseur(s) Il comporte des processus de reacutecolte des exigences en matiegravere de services des deacutefinitions des services des contrats de services des contrats de niveau opeacuterationnel et des sources de financement Ces eacuteleacutements sont reacutepertorieacutes dans un catalogue de services Le reacutefeacuterentiel deacutefinit lrsquoorganisation de la gestion de niveau de service srsquointeacuteresse aux rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes et des clients

DS12 Deacutefinition des services Fonder les deacutefinitions des services informatiques sur les caracteacuteristiques des services et des exigences des meacutetiers Srsquoassurer qursquoils sont structureacutes et reacutepertorieacutes dans un catalogueportefeuille de services centraliseacute

DS13 Contrats ou conventions de services (CS) Deacutefinir et accepter les contratsconventions de services pour tous les services informatiques critiques en se fondant sur les besoins du client et les capaciteacutes de lrsquoinformatique Cela recouvre les engagements du client les besoins drsquoassistance les meacutetriques qualitatives et quantitatives pour mesurer le service contresigneacute par les parties prenantes les sources de financement et le cas eacutecheacuteant les accords commerciaux et les rocircles et responsabiliteacutes y compris la supervision des conventions de services Les principaux points agrave prendre en compte sont la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance le niveau drsquoassistance la planification de la continuiteacute les contraintes de seacutecuriteacute et de reacuteclamation

DS14 Contrats drsquoexploitation (CE) Deacutefinir des contrats drsquoexploitation expliquant comment les services seront techniquement fournis pour appuyer le mieux possible les conventions de services Les contrats drsquoexploitation doivent preacuteciser ce que sont les processus techniques en termes compreacutehensibles par le fournisseur et peuvent concerner plusieurs conventions de services

DS15 Surveillance et comptes-rendus des niveaux de services atteints Surveiller en continu les critegraveres de performance des niveaux de services La preacutesentation des comptes-rendus doit permettre aux parties prenantes de bien comprendre les niveaux de services atteints Les statistiques de surveillance doivent ecirctre analyseacutees et on y reacuteagit pour mettre en eacutevidence les tendances positives et neacutegatives de chaque service mais aussi globalement de lrsquoensemble des services

DS16 Revue des conventions de services et des contrats Faire une revue reacuteguliegravere des conventions de services et des contrats qui les accompagnent avec les fournisseurs de services internes et externes pour srsquoassurer qursquoelles sont efficaces agrave jour et qursquoon a pris en compte les modifications des exigences



DSI





ents


Bureau projet



Chef de service


DSI





ents


Bureau projet



Chef de service


GUIDE DE MANAGEMENT


De Entreacutees

PO1 Plans informatiques strateacutegiques et tactiques portefeuille de projets informatiques

PO2 Classifications attribueacutees aux donneacutees

PO5 Portefeuille actualiseacute des services informatiques

AI2 CS initialement preacutevus

AI3 CE initialement preacutevus

DS4 Exigences de services en cas de sinistres y compris rocircles et responsabiliteacutes

SE1 Entreacutee de la performance dans le planning informatique

Sorties Vers Rapport de revue des contrats DS2 Rapports sur la performance des processus SE1 Exigences de service nouvellesmodifieacutees PO1 CS AI1 DS2 DS3 DS4 DS6 DS8 DS13 CE DS4 DS5 DS6 DS7 DS8 DS11 DS13 Portefeuille actualiseacute des services informatiques PO1

Tableau RACI

Activiteacutes Creacuteer un reacutefeacuterentiel pour deacutefinir les services informatiques C A C C I C C I C R

Elaborer un catalogue des services informatiques I A C C I C C I I R

Deacutefinir les conventions de services pour les services informatiques critiques I I C C R I R R C C AR

Deacutefinir les contrats dexploitation pour atteindre les niveaux de services convenus I C R I R R C C AR

Surveiller la performance des services du deacutebut agrave la fin et rendre compte I I R I I I AR

Faire une revue des conventions de services et des contrats qui les supportent I I C R R R C AR

Faire une revuemise agrave jour du catalogue des services informatiques I A C C I C C I I R

Creacuteer un plan drsquoameacutelioration des services I A I R I R C C I R

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Chefde

service



Objectifs

bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Assurer la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques deacutefinit deacutefinit

induit

induit

Meacutetriq

ues

bull Pourcentage de parties prenantes meacutetiers satisfaites de voir les services fournis atteindre les niveaux convenus bull Pourcentage drsquoutilisateurs satisfaits de voir les services fournis atteindre les niveaux convenus

bull Nb de services fournis qui ne sont pas reacutepertorieacutes bull Pourcentage de services qui atteignent les niveaux convenus bull Pourcentage de niveaux services mesureacutes

bull Nb annuel de reacuteunions avec les meacutetiers pour la reacutevision formelle des conventions de services bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus bull Pourcentage de niveaux de services faisant lrsquoobjet de comptes-rendus automatiseacutes bull Nb de jours de travail passeacutes agrave ajuster un niveau de service apregraves accord avec le client

Processus

bull Eacutetablir un accord commun sur le niveau de service exigeacute bull Formaliser et surveiller les conventions de services et les critegraveres de performances bull Aligner les services fournis sur les niveaux convenus bull Creacuteer un catalogue de services agrave jour et aligneacute sur les objectifs des meacutetiers

Activiteacutes

bull Deacutefinir les services bull Formaliser les contrats internes et externes en accord avec les exigences et les capaciteacutes de fourniture bull Rendre compte des niveaux de services atteints (rapports et reacuteunions) bull Veacuterifier que la preacutesentation des comptes-rendus est adapteacutee au public viseacute bull Faire remonter les nouvelles exigences de services et les mises agrave jour agrave la planification strateacutegique






La gestion du processus Deacutefinir et geacuterer les niveaux de services qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer lrsquoalignement des services informatiques cleacutes sur la strateacutegie des meacutetiers est

0 Inexistante quand

Le management na pas ressenti le besoin de mettre en place un processus pour deacutefinir les niveaux de services Les responsabiliteacutes opeacuterationnelles et finales de leur surveillance ne sont pas attribueacutees


On a pris conscience du besoin de geacuterer les niveaux de services mais le processus est informel et deacutepend des circonstances Les responsabiliteacutes opeacuterationnelle et finale de deacutefinition et de gestion des services ne sont pas attribueacutees Lorsque les mesures des performances existent elles sont qualitatives seulement et leurs buts ne sont pas clairement deacutefinis Les comptes-rendus sont informels peu freacutequents et peu meacutethodiques


Il existe des conventions de services mais elles ne sont ni formaliseacutees ni reacuteviseacutees Les comptes-rendus de niveaux de services sont incomplets et parfois non pertinents ou susceptibles drsquoinduire le client en erreur Les comptes-rendus sur les niveaux de services deacutependent des compeacutetences et des initiatives individuelles de responsables On a engageacute un coordinateur de niveaux de services et on lui a attribueacute des responsabiliteacutes deacutefinies mais une autoriteacute insuffisante Srsquoil existe un processus de conformiteacute aux conventions de services il deacutepend de bonnes volonteacutes individuelles


Les responsabiliteacutes sont bien deacutefinies mais elles ne sont pas exerceacutees avec meacutethode Le processus de deacuteveloppement des conventions de services est en place et il y a des controcircles programmeacutes pour reacuteeacutevaluer les niveaux de services et la satisfaction des clients Les services et les niveaux de services sont deacutefinis documenteacutes ils font lrsquoobjet de conventions et utilisent un processus standard Les insuffisances des niveaux de services sont identifieacutees mais les proceacutedures pour y remeacutedier sont informelles Le lien entre les niveaux de services attendus et le financement est clairement eacutetabli On srsquoest mis drsquoaccord sur les niveaux de services mais ils ne correspondent pas toujours aux exigences des meacutetiers


Les niveaux de services sont de plus en plus deacutefinis au cours de la phase de deacutefinition des exigences systegraveme et inteacutegreacutes dans la conception des environnements des applications et drsquoexploitation On mesure et on eacutevalue la satisfaction des clients de faccedilon reacuteguliegravere Les mesures de performance correspondent davantage aux besoins du client qursquoaux objectifs informatiques Les mesures drsquoeacutevaluation des niveaux de services se standardisent et correspondent aux normes de la profession Les critegraveres pour deacutefinir les niveaux de services sont baseacutes sur ce qui est critique pour les meacutetiers et recouvrent la disponibiliteacute la fiabiliteacute la performance la capaciteacute de croissance lassistance aux utilisateurs la planification de la continuiteacute et les consideacuterations de seacutecuriteacute On pratique lanalyse causale lorsque les niveaux de services ne correspondent pas aux attentes Le systegraveme de comptes-rendus du suivi de niveaux de services sautomatise de plus en plus On a deacutefini et bien compris les risques financiers et opeacuterationnels lieacutes agrave des services qui natteignent pas les niveaux convenus On a formaliseacute un systegraveme de meacutetriques et on lrsquoactualise


Les niveaux de services sont reacuteeacutevalueacutes en continu pour assurer lrsquoalignement des objectifs informatiques et meacutetiers ils tirent profit de lrsquoinformatique y compris du ratio coucirctsbeacuteneacutefices Tous les processus de niveaux de services font lrsquoobjet dameacuteliorations continues On surveille et on gegravere les niveaux de satisfaction clients Les niveaux de services convenus reflegravetent les objectifs strateacutegiques des uniteacutes meacutetiers et on les eacutevalue selon les normes de la profession Les responsables informatiques ont les ressources et la marge drsquoinitiatives voulues pour atteindre les objectifs de niveaux de services et le management beacuteneacuteficie de primes lorsque ces objectifs sont atteints La direction geacuteneacuterale surveille les meacutetriques de performance selon un processus drsquoameacutelioration continu










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS

Deacutelivrer et Supporter Geacuterer les services tiers DS2


DS2 Geacuterer les services tiers

Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des meacutetiers impose un processus de gestion des services tiers Ce processus exige de deacutefinir clairement les rocircles responsabiliteacutes et les attentes dans les contrats avec des tiers et aussi drsquoeffectuer des revues et une surveillance de lrsquoefficaciteacute et de la conformiteacute de tels contrats Une gestion efficace des services fournis par des tiers minimise les risques meacutetiers lieacutes agrave des fournisseurs non performants

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS




Geacuterer les services tiers




fournir des services tiers satisfaisants qui permettent une transparence sur les beacuteneacutefices coucircts et risques


lrsquoinstauration de relations et de responsabiliteacutes bilateacuterales avec des tiers fournisseurs de services et sur la surveillance de la fourniture des services pour veacuterifier et garantir le respect des clauses contractuelles


bull identifiant et en reacutepartissant les fournisseurs de services par cateacutegorie bull identifiant et en reacuteduisant le plus possible les risques fournisseurs bull surveillant et en mesurant leurs performances


bull le nombre de plaintes utilisateurs dues aux services tiers bull le pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de

services clairement deacutefinis bull le pourcentage de fournisseurs principaux objets drsquoune surveillance

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS2 Geacuterer les services tiers



DS21 Identification des relations avec tous les fournisseurs Identifier tous les services fournisseurs et les reacutepartir en cateacutegorie selon leur type importance et niveau critique Tenir agrave jour une documentation formelle des relations organisationnelles et techniques en preacutecisant les rocircles et responsabiliteacutes les objectifs les livrables attendus et les accreacuteditations des repreacutesentants de ces fournisseurs

DS22 Gestion des relations fournisseurs Formaliser le processus de gestion des relations fournisseurs pour chacun drsquoentre eux Les proprieacutetaires de relations doivent intervenir sur les questions qui concernent la relation clientsfournisseurs et garantir la qualiteacute de relations baseacutees sur la confiance et la transparence (par ex au moyen de conventions de services)

DS23 Gestion du risque fournisseurs Identifier et reacuteduire les risques lieacutes agrave lrsquoaptitude des fournisseurs agrave fournir de maniegravere continue des services efficaces sucircrs et efficients Srsquoassurer que les contrats se conforment aux standards universels de la profession en conformiteacute avec les exigences leacutegales et reacuteglementaires La gestion des risques doit par ailleurs prendre en compte les clauses de confidentialiteacute les contrats de mise sous seacutequestre la viabiliteacute du fournisseur (continuiteacute) la conformiteacute aux exigences de seacutecuriteacute les solutions alternatives en fourniture les peacutenaliteacutesreacutecompenses etc

DS24 Surveillance des performances fournisseurs Eacutetablir un processus de surveillance de la fourniture de services pour srsquoassurer que le fournisseur respecte les exigences des meacutetiers en cours et qursquoil continue agrave se conformer aux clauses de son contrat et agrave celles du contrat de service et que ses performances sont concurrentielles par rapport aux autres fournisseurs et aux conditions du marcheacute



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO1 Strateacutegie de fourniture informatique

PO8 Standards drsquoacquisition

AI5 Clauses contractuelles exigences de la gestion des relations avec les tiers

DS1 Compteshyrendu de revue de contrats conventions de services


Sorties Vers Rapports sur la performance des processus SE1 Catalogue fournisseurs AI5 Risques fournisseurs PO9

Identifier et cataloguer les relations avec les services tiers I C R C R AR C C

Deacutefinir et documenter les processus de gestion des fournisseurs C A I R I R R C C

Eacutetablir des politiques et des proceacutedures drsquoeacutevaluation et de seacutelection des fournisseurs C A C C C R C C

Identifier eacutevaluer et reacuteduire le plus possible les risques fournisseurs I A R R R C C

Surveiller la fourniture de services des fournisseurs R A R R R C C

Eacutevaluer les objectifs agrave long terme de la relation avec des services tiers pour toutes les parties prenantes C C C AR C C C C R C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les fournisseurs tiers bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer de la transparence et de la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques

induit

induit

bull Pourcentage de fournisseurs principaux qui satisfont des exigences et des niveaux de services clairement deacutefinis bull Nb de litiges aveacutereacutes avec les fournisseurs bull Pourcentage de factures fournisseurs contesteacutees

bull Pourcentage de fournisseurs principaux soumis agrave des exigences et des niveaux de services clairement deacutefinis bull Pourcentage de fournisseurs principaux objets drsquoun suivi bull Niveau de satisfaction des meacutetiers de lrsquoefficaciteacute de la communication du fournisseur bull Niveau de satisfaction du fournisseur de lrsquoefficaciteacute de la communication meacutetiers bull Nb drsquoincidents significatifs concernant la non conformiteacute fournisseurs par peacuteriode de temps deacutefinie

Processus

bull Eacutetablir des relations et des responsabiliteacutes bilateacuterales avec des fournisseurs de services tiers qualifieacutes bull Surveiller la fourniture des services et veacuterifier le respect des clauses contractuelles bull Srsquoassurer que le fournisseur se conforme aux normes internes et externes applicables bull Entretenir la motivation du fournisseur agrave poursuivre la relation

Activiteacutes

bull Identifier et reacutepartir les fournisseurs de services par cateacutegories bull Identifier et reacuteduire le plus possible les risques fournisseurs bull Surveiller et mesurer leurs performances



Meacutetriq

ues

bull Nb de plaintes utilisateurs dues aux services tiers bull Pourcentage de deacutepenses drsquoachats qui reacutesultent drsquoune mise en concurrence des fournisseurs





La gestion du processus Geacuterer les services tiers qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique fournir des services tiers satisfaisants qui permettent une transparence des beacuteneacutefices des coucircts et des risques est

0 Inexistante quand

On na pas deacutefini qui est responsable de quoi et devant qui (responsabiliteacutes opeacuterationnelles et finales) Il ny a ni proceacutedures ni politiques formelles concernant la passation de contrats avec des tiers Le management ne veacuterifie ni nagreacutee les services tiers Les tiers ne reacutealisent pas de mesures de leurs activiteacutes ni ne fournissent de rapports En labsence dobligations contractuelles de rendre compte la direction geacuteneacuterale nest pas en mesure de connaicirctre la qualiteacute des services fournis


Le management est conscient du besoin davoir des politiques et des proceacutedures documenteacutees pour la fourniture de services par des tiers y compris davoir des contrats signeacutes Il ny a pas de conditions contractuelles standard pour les fournisseurs de services La mesure du service fourni est informelle et se fait au cas par cas Les pratiques deacutependent de lexpeacuterience individuelle et de celle du fournisseur (par ex fourniture agrave la demande)


Le processus de surveillance des fournisseurs de services tiers des risques associeacutes et de la fourniture de services reste informel On signe des contrats pro forma dans les termes et conditions du fournisseur (ex description des services agrave fournir) On dispose de rapports sur les services fournis mais ils ne correspondent pas aux objectifs des meacutetiers


On a mis en place des proceacutedures bien documenteacutees pour piloter la fourniture de services par des tiers avec des processus clairs pour deacutefinir des exigences et neacutegocier avec les fournisseurs Lorsqursquoon a signeacute un contrat de services la relation avec le tiers devient purement contractuelle La nature des services agrave fournir est deacutetailleacutee dans les contrats et elle inclut les exigences juridiques opeacuterationnelles et de controcircle On a attribueacute agrave quelqursquoun la responsabiliteacute de la surveillance de la fourniture de services par des tiers Les clauses contractuelles sont emprunteacutees agrave des modegraveles standardiseacutes On eacutevalue les risques meacutetiers lieacutes aux services tiers et on les consigne dans des rapports


On a eacutetabli des critegraveres formels et standardiseacutes pour deacutefinir les clauses contractuelles comme leacutetendue du travail les serviceslivrables agrave fournir les hypothegraveses les eacutecheacuteanciers les coucircts les conditions de facturation et les responsabiliteacutes On a nommeacute un responsable de la gestion des contrats et des fournisseurs On veacuterifie en continu les qualifications les risques et les capaciteacutes des fournisseurs On deacutefinit les exigences de services en liaison avec les objectifs des meacutetiers Il existe un processus de veacuterification de la performance des services fournis par rapport aux termes du contrat qui fournit des donneacutees pour eacutevaluer les services tiers actuels et futurs On utilise des modegraveles de prix de transfert dans le processus dachat Toutes les parties impliqueacutees sont conscientes des attentes en ce qui concerne les services les coucircts et les principaux jalons On a mis en place drsquoun commun accord des objectifs et des meacutetriques pour la supervision des fournisseurs de services


On fait une revue des contrats signeacutes avec des tiers selon une freacutequence preacutedeacutefinie On a nommeacute un responsable de la gestion des fournisseurs et de la qualiteacute des services fournis On surveille que les contrats respectent les dispositions de conformiteacute opeacuterationnelle juridique et de controcircle et on impose les corrections neacutecessaires Le tiers est soumis agrave des revues indeacutependantes peacuteriodiques et on obtient des retours drsquoinformation sur la performance utiliseacutes pour ameacuteliorer la fourniture de services Les mesures choisies varient en fonction des changements des conditions dexercice de lactiviteacute Les meacutetriques permettent de deacutetecter rapidement les problegravemes qui peuvent se poser avec des services tiers Leacutetablissement de rapports deacutefinis et complets sur les niveaux de services est lieacute agrave la reacutetribution du tiers Le management ajuste le processus drsquoacquisition et de surveillance de services tiers drsquoapregraves les reacutesultats des indicateurs de mesure










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P S

Deacutelivrer et Supporter Geacuterer la performance et la capaciteacute DS3


DS3 Geacuterer la performance et la capaciteacute

La bonne gestion des performances et des capaciteacutes des ressources informatiques exige qursquoun processus les passe reacuteguliegraverement en revue Ce processus comporte la preacutevision des besoins futurs en fonction des exigences de charge de travail de stockage et des impreacutevus Ce processus assure que les ressources informatiques qui appuient les exigences des meacutetiers sont constamment disponibles




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S



Geacuterer la performance et la capaciteacute


optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers


le respect du temps de reacuteponse preacutevu dans les conventions de services la reacuteduction des peacuteriodes drsquoindisponibiliteacute et lrsquoameacutelioration continue des performances et des capaciteacutes informatiques gracircce agrave la surveillance et aux mesures


bull planifiant la capaciteacute et la disponibiliteacute des systegravemes et en y subvenant bull surveillant les performances systegravemes et en en rendant compte bull modeacutelisant et en preacutevoyant les performances systegravemes


bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquoune planification insuffisante des capaciteacutes

bull le pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull le pourcentage des temps de reacuteponse preacutevus dans les conventions qui sont deacutepasseacutes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS3 Geacuterer la performance et la capaciteacute



DS31 Planification de la performance et de la capaciteacute Eacutetablir un processus de planification pour la revue des performances et des capaciteacutes des ressources informatiques pour garantir que des capaciteacutes et des performances sont disponibles agrave des coucircts justifieacutes pour traiter les charges de travail convenues et deacutetermineacutees par les conventions de niveaux de services Les plans de capaciteacute et de performance doivent mobiliser les techniques de modeacutelisation approprieacutees pour proposer un modegravele de performance de capaciteacute et de deacutebit actuels et preacutevus des ressources informatiques

DS32 Performance et capaciteacute actuelles Eacutevaluer les performances et les capaciteacutes des ressources informatiques pour deacuteterminer si elles sont suffisantes pour satisfaire aux conventions de services signeacutees

DS33 Performance et capaciteacute futures Faire agrave intervalles reacuteguliers des preacutevisions de performance et de capaciteacute des ressources informatiques pour reacuteduire le risque drsquointerruption de service agrave cause de la deacutegradation de leurs performances et de lrsquoinsuffisance de leurs capaciteacutes Relever les excegraves de capaciteacute pour un eacuteventuel redeacuteploiement Relever les tendances de la charge de travail et deacuteterminer les preacutevisions agrave inclure dans les plans de performance et de capaciteacute

DS34 Disponibiliteacute des ressources informatiques Fournir les capaciteacutes et les performances requises en prenant en compte des caracteacuteristiques comme les charges de travail normales les impreacutevus les exigences de stockage et les cycles de vie des ressources informatiques Il faut preacutevoir des dispositions telles qursquoun classement des tacircches par prioriteacute des machines agrave toleacuterance de pannes et des allocations de ressources Le management doit srsquoassurer que les plans drsquourgence peuvent correctement faire face agrave des problegravemes de disponibiliteacute de capaciteacute et de performance des ressources informatiques individuelles

DS35 Surveillance et comptes-rendus Surveiller en continu les performances et les capaciteacutes des ressources informatiques Les donneacutees recueillies doivent servir agrave deux objectifs bull Maintenir et ajuster les performances actuelles de lrsquoinformatique et traiter des questions comme la reacutesilience les impreacutevus les charges de

travail actuelles et futures les plans drsquoarchivage et lrsquoacquisition de ressources bull Rendre compte de la disponibiliteacute des services livreacutes aux meacutetiers comme le preacutevoient les conventions de services Assortir tous les rapports drsquoincidents de recommandations pour les reacutesoudre



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

AI2 Speacutecifications de disponibiliteacute continuiteacute et reacutecupeacuteration

AI3 Exigences de surveillance des systegravemes

DS1 CS

Sorties Vers Information sur la performance et la capaciteacute PO2 PO3 Plan de performance et capaciteacute (exigences) PO5 AI1 AI3 SE1 Changements requis AI6 Rapports sur la performance des processus SE1

Tableau RACI

Activiteacutes Mettre en place un processus pour planifier les revues de performance et de capaciteacute des ressources informatiques

A R C C C C

Reacuteviser les performances et les capaciteacutes actuelles des ressources informatiques C I AR C C C

Faire des preacutevisions de performance et de capaciteacute des ressources informatiques C C AR C C C C

Faire des analyses drsquoeacutecarts pour identifier les insuffisances des ressources informatiques C I AR R C C I

Faire un plan drsquourgence pour les indisponibiliteacutes potentielles des ressources informatiques C I AR C C I C

Surveiller en continu et rendre compte de la disponibiliteacute de la performance et de la capaciteacute des ressources informatiques

I I AR I I I I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Reacuteagir aux exigences des meacutetiers en ligne avec la strateacutegie de lrsquoentreprise bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques

induit

induit

Meacutetriq

ues

bull Nb drsquoheures perdues par mois par les utilisateurs du fait drsquoun planning insuffisant des capaciteacutes bull Nb de processus critiques pour lentreprise qui ne sont pas associeacutes agrave un plan deacutefini de disponibiliteacute de service

bull Pics de charge de travail et taux globaux drsquoutilisation bull Pourcentage de pics qui deacutepassent les seuils drsquoutilisation bull Pourcentage de temps de reacuteponse preacutevus dans les conventions de services qui sont deacutepasseacutes bull Taux drsquoeacutechec des traitements

bull Freacutequence des preacutevisions de performance et de capaciteacute bull Pourcentage drsquoactifs inclus dans les revues de capaciteacute bull Pourcentage drsquoactifs surveilleacutes par des outils centraliseacutes

Processus

bull Surveiller et mesurer les pics de charge de travail et les temps de reacuteponse des traitements bull Atteindre les temps de reacuteponse requis dans les conventions de services bull Reacuteduire le nombre drsquoeacutechecs de traitements bull Reacuteduire le temps drsquoindisponibiliteacute bull Optimiser lrsquoutilisation des ressources informatiques

Activiteacutes

bull Planifier la capaciteacute et la disponibiliteacute des systegravemes et y subvenir bull Surveiller les performances systegravemes et en rendre compte bull Modeacuteliser et preacutevoir les performances systegravemes







La gestion du processus Geacuterer la performance et la capaciteacute qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser la performance de lrsquoinfrastructure des ressources et des capaciteacutes informatiques pour satisfaire les exigences des meacutetiers est

0 Inexistante quand

Le management ne reacutealise pas que les processus cleacutes de lentreprise peuvent exiger de lrsquoinformatique de hauts niveaux de performance ou que les besoins globaux de lentreprise en services informatiques peuvent exceacuteder la capaciteacute de linfrastructure existante Il ny a pas de processus de planification de la capaciteacute


Les utilisateurs conccediloivent des solutions de contournement pour reacutepondre aux contraintes de puissance et de capaciteacute Les besoins de planification de la capaciteacute et de la performance sont mal appreacutecieacutes par les proprieacutetaires des processus meacutetiers Les initiatives pour geacuterer la performance et la capaciteacute sont typiquement provoqueacutees par une situation particuliegravere Le processus de planification de la capaciteacute et de la performance est informel On a une connaissance limiteacutee des capaciteacutes et des performances des ressources informatiques actuelles et des besoins futurs


Le management des meacutetiers et de lrsquoinformatique est conscient des conseacutequences de labsence de gestion de la performance et de la capaciteacute On dispose en geacuteneacuteral des niveaux de performance neacutecessaires gracircce agrave leacutevaluation faite sur des systegravemes individuels et aux connaissances des eacutequipes dassistance et de projets Certains outils individuels peuvent ecirctre utiliseacutes pour diagnostiquer les problegravemes de performance et de capaciteacute mais la coheacuterence des reacutesultats deacutepend de lexpertise dindividus cleacutes Il ny a pas deacutevaluation globale du niveau de performance possible des SI ou danticipation de situations de deacutepassement ou de crise Des problegravemes de disponibiliteacute se produiront vraisemblablement de faccedilon inattendue et aleacuteatoire ce qui fera perdre beaucoup de temps en diagnostic et en correction Toute mesure de performance se base drsquoabord sur les besoins de lrsquoinformatique et non sur ceux du client


Les exigences de performance et de capaciteacute sont deacutefinies pour la dureacutee du cycle de vie du systegraveme On a deacutefini des exigences de niveaux de services et les meacutetriques qui peuvent ecirctre utiliseacutees pour mesurer la performance opeacuterationnelle On a modeacuteliseacute les exigences futures de performance et de capaciteacute selon un processus deacutefini On produit des rapports sur les statistiques de performance Il y a toujours une probabiliteacute drsquoanomalies lieacutees agrave la performance et agrave la capaciteacute dont la correction prendra du temps Malgreacute les niveaux de services publieacutes les utilisateurs et les clients peuvent ecirctre parfois sceptiques sur la capaciteacute de service


On dispose de processus et drsquooutils pour mesurer lrsquoutilisation la performance et la capaciteacute des systegravemes et on compare les reacutesultats aux objectifs deacutefinis On dispose aussi dinformations agrave jour qui donnent des statistiques normaliseacutees sur la performance et qui alertent sur des incidents provoqueacutes par des performances ou des capaciteacutes insuffisantes On utilise des proceacutedures deacutefinies et standardiseacutees pour traiter les insuffisances de performance ou les problegravemes de capaciteacute On utilise des outils automatiseacutes pour surveiller des ressources speacutecifiques comme lrsquoespace disque les reacuteseaux les serveurs et les passerelles reacuteseau Les statistiques de performance et de capaciteacute font lrsquoobjet de comptes-rendus en termes de processus meacutetiers de faccedilon agrave ce que les utilisateurs et les clients comprennent les niveaux de services informatiques Les utilisateurs se disent en geacuteneacuteral satisfaits de la capaciteacute de service offerte et sont susceptibles drsquoexiger de nouveaux ou de meilleurs niveaux de disponibiliteacute On srsquoest mis drsquoaccord sur des meacutetriques pour eacutevaluer la performance et la capaciteacute des SI mais il est possible qursquoon ne les utilise que sporadiquement et sans meacutethode


Les plans de performance et de capaciteacute sont tout agrave fait synchroniseacutes avec les preacutevisions drsquoexigences des meacutetiers Linfrastructure technologique et les exigences des meacutetiers sont sujettes agrave des revues reacuteguliegraveres pour sassurer quon atteint la capaciteacute optimale au meilleur prix On a standardiseacute et on utilise sur les diffeacuterentes plates-formes les outils de surveillance des ressources informatiques critiques et on les a inteacutegreacutes au systegraveme de gestion des incidents de lentreprise Des outils de surveillance deacutetectent et peuvent automatiquement corriger des problegravemes de performance et de capaciteacute Lrsquoanalyse des tendances fait apparaicirctre les baisses imminentes de performance causeacutees par une augmentation des volumes dactiviteacute ce qui permet de sorganiser et deacuteviter les impreacutevus Les meacutetriques drsquoeacutevaluation de la performance et de la capaciteacute des SI sont bien ajusteacutees en termes de mesures de reacutesultat et drsquoindicateurs de performance pour tous les processus meacutetiers critiques et elles fournissent des mesures en continu Le management ajuste la planification de la performance et de la capaciteacute en fonction de lrsquoanalyse de ces mesures










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P S P

Deacutelivrer et Supporter Assurer un service continu DS4


DS4 Assurer un service continu

Le besoin drsquoassurer la continuiteacute des services informatiques exige de deacutevelopper de maintenir et de tester des plans de continuiteacute des SI drsquoutiliser des capaciteacutes de stockage de sauvegardes hors site et drsquoassurer une formation peacuteriodique au plan de continuiteacute Un processus de service continu efficace reacuteduit les risques et les conseacutequences drsquoune interruption majeure des services informatiques aux fonctions et processus meacutetiers cleacutes

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S P






Assurer un service continu


srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers


donner une capaciteacute de reacutesistance aux solutions automatiseacutees et deacutevelopper tenir agrave jour et tester les plans de continuiteacute des SI


bull deacuteveloppant et en actualisantameacuteliorant les plans de secours des SI bull srsquoexerccedilant sur les plans de secours des SI et en les testant bull stockant hors site des copies des plans de secours et des donneacutees


bull le nombre drsquoheures perdues par mois par les utilisateurs du fait drsquointerruptions impreacutevues bull le nombre de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte

par le plan de continuiteacute des SI

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS4 Assurer un service continu



DS41 Reacutefeacuterentiel de continuiteacute informatique Deacutevelopper un cadre de reacutefeacuterence de la continuiteacute informatique pour assister la gestion de la continuiteacute des activiteacutes meacutetiers dans lrsquoensemble de lrsquoentreprise selon un processus coheacuterent Lrsquoobjectif de ce cadre de reacutefeacuterence doit aider agrave deacuteterminer la reacutesilience requise de lrsquoinfrastructure et inciter au deacuteveloppement drsquoun plan de secours informatique Il doit prendre en compte la structure de gestion de la continuiteacute de lrsquoentreprise couvrir les rocircles tacircches et responsabiliteacutes des fournisseurs de services internes et externes leur management et leurs clients et les processus drsquoeacutelaboration des regravegles et des structures pour documenter tester et mettre en œuvre les plans de reprise et de secours informatique Ce plan doit aussi traiter des questions comme lrsquoidentification des ressources critiques des interdeacutependances cleacutes la surveillance et les comptes-rendus sur la disponibiliteacute des ressources critiques les traitements alternatifs et les principes de sauvegarde et de restauration

DS42 Plans de continuiteacute informatique En se basant sur le reacutefeacuterentiel deacutevelopper des plans de continuiteacute des SI destineacutes agrave reacuteduire les conseacutequences drsquoune perturbation majeure des fonctions et processus meacutetiers cleacutes Les plans doivent tenir compte drsquoune eacutevaluation du risque en termes drsquoimpacts potentiels pour les meacutetiers et doivent traiter des exigences de reacutesilience des traitements alternatifs et des capaciteacutes de restauration pour tous les services informatiques critiques Ils doivent aussi prendre en compte les guides de mise en oeuvre les rocircles et responsabiliteacutes les proceacutedures les processus de communication et les modaliteacutes de tests

DS43 Ressources informatiques critiques Concentrer lrsquoattention sur les eacuteleacutements consideacutereacutes comme les plus vitaux dans le plan de continuiteacute des SI pour en renforcer la capaciteacute de reacutesilience et eacutetablir les prioriteacutes lorsqursquoon est dans une situation de reprise Eacuteviter de perdre du temps agrave reacutecupeacuterer les eacuteleacutements les moins importants et tenir compte des prioriteacutes des besoins meacutetiers pour la reacuteaction et la reprise srsquoassurer aussi que les coucircts restent agrave un niveau acceptable et se conformer aux exigences reacuteglementaires et contractuelles Prendre en compte les exigences de dureacutee en matiegravere de reacutesilience reacuteactiviteacute et reprise pour diffeacuterents laps de temps par ex 1 agrave 2 heures 4 agrave 24 heures plus de 24 heures et les peacuteriodes critiques drsquoexploitation des meacutetiers

DS44 Maintenance du plan de continuiteacute des SI Encourager la direction informatique agrave deacutefinir et agrave mettre en œuvre des proceacutedures de controcircle des modifications pour sassurer que le plan de continuiteacute des SI est maintenu agrave jour et reflegravete en continu les veacuteritables exigences meacutetiers Communiquer clairement et en temps opportun les modifications de proceacutedures et de responsabiliteacutes

DS45 Tests du plan de continuiteacute des SI Tester reacuteguliegraverement le plan de continuiteacute des SI pour srsquoassurer qursquoon peut restaurer efficacement les systegravemes informatiques qursquoon traite les anomalies et que le plan reste pertinent Cela exige de faire une preacuteparation minutieuse de documenter les tests de rendre compte des reacutesultats et de mettre en place un plan drsquoaction en fonction de ces reacutesultats Envisager drsquoeacutetendre les tests de restauration drsquoapplications individuelles agrave des sceacutenarios de tests inteacutegreacutes agrave des tests exhaustifs et agrave lrsquointeacutegration de tests fournisseurs

DS46 Formation au plan de continuiteacute des SI Assurer pour toutes les parties concerneacutees des sessions de formation peacuteriodiques sur les proceacutedures et sur leurs rocircles et responsabiliteacutes en cas dincident ou de sinistre Veacuterifier et ameacuteliorer la formation en fonction des reacutesultats des tests de situations drsquourgence

DS47 Diffusion du plan de continuiteacute des SI Veacuterifier ou faire en sorte qursquoil existe une strateacutegie de diffusion deacutefinie et geacutereacutee pour srsquoassurer que tous les plans sont distribueacutes de faccedilon sucircre et qursquoils sont disponibles pour les parties ducircment autoriseacutees et inteacuteresseacutees agrave lrsquoendroit et au moment ougrave elles en ont besoin Bien veacuterifier que les plans soient accessibles selon tous les sceacutenarios de sinistres

DS48 Reprise et redeacutemarrage des services informatiques Preacutevoir les actions agrave entreprendre pendant la peacuteriode de reprise et de redeacutemarrage des services informatiques Cela peut concerner lrsquoactivation de sites de secours le lancement de traitements alternatifs la communication en direction des parties prenantes et des clients les proceacutedures de redeacutemarrage etc Srsquoassurer que les meacutetiers comprennent les deacutelais de restauration et les investissements informatiques neacutecessaires pour faire face aux besoins de reprise et de redeacutemarrage des meacutetiers

DS49 Stockage de sauvegardes hors site Stocker hors site tous les supports de sauvegarde critiques la documentation et les autres ressources informatiques neacutecessaires agrave la reprise des SI et aux plans de continuiteacute meacutetiers Le contenu de ce stockage de sauvegarde doit ecirctre deacutetermineacute par une collaboration entre les proprieacutetaires des processus meacutetiers et le personnel informatique Les responsables de lrsquoinstallation de stockage hors site doivent srsquoaligner sur la politique de classification des donneacutees et sur les pratiques de stockage des supports de lrsquoentreprise La direction informatique doit sassurer que les eacutequipements hors site sont eacutevalueacutes peacuteriodiquement au moins annuellement en ce qui concerne leur contenu leur protection vis-agrave-vis de lenvironnement et leur seacutecuriteacute Srsquoassurer que la compatibiliteacute des mateacuteriels et de logiciels permet de restaurer les donneacutees archiveacutees et tester et rafraicircchir peacuteriodiquement les archives

DS410 Revue apregraves redeacutemarrage Veacuterifier si la direction informatique a mis en place des proceacutedures pour eacutevaluer ladeacutequation du plan de reprise de lrsquoinformatique dans de bonnes conditions apregraves un sinistre et mettre agrave jour le plan en conseacutequence



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees


PO9 Eacutevaluation des risques

AI2 Speacutecifications de disponibiliteacute continuiteacute et reprise

AI4 Manuels utilisateur drsquoassistance technique et drsquoadministration

DS1 CS et CE

Sorties Vers Reacutesultats des tests de secours PO9 Eleacutements de configuration informatique critiques DS9 Plan de stockage et de protection hors site DS11 DS13 Seuils incidentssinistres DS8 Exigences de service en cas de sinistres y compris rocircles et responsabiliteacutes

DS1 DS2

Rapports sur la performance des processus SE1

Tableau RACI

Activiteacutes Deacutevelopper un reacutefeacuterentiel de continuiteacute des SI C C A C R R R C C R

Reacutealiser des analyses drsquoimpact et des eacutevaluations des risques au niveau des meacutetiers C C C C AR C C C C C

Deacutevelopper et maintenir les plans de continuiteacute des SI I C C C I AR C C C C

Identifier et reacutepartir par cateacutegories les ressources informatiques en fonction des objectifs de reprise C AR C I C I

Deacutefinir et mettre en œuvre des proceacutedures de controcircle des changements pour srsquoassurer que le plan de continuiteacute des SI est agrave jour

I AR R R R I

Tester reacuteguliegraverement le plan de continuiteacute des SI I I AR C C I I

Eacutelaborer un plan drsquoactions agrave entreprendre agrave la suite des reacutesultats des tests C I AR C R R R I

Planifier et mettre en œuvre la formation agrave la continuiteacute des SI I R AR C R I I

Planifier la reprise et le redeacutemarrage des services informatiques I I C C AR C R R R C

Planifier et mettre en place le stockage et la protection des sauvegardes I AR C C I I

Eacutelaborer des proceacutedures pour conduire des revues apregraves reprise C I AR C C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir


induit

induit

bull Pourcentage de conventions de services disponibles satisfaites bull Nb de processus meacutetiers critiques deacutependants des SI qui ne sont pas pris en compte par le plan de continuiteacute des SI bull Pourcentage de tests qui atteignent les objectifs de secours bull Freacutequence des interruptions de services des systegravemes critiques

bull Deacutelai entre les tests de tout eacuteleacutement du plan de continuiteacute des SI bull Nombre annuel drsquoheures de formation sur la continuiteacute des SI suivies par employeacute informatique concerneacute bull Pourcentage de composants dinfrastructures critiques dont la disponibiliteacute est surveilleacutee automatiquement bull Freacutequence des revues du plan de continuiteacute des SI

Meacutetriq

ues

bull Nb drsquoheures mensuelles perdues par utilisateur du fait drsquointerruptions impreacutevues

Processus

bull Eacutetablir un plan de continuiteacute des SI qui srsquoappuie sur les plans de continuiteacute des meacutetiers bull Deacutevelopper des plans de continuiteacute des SI testeacutes et tenus agrave jour qui puissent ecirctre mis en œuvre bull Reacuteduire le plus possible la probabiliteacute drsquointerruption des services informatiques

Activiteacutes

bull Deacutevelopper et maintenir (ameacuteliorer) les plans de secours informatiques bull Srsquoexercer sur les plans de secours informatiques et les tester bull Stocker hors site des copies des plans de secours et des donneacutees






La gestion du processus Assurer un service continu qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique srsquoassurer qursquoune interruption drsquoun service informatique nrsquoait qursquoun impact minimal sur les meacutetiers est

0 Inexistante quand

On na pas conscience des risques ni des menaces qui pegravesent sur lrsquoinformatique de ses points vulneacuterables ni de lrsquoimpact drsquoune perte de services informatiques sur les meacutetiers On ne considegravere pas que la continuiteacute des services doive mobiliser lattention du management

1 Initialiseacute au cas par cas quand

Les responsabiliteacutes pour assurer un service continu sont informelles et lrsquoautoriteacute pour exercer ces responsabiliteacutes est limiteacutee Le management commence agrave prendre conscience du besoin dune continuiteacute des services et des risques lieacutes au manque de continuiteacute Lrsquoattention que precircte le management agrave la continuiteacute se porte davantage sur les ressources de lrsquoinfrastructure que sur les services informatiques Les utilisateurs mettent en place des solutions de contournement lorsque le service srsquointerrompt Les reacuteponses de lrsquoinformatique aux interruptions majeures de continuiteacute deacutependent des circonstances et ne sont pas preacutepareacutees On programme des interruptions de services en fonction des besoins de linformatique mais elles ne tiennent pas compte des exigences des meacutetiers


On a nommeacute des responsables de la continuiteacute des services Les approches du problegraveme sont fragmentaires Les rapports sur la disponibiliteacute des systegravemes sont sporadiques eacuteventuellement incomplets et ne prennent pas en compte limpact sur les meacutetiers Il nexiste pas de plans de continuiteacute des SI documenteacutes bien quil y ait un engagement agrave assurer un service continu et quon en connaisse les principes essentiels Un inventaire des systegravemes et des composants critiques existe mais il nrsquoest pas toujours fiable On voit eacutemerger des pratiques de service continu mais leur succegraves repose sur certaines personnes


Il nrsquoy a pas drsquoambiguiumlteacute sur la responsabiliteacute finale de la gestion de la continuiteacute On a clairement deacutefini et attribueacute les responsabiliteacutes opeacuterationnelles de la planification et des tests de continuiteacute des services Les plans de continuiteacute des SI sont documenteacutes et axeacutes sur les points vitaux des systegravemes et sur lrsquoimpact pour les meacutetiers Les tests de continuiteacute de services donnent lieu agrave des rapports reacuteguliers Certaines personnes prennent lrsquoinitiative de suivre les normes et de recevoir une formation pour affronter des incidents majeurs ou des sinistres Le management communique constamment sur la neacutecessiteacute drsquoun plan de continuiteacute des services On utilise des composants de haute disponibiliteacute et des systegravemes redondants On tient agrave jour un inventaire des systegravemes et composants les plus vitaux


On impose les responsabiliteacutes et les standards du service continu Les responsables de la maintenance du plan de continuiteacute sont deacutesigneacutes Les activiteacutes de maintenance se basent sur les reacutesultats des tests de service continu sur les bonnes pratiques internes et sur les eacutevolutions de lrsquoenvironnement informatique et meacutetiers On recueille dans une base structureacutee des informations sur la continuiteacute des services on les analyse on eacutelabore des rapports et on agit en conseacutequence Il existe une formation formaliseacutee et obligatoire sur les processus de service continu On deacuteploie systeacutematiquement les bonnes pratiques de disponibiliteacute des systegravemes Les pratiques de redondance et de planification de la continuiteacute des services sinfluencent reacuteciproquement Les incidents de rupture de continuiteacute sont reacutepartis par cateacutegorie et les proceacutedures drsquoescalade graduelles pour y remeacutedier sont bien connues de toutes les personnes concerneacutees On a deacuteveloppeacute et fait adopter des objectifs et des meacutetriques pour la continuiteacute des services mais ils ne sont pas toujours systeacutematiquement mesureacutes


Les processus inteacutegreacutes de continuiteacute de services tiennent compte des tests comparatifs et des meilleures pratiques externes Le plan de continuiteacute des SI est inteacutegreacute aux plans de continuiteacute des meacutetiers et il est systeacutematiquement tenu agrave jour On sassure aupregraves des vendeurs et des fournisseurs principaux quils respecteront les exigences de continuiteacute des services On pratique des tests globaux du plan de continuiteacute des SI et leurs reacutesultats servent agrave mettre le plan agrave jour On utilise la collecte et lanalyse de donneacutees pour lrsquoameacutelioration continue du processus Les pratiques de disponibiliteacute et de service continu sont complegravetement aligneacutees Le management veacuterifie qursquoun sinistre ou un incident majeur ne se produiront pas du fait drsquoun seul maillon faible On comprend et on applique complegravetement les proceacutedures descalade On eacutevalue systeacutematiquement les objectifs et les meacutetriques qui concernent les reacutesultats du service continu Le management ajuste les plans de continuiteacute des services en fonction du reacutesultat des mesures










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S

Deacutelivrer et Supporter Assurer la seacutecuriteacute des systegravemes DS5


DS5 Assurer la seacutecuriteacute des systegravemes

Le besoin de maintenir lrsquointeacutegriteacute de lrsquoinformation et de proteacuteger les actifs informatiques exige un processus de gestion de la seacutecuriteacute Ce processus comporte la mise en place et la maintenance de rocircles et responsabiliteacutes politiques plans et proceacutedures informatiques La gestion de la seacutecuriteacute implique aussi une surveillance de la seacutecuriteacute des tests peacuteriodiques et des actions correctives lors drsquoincidents ou de deacutecouverte de failles dans la seacutecuriteacute Une gestion efficace de la seacutecuriteacute protegravege tous les actifs informatiques pour reacuteduire le plus possible les conseacutequences de vulneacuterabiliteacutes et drsquoincidents de seacutecuriteacute




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S


Assurer la seacutecuriteacute des systegravemes



maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute


la deacutefinition de politiques de proceacutedures et de plans de seacutecuriteacute informatique et la surveillance et la deacutetection des vulneacuterabiliteacutes et des incidents de seacutecuriteacute leur reacutesolution et leur compte-rendu


bull comprenant les exigences les vulneacuterabiliteacutes et les menaces de seacutecuriteacute bull geacuterant les identiteacutes et les autorisations des utilisateurs de faccedilon standardiseacutee bull testant reacuteguliegraverement la seacutecuriteacute


bull le nombre drsquoincidents qui portent atteinte agrave la reacuteputation de lrsquoentreprise bull le nombre de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull le nombre de manquements au principe de seacuteparation des tacircches

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS5 Assurer la seacutecuriteacute des systegravemes



DS51 Gestion de la seacutecuriteacute informatique Geacuterer la seacutecuriteacute informatique au plus haut niveau approprieacute de lrsquoentreprise de faccedilon agrave ce que la gestion des actions de seacutecuriteacute soit aligneacutee sur les exigences des meacutetiers

DS52 Plan de seacutecuriteacute informatique Traduire les exigences des meacutetiers des risques et de la conformiteacute dans un plan global de seacutecuriteacute informatique tenant compte de lrsquoinfrastructure informatique et de la culture de la seacutecuriteacute Srsquoassurer que le plan se deacutecline en politiques et proceacutedures de seacutecuriteacute assorties des investissements approprieacutes en services personnels logiciels et mateacuteriels Communiquer les politiques et les proceacutedures de seacutecuriteacute aux parties prenantes et aux utilisateurs

DS53 Gestion des identiteacutes Srsquoassurer que tous les utilisateurs (internes externes et temporaires) et leur action sur les systegravemes informatiques (applications meacutetiers environnement informatique exploitation deacuteveloppement et maintenance des systegravemes) sont identifiables sans ambiguiumlteacute Geacuterer les identiteacutes agrave lrsquoaide de systegravemes drsquoauthentification Srsquoassurer que les droits drsquoaccegraves des utilisateurs aux systegravemes et aux donneacutees sont en accord avec des besoins meacutetiers deacutefinis et documenteacutes et que des profils de fonctions sont attacheacutes aux identiteacutes Srsquoassurer que les droits drsquoaccegraves des utilisateurs sont demandeacutes par leur management approuveacutes par le proprieacutetaire du systegraveme et mis en place par la personne responsable de la seacutecuriteacute Tenir agrave jour les identiteacutes et les droits drsquoaccegraves des utilisateurs dans un entrepocirct de donneacutees centraliseacute Deacuteployer et maintenir opeacuterationnelles au meilleur coucirct des techniques et des proceacutedures pour creacuteer lrsquoidentiteacute des utilisateurs mettre en œuvre leur authentification et pour faire respecter les droits drsquoaccegraves

DS54 Gestion des comptes utilisateurs Disposer de proceacutedures de gestion des comptes utilisateurs permettant de traiter les demandes attributions ouvertures suspensions modifications et clocirctures des comptes utilisateurs et des droits associeacutes Y inclure une proceacutedure dapprobation speacutecifiant le nom du proprieacutetaire des donneacutees ou du systegraveme qui attribue les droits daccegraves Ces proceacutedures doivent srsquoappliquer agrave tous les utilisateurs y compris les administrateurs (utilisateurs privileacutegieacutes) les utilisateurs internes et externes dans les circonstances normales ou dans les cas drsquourgence Les droits et obligations relatifs agrave lrsquoaccegraves aux systegravemes et aux donneacutees de lrsquoentreprise doivent faire lrsquoobjet drsquoaccord contractuel avec tous les types drsquoutilisateurs Effectuer une revue reacuteguliegravere de la gestion de tous les comptes et des privilegraveges associeacutes

DS55 Tests de seacutecuriteacute vigilance et surveillance Tester et surveiller de faccedilon proactive la mise en place de la seacutecuriteacute informatique Pour srsquoassurer que la seacutecuriteacute informatique se maintient au niveau convenu il faut revoir et renouveler en temps voulu sa validation Une fonction de surveillance des identifications doit permettre une preacutevention deacutetection rapide suivie drsquoun rapport en temps voulu des activiteacutes inhabituellesanormales qursquoil peut ecirctre neacutecessaire de traiter

DS56 Deacutefinition des incidents de seacutecuriteacute Deacutefinir clairement et communiquer les caracteacuteristiques des incidents de seacutecuriteacute potentiels de faccedilon agrave ce que ceux-ci soient classifieacutes et traiteacutes comme il convient par le processus de gestion des incidents et des problegravemes

DS57 Protection de la technologie de seacutecuriteacute Rendre reacutesistants agrave des tentatives drsquointrusion les composants de seacutecuriteacute et ne pas divulguer la documentation sur la seacutecuriteacute inutilement

DS58 Gestion des clefs de chiffrement Srsquoassurer que sont en place des politiques et des proceacutedures pour geacuterer la geacuteneacuteration la modification la reacutevocation la destruction la distribution la certification le stockage lentreacutee lutilisation et larchivage de cleacutes de chiffrement afin de garantir leur protection contre toute modification ou divulgation non autoriseacutee

DS59 Preacutevention deacutetection et neutralisation des logiciels malveillants Mettre en place des mesures de preacutevention deacutetection et neutralisation (en particulier des correctifs de seacutecuriteacute et des anti-virus agrave jour) dans lrsquoensemble de lrsquoentreprise pour proteacuteger les systegravemes drsquoinformation et la technologie des logiciels malveillants (par ex virus vers logiciels espion pourriels (spams))

DS510 Seacutecuriteacute des reacuteseaux Mettre en œuvre des techniques de seacutecuriteacute et des proceacutedures de gestion associeacutees (ex pare-feux dispositifs de seacutecuriteacute compartimentage reacuteseau deacutetection drsquointrusion) pour autoriser et controcircler les flux drsquoinformations entre reacuteseaux

DS511 Eacutechange de donneacutees sensibles Ne faire circuler les eacutechanges de donneacutees sensibles que sur des circuits sucircrs ou sur des supports doteacutes de controcircles qui garantissent lrsquoauthenticiteacute du contenu et fournissent la preuve de la reacuteception et celle de non-reacutepudiation de la part de lrsquoexpeacutediteur



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO2 Architecture de lrsquoinformation classifications attribueacutees aux donneacutees

PO3 Standards informatiques


AI2 Speacutecification des controcircles de seacutecuriteacute des applications

DS1 CE

Sorties Vers Deacutefinition des incidents de seacutecuriteacute DS8 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute

DS7

Rapports sur la performance des processus SE1 Modifications de seacutecuriteacute requises AI6 Menaces et vulneacuterabiliteacutes de seacutecuriteacute PO9 Plan et politiques de seacutecuriteacute informatique DS11

Tableau RACI

Activiteacutes Deacutefinir et tenir agrave jour un plan de seacutecuriteacute informatique I C C A C C C C I I R

Deacutefinir mettre en place et appliquer un processus de gestion des identiteacutescomptes utilisateurs I A C R R I C

Surveiller les incidents de seacutecuriteacute aveacutereacutes et potentiels A I R C C R

Reacuteviser et valider peacuteriodiquement les droits drsquoaccegraves et privilegraveges utilisateurs I A C R

Installer et tenir agrave jour des proceacutedures de maintenance et de sauvegarde des cleacutes de chiffrement A R I C

Mettre en place et tenir agrave jour des controcircles techniques et proceacuteduraux pour proteacuteger les flux de donneacutees entre reacuteseaux

A C C R R C

Pratiquer des eacutevaluations reacuteguliegraveres de la vulneacuterabiliteacute I A I C C C R

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Srsquoassurer que les donneacutees critiques et confidentielles ne sont pas accessibles agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables bull Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement bull Proteacuteger tous les actifs informatiques et en ecirctre responsable bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir

induit

induit

Meacutetriq

ues

bull Nb drsquoincidents qui ont un impact meacutetier bull Nb de systegravemes qui ne reacutepondent pas aux exigences de seacutecuriteacute bull Deacutelai pour attribuer modifier et annuler les privilegraveges drsquoaccegraves

bull Nb et types drsquoaccegraves frauduleux suspecteacutes et aveacutereacutes bull Nb de manquements au principe de seacuteparation des tacircches bull Pourcentage drsquoutilisateurs qui ne se conforment pas aux normes des mots de passe bull Nb et types de codes malveillants bloqueacutes

bull Freacutequence des revues des types drsquoeacuteveacutenements de seacutecuriteacute agrave surveiller bull Nb et type de comptes dormants bull Nb drsquoadresses IP non autoriseacutees de ports et de types de trafic refuseacutes bull Pourcentage de cleacutes de chiffrement compromises et deacutesactiveacutees bull Nb de droits drsquoaccegraves autoriseacutes deacutesactiveacutes reacuteinitialiseacutes ou modifieacutes

Processus

bull Ne permettre lrsquoaccegraves aux donneacutees critiques et sensibles qursquoaux seuls utilisateurs autoriseacutes bull Identifier et surveiller les failles et les incidents de seacutecuriteacute et en rendre compte bull Deacutetecter et remeacutedier aux accegraves non autoriseacutes aux donneacutees aux applications et agrave lrsquoinfrastructure bull Reacuteduire au maximum les conseacutequences des failles identifieacutees et des incidents de seacutecuriteacute

Activiteacutes

bull Comprendre les exigences vulneacuterabiliteacutes et menaces de seacutecuriteacute bull Geacuterer les identiteacutes et les habilitations des utilisateurs de faccedilon standardiseacutee bull Deacutefinir les incidents de seacutecuriteacute bull Tester reacuteguliegraverement la seacutecuriteacute







La gestion du processus Assurer la seacutecuriteacute des systegravemes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure technologique et reacuteduire au maximum les conseacutequences de failles et drsquoincidents de seacutecuriteacute est

0 Inexistante quand

Lrsquoentreprise ne reconnaicirct pas le besoin de seacutecuriteacute informatique Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute ne sont pas attribueacutees On na pas mis en place de mesures pour geacuterer la seacutecuriteacute informatique Il ny a pas de rapports sur cette question ni de processus pour reacuteagir aux atteintes agrave la seacutecuriteacute informatique Il y a une absence totale de processus reconnaissable dadministration de la seacutecuriteacute des systegravemes


Lrsquoentreprise reconnaicirct le besoin de seacutecuriteacute informatique La sensibilisation au besoin de seacutecuriteacute est principalement une affaire individuelle On reacuteagit aux circonstances La seacutecuriteacute informatique ne fait pas lrsquoobjet de mesures Chacun deacutesigne quelquun dautre lorsque des atteintes agrave la seacutecuriteacute sont deacutetecteacutees parce que les responsabiliteacutes ne sont pas clairement deacutefinies On ne peut pas preacutevoir quelles reacuteponses seront donneacutees aux incidents de seacutecuriteacute


Les responsabiliteacutes opeacuterationnelles et finales de la seacutecuriteacute des SI sont confieacutees agrave un coordinateur bien que son autoriteacute soit limiteacutee La sensibilisation au besoin de seacutecuriteacute est fragmentaire et limiteacutee Bien que les systegravemes produisent des informations relatives agrave la seacutecuriteacute on ne les analyse pas Les services fournis par des tiers ne reacutepondent pas toujours aux besoins de seacutecuriteacute speacutecifiques de lrsquoentreprise On deacuteveloppe des politiques de seacutecuriteacute mais les compeacutetences et les outils sont inadeacutequats Les rapports sur la seacutecuriteacute sont incomplets trompeurs ou sans pertinence Il existe une formation agrave la seacutecuriteacute mais elle reste avant tout une initiative individuelle La seacutecuriteacute informatique est consideacutereacutee surtout comme de la responsabiliteacute et du domaine de lrsquoinformatique et les meacutetiers ne voient pas qursquoelle fait partie du sien


Le management fait la promotion de la seacutecuriteacute et le personnel commence agrave y ecirctre sensibiliseacute Les proceacutedures de seacutecuriteacute informatique sont deacutefinies et aligneacutees sur la politique de seacutecuriteacute des SI Les responsabiliteacutes dans ce domaine sont attribueacutees et comprises mais pas systeacutematiquement exerceacutees Il existe un plan de seacutecuriteacute des SI et des solutions eacutelaboreacutees agrave partir de lrsquoanalyse des risques Les rapports sur la seacutecuriteacute ne sont pas clairement axeacutes sur les meacutetiers On fait des tests de seacutecuriteacute (ex tests drsquointrusion) au cas par cas La formation agrave la seacutecuriteacute est accessible au personnel informatique et des meacutetiers mais elle nrsquoest geacutereacutee et planifieacutee que de faccedilon informelle


Les responsabiliteacutes de la seacutecuriteacute des SI sont clairement attribueacutees geacutereacutees et exerceacutees On analyse reacuteguliegraverement les risques informatiques et leurs conseacutequences On complegravete les politiques et les proceacutedures de seacutecuriteacute par des principes de base speacutecifiques agrave la seacutecuriteacute On rend obligatoire les meacutethodes pour promouvoir la sensibilisation agrave la seacutecuriteacute On a standardiseacute lidentification des utilisateurs leur authentification et leurs droits daccegraves On poursuit la certification des personnels responsables de lrsquoaudit et de la gestion de la seacutecuriteacute Les tests de seacutecuriteacute utilisent un processus standardiseacute et formaliseacute qui conduit agrave des ameacuteliorations des niveaux de seacutecuriteacute Les processus de seacutecuriteacute des SI sont coordonneacutes avec la fonction de seacutecuriteacute geacuteneacuterale de lentreprise Les rapports sur la seacutecuriteacute informatique sont lieacutes aux objectifs meacutetiers La formation agrave la seacutecuriteacute est suivie agrave la fois par le personnel informatique et par le personnel des meacutetiers La formation agrave la seacutecuriteacute est planifieacutee et geacutereacutee de faccedilon agrave reacutepondre aux besoins des meacutetiers et aux profils de risques deacutefinis pour la seacutecuriteacute On a deacutefini des objectifs et des meacutetriques de gestion de la seacutecuriteacute mais on ne les eacutevalue pas encore


La seacutecuriteacute des SI est sous la responsabiliteacute conjointe des responsables meacutetiers et informatique et elle fait partie des objectifs de seacutecuriteacute de lentreprise Les exigences de seacutecuriteacute informatique sont clairement deacutefinies optimiseacutees et incluses dans un plan de seacutecuriteacute approuveacute Les utilisateurs et les clients sont de plus en plus responsables de la deacutefinition des exigences de seacutecuriteacute et les fonctions de seacutecuriteacute sont inteacutegreacutees aux applications degraves la conception On traite rapidement les incidents de seacutecuriteacute agrave lrsquoaide de proceacutedures speacutecifiques formaliseacutees qui srsquoappuient sur des outils informatiques Des eacutevaluations peacuteriodiques de la seacutecuriteacute permettent drsquoeacutevaluer le bon fonctionnement du plan de seacutecuriteacute On collecte et on analyse systeacutematiquement les informations sur les menaces et sur les failles de seacutecuriteacute On communique et on met rapidement en place des controcircles adapteacutes pour reacuteduire les risques Lameacutelioration permanente des processus sappuie sur des tests de seacutecuriteacute une analyse causale des incidents de seacutecuriteacute et une identification proactive des risques Les processus et technologies de seacutecuriteacute sont inteacutegreacutes dans lensemble de lentreprise On eacutevalue on recueille les meacutetriques de la gestion de la seacutecuriteacute et on en communique le reacutesultat Le management en utilise les reacutesultats pour adapter le plan de seacutecuriteacute selon un processus drsquoameacutelioration continue










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P

Deacutelivrer et Supporter Identifier et imputer les coucircts DS6


DS6 Identifier et imputer les coucircts

La neacutecessiteacute drsquoun systegraveme loyal et eacutequitable pour affecter les coucircts informatiques aux meacutetiers exige qursquoils soient chiffreacutes avec preacutecision et qursquoun accord soit conclu avec les utilisateurs meacutetiers sur une juste reacutepartition Ce processus comprend lrsquoeacutelaboration et la mise en œuvre drsquoun systegraveme pour calculer et affecter les coucircts informatiques et en rendre compte aux utilisateurs de services Un systegraveme de reacutepartition juste permet aux meacutetiers de prendre des deacutecisions mieux documenteacutees agrave propos de lrsquoutilisation des services informatiques




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P



Identifier et imputer les coucircts


assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques


un recensement complet et preacutecis des coucircts informatiques un systegraveme de reacutepartition juste qui a lrsquoaccord des utilisateurs meacutetiers et un systegraveme de comptes-rendus en temps opportun de lrsquoutilisation des SI et de lrsquoaffectation des coucircts


bull faisant correspondre les charges avec la qualiteacute et la quantiteacute des services fournis bull eacutelaborant et en faisant adopter un modegravele de coucircts exhaustif bull reacutepercutant les charges conformeacutement agrave la politique agreacuteeacutee


bull le pourcentage de factures de services informatiques accepteacuteespayeacutees par la direction des meacutetiers

bull le pourcentage des eacutecarts entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull le pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux

modegraveles de coucircts agreacuteeacutes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS6 Identifier et imputer les coucircts



DS61 Deacutefinition des services Identifier tous les coucircts informatiques et les faire correspondre aux services informatiques pour aider agrave bacirctir un modegravele de coucircts transparent Il faut lier les services informatiques aux processus meacutetiers pour que les meacutetiers puissent identifier les niveaux de facturation de services associeacutes

DS62 Comptabiliteacute de lrsquoinformatique Calculer et affecter les coucircts reacuteels en respectant le modegravele de coucircts de lrsquoentreprise Les eacutecarts entre les preacutevisions et les coucircts reacuteels doivent faire lrsquoobjet drsquoanalyses et de comptes-rendus conformes aux systegravemes de mesure financiers de lrsquoentreprise

DS63 Modegravele de coucircts et facturation En se basant sur la deacutefinition des services deacutefinir et mettre en place un modegravele de coucircts qui permette le calcul du taux de refacturation interne par service Le modegravele de coucircts informatiques doit permettre aux utilisateurs drsquoidentifier de mesurer et de preacutevoir la facturation des services pour encourager une bonne utilisation des ressources

DS64 Maintenance du modegravele de coucircts Faire reacuteguliegraverement des revues et des tests comparatifs du modegravele de coucircts et de refacturation pour en maintenir la pertinence et lrsquoadeacutequation aux eacutevolutions des activiteacutes meacutetiers et informatique



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO4 Proprieacutetaires de systegravemes documenteacutes

PO5 Rapports coucirctsbeacuteneacutefices budgets informatiques


DS1 CS et CE

Sorties Vers Donneacutees financiegraveres informatiques PO5 Rapports sur la performance des processus SE1

Faire correspondre les infrastructures informatiques aux services fournis etou aux processus meacutetiers qursquoelles supportent

C C A C C C C R C

Identifier tous les coucircts informatiques (personnel technologie etc) et les faire correspondre aux services informatiques sur la base de leur coucirct unitaire

C A C C C R C

Mettre en place et maintenir opeacuterationnel un processus de comptabiliteacute et de controcircle des coucircts informatiques C C A C C C C R C

Mettre en place et maintenir opeacuterationnelles des politiques et des proceacutedures de facturation C C A C C C C R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Ameacuteliorer la rentabiliteacute lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs

induit

induit

Meacutetriq

ues

bull Pourcentage de factures de services informatiques accepteacuteespayeacutees par les directions meacutetiers bull Coucirct unitaire par service du deacutepassement de temps bull Pourcentage de satisfaction meacutetiers (sondage) du modegravele de coucircts des services informatiques

bull Pourcentage deacutecart entre les coucircts budgeacuteteacutes preacutevisionnels et reacuteels bull Pourcentage des coucircts informatiques globaux qui sont affecteacutes conformeacutement aux modegraveles de coucircts agreacuteeacutes bull Pourcentage des coucircts contesteacutes par les meacutetiers

bull Pourcentage drsquoutilisateurs meacutetiers impliqueacutes dans la deacutefinition des modegraveles de coucircts bull Freacutequence des revues des modegraveles drsquoaffectation des coucircts bull Pourcentage des coucircts qui sont imputeacutes automatiquementmanuellement

Processus

bull Eacutelaborer une deacutefinition loyale et eacutequitable des coucircts et des services informatiques bull Calculer avec preacutecision les coucircts des services informatiques bull Imputer loyalement et eacutequitablement les coucircts informatiques aux consommateurs de services informatiques

Activiteacutes

bull Revues par les directions meacutetiers des coucircts affecteacutes bull Faire correspondre les factures avec la qualiteacute des services fournis bull Eacutelaborer et faire adopter un modegravele de coucircts exhaustif bull Mettre en place une facturation conforme agrave la politique agreacuteeacutee bull Faire reacuteguliegraverement des tests comparatifs de coucirctsdeacutefinit deacutefinit






La gestion du processus Identifier et imputer les coucircts qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la transparence et la compreacutehension des coucircts informatiques et ameacuteliorer la rentabiliteacute gracircce agrave une utilisation bien documenteacutee des services informatiques est

0 Inexistante quand

Il y a une absence totale de processus reconnaissable susceptible de faire ressortir et dimputer les coucircts en ce qui concerne les services informatiques fournis Lentreprise ne reacutealise mecircme pas quil y a lagrave une question agrave traiter et personne ne communique sur ce sujet


On comprend que les services informatiques ont un coucirct global mais ces coucircts ne sont pas reacutepartis par utilisateur client service groupe dutilisateurs fonction projet ou livrable Il nexiste pratiquement pas de suivi des coucircts seuls des comptes rendus sur les coucircts globaux non deacutetailleacutes sont fournis au management dans les rapports Les coucircts informatiques sont imputeacutes comme des frais geacuteneacuteraux opeacuterationnels Les meacutetiers ne reccediloivent aucune information sur les coucircts ou les beacuteneacutefices de la fourniture de services


On a geacuteneacuteralement pris conscience du besoin de faire ressortir les coucircts et de les imputer Limputation est baseacutee sur des hypothegraveses informelles et rudimentaires telles que les coucircts des mateacuteriels et il ny a pratiquement aucun lien avec la valeur geacuteneacutereacutee Les processus drsquoimputation des coucircts sont reproductibles Il nexiste ni formation ni communication formelles sur les proceacutedures standard didentification et dimputation des coucircts On nrsquoa pas affecteacute la responsabiliteacute de collecter ou drsquoaffecter les coucircts


Il existe un modegravele de coucircts des services informatiques deacutefini et documenteacute On deacutefinit un processus qui rend compte des coucircts informatiques des services fournis aux utilisateurs On a une bonne conscience des coucircts imputables aux services informatiques Les meacutetiers disposent drsquoinformations rudimentaires sur les coucircts


Les responsabiliteacutes opeacuterationnelles et finales de gestion des coucircts des services informatiques sont bien deacutefinies et pleinement comprises agrave tous les niveaux et sappuient sur des formations formelles On sait identifier les coucircts directs et indirects qui font lrsquoobjet de rapports eacutelaboreacutes de faccedilon automatique et en temps voulu destineacutes au management aux proprieacutetaires de processus et aux utilisateurs Drsquoune faccedilon geacuteneacuterale on fait un suivi et une eacutevaluation des coucircts et on reacuteagit si on constate des deacuterives Les comptes-rendus sur les services informatiques sont lieacutes aux objectifs meacutetiers et aux conventions de services et ils sont surveilleacutes par les proprieacutetaires des processus meacutetiers Une fonction financiegravere veacuterifie reacuteguliegraverement si le processus drsquoaffectation des coucircts est raisonnable Il existe un systegraveme de comptabilisation automatiseacute des coucircts mais il est plus axeacute sur la fonction informatique que sur les processus meacutetiers On a adopteacute des objectifs et des meacutetriques drsquoeacutevaluation des coucircts mais ils ne sont pas systeacutematiquement mesureacutes


On identifie consigne reacutesume et fait le suivi des coucircts des services fournis au management aux proprieacutetaires de processus et aux utilisateurs Les coucircts sont vus comme des articles facturables et peuvent alimenter un systegraveme de refacturation qui facture les utilisateurs de faccedilon approprieacutee en fonction de lutilisation Les conventions de services sappuient sur des coucircts deacutetailleacutes On utilise la surveillance et lrsquoeacutevaluation des coucircts des services pour optimiser les coucircts des ressources informatiques On utilise les chiffres obtenus pour veacuterifier les beacuteneacutefices dans le processus de gestion du budget de lentreprise Les rapports sur les coucircts informatiques permettent decirctre alerteacute assez tocirct en cas drsquoeacutevolutions des exigences des meacutetiers gracircce agrave des systegravemes de reporting intelligents On utilise un modegravele de coucirct variable qui est fonction des volumes traiteacutes pour chaque service fourni On eacutelegraveve la gestion des coucircts au niveau des pratiques de la profession gracircce aux reacutesultats du processus drsquoameacutelioration permanente et agrave la comparaison avec dautres entreprises Lrsquooptimisation des coucircts est un processus permanent La revue des objectifs et des meacutetriques par le management fait partie du processus drsquoameacutelioration continue par lrsquoajustement des systegravemes de mesure des coucircts










P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Deacutelivrer et Supporter Instruire et former les utilisateurs DS7


DS7 Instruire et former les utilisateurs

La formation efficace de tous les utilisateurs des systegravemes informatiques y compris les informaticiens exige de connaicirctre les besoins en formation de chaque groupe drsquoutilisateurs Outre lrsquoidentification des besoins ce processus doit aussi deacutefinir et mettre en œuvre une strateacutegie de formation efficace et en mesurer les reacutesultats Un programme de formation efficace augmente lrsquoefficaciteacute de lrsquoutilisation de lrsquoinformatique en reacuteduisant le nombre drsquoerreurs commises par les utilisateurs en augmentant la productiviteacute et en ameacuteliorant la conformiteacute aux controcircles cleacutes tels que les mesures de seacutecuriteacute utilisateurs




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S



Instruire et former les utilisateurs


permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs


une bonne connaissance des besoins en formation des utilisateurs des SI la mise en œuvre drsquoune strateacutegie efficace de formation et la mesure des reacutesultats


bull eacutetablissant des programmes de formation bull organisant la formation bull dispensant la formation bull surveillant et en rendant compte de lrsquoefficaciteacute de la formation


bull le nombre drsquoappels au service drsquoassistance par insuffisance de formation des utilisateurs bull le pourcentage de parties prenantes satisfaites de la formation reccedilue bull le deacutelai entre lidentification dun besoin de formation et la mise en place de cette

formation

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS7 Instruire et former les utilisateurs



DS71 Identification des besoins en savoir et en formation Eacutetablir et mettre reacuteguliegraverement agrave jour un programme pour chaque groupe cible de salarieacutes en prenant en compte bull Les besoins des meacutetiers et la strateacutegie actuels et futurs bull La valeur de lrsquoinformation en tant qursquoactif bull Les valeurs de lrsquoentreprise (valeurs eacutethiques culture de la seacutecuriteacute et du controcircle etc) bull La mise en place drsquoune nouvelle infrastructure informatique et de nouveaux logiciels (par ex progiciels et applications) bull Les qualifications existantes et futures les profils de compeacutetences et les besoins de certification etou drsquoaccreacuteditation ou de reacuteaccreacuteditation bull Les meacutethodes drsquoenseignement (par ex classe en ligne) la dimension des groupes cibles lrsquoaccessibiliteacute et les horaires

DS72 Fourniture de formation et drsquoenseignement En se basant sur les besoins identifieacutes en formation et en enseignement identifier les groupes cibles et leurs membres les meacutecanismes efficaces les enseignants formateurs et conseillers peacutedagogiques Engager des formateurs et organiser des sessions de formation en temps voulu Enregistrer les inscriptions (y compris les conditions preacutealables) lrsquoassiduiteacute et lrsquoeacutevaluation des performances de la session

DS73 Eacutevaluation de la formation reccedilue Eacutevaluer en fin de session le contenu de lrsquoenseignement et de la formation pour en deacuteterminer la pertinence la qualiteacute lrsquoefficaciteacute ce qui a eacuteteacute retenu le coucirct et la valeur Les reacutesultats de cette eacutevaluation doivent nourrir la deacutefinition des programmes des sessions de formation agrave venir



DSI





ents


Bureau projet



Service formation


DSI





ents


Bureau projet



Service formation


GUIDE DE MANAGEMENT


De Entreacutees

PO7 Compeacutetences et connaissances des utilisateurs formation individuelle besoins speacutecifiques de formation

AI4 Mateacuteriels de formation besoins de transfert de connaissances pour la mise en place de solutions

DS1 CE

DS5 Exigences de formations speacutecifiques agrave la sensibilisation agrave la seacutecuriteacute

DS8 Rapports sur la satisfaction des utilisateurs

Sorties Vers Rapports sur la performance des processus SE1 Mises agrave jour de la documentation requise AI4

Identifier et caracteacuteriser les besoins de formation des utilisateurs C A R C C C C C C R

Construire un programme de formation C A R C I C C C I R

Diriger les activiteacutes de sensibilisation drsquoenseignement et de formation I A C C I C C C I R

Eacutevaluer la formation I A R C I C C C I R

Identifier et eacutevaluer les meilleures meacutethodes et les meilleurs outils pour dispenser la formation I AR R C C C C C C R


DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques

induit

induit

Meacutetriq

ues

bull Taux dameacutelioration de la productiviteacute des employeacutes reacutesultant drsquoune meilleure compreacutehension des systegravemes bull Pourcentage daugmentation de la satisfaction des utilisateurs agrave lrsquoeacutegard du deacuteploiement des services des systegravemes ou des nouvelles technologies

bull Nb dappels au service dassistance pour des besoins de formation ou pour obtenir des reacuteponses agrave des questions bull Pourcentage de parties prenantes satisfaites de la formation reccedilue bull Pourcentage de salarieacutes ayant beacuteneacuteficieacute drsquoune formation

bull Freacutequence des mises agrave jour des programmes de formation bull Deacutelai entre lidentification dun besoin de formation et la mise en place de cette formation

Processus

bull Eacutetablir un programme de formation pour tous les niveaux drsquoutilisateurs en recherchant les meacutethodes ayant le meilleur rapport qualiteacutecoucirct bull Transfeacuterer la connaissance vers les utilisateurs drsquoapplications et de solutions informatiques bull Augmenter la sensibilisation aux responsabiliteacutes et aux risques lieacutes agrave lrsquoutilisation des applications et des solutions informatiques

Activiteacutes

bull Eacutetablir des modules de formation bull Organiser la formation bull Dispenser la formation bull Surveiller et rendre compte de lrsquoefficaciteacute de la formation







La gestion du processus Instruire et former les utilisateurs qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace et efficiente des applications et des solutions informatiques et assurer le respect des politiques et des proceacutedures par les utilisateurs est

0 Inexistante quand

Il y a une absence totale de programme denseignement et de formation Lentreprise na mecircme pas conscience que la formation est une probleacutematique agrave traiter et elle ne communique pas sur ce sujet


On constate que lentreprise a reconnu le besoin dun programme denseignement et de formation mais il ny a pas de processus standardiseacute En labsence dun programme organiseacute les employeacutes trouvent et suivent des formations de leur cocircteacute Certaines de ces formations traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et aux pratiques de seacutecuriteacute Lapproche globale du management manque complegravetement de coheacutesion et la communication sur ces thegravemes reste sporadique et sans meacutethode


On a conscience du besoin dun programme denseignement et de formation et des processus associeacutes dans lensemble de lentreprise On commence agrave trouver des formations dans les plans de performance individuels des employeacutes Les processus se sont multiplieacutes au point que des formations informelles et des enseignements ont recours agrave de formateurs diffeacuterents qui traitent des mecircmes questions avec des approches diffeacuterentes Certains cours traitent des questions deacutethique du comportement de sensibilisation agrave la seacutecuriteacute des systegravemes et des pratiques de seacutecuriteacute On se repose beaucoup sur les connaissances de certains individus Cependant on communique sur les difficulteacutes dordre geacuteneacuteral et sur le besoin de les traiter


Le programme denseignement et de formation est eacutelaboreacute et fait lobjet de communications et les employeacutes et le management identifient les besoins de formation et les documentent On standardise et documente les processus denseignement et de formation On mobilise des budgets des ressources des eacutequipements et des formateurs pour ces programmes On donne des cours formels aux employeacutes sur leacutethique du comportement sur la sensibilisation agrave la seacutecuriteacute des systegravemes et sur les pratiques de seacutecuriteacute La plupart des processus denseignement et de formation font lobjet drsquoune surveillance mais le management ne deacutetecte vraisemblablement pas tous les eacutecarts par rapport agrave ces processus On nanalyse quoccasionnellement les problegravemes de formation et denseignement


Il existe un programme complet de formation et drsquoenseignement qui donne des reacutesultats mesurables Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Lenseignement et la formation font partie des plans de carriegravere des employeacutes Le management favorise la tenue de sessions denseignement et de formation et y assiste Tous les employeacutes reccediloivent une formation sur les conduites eacutethiques et sur la sensibilisation agrave la seacutecuriteacute des systegravemes Tous les employeacutes reccediloivent une formation adeacutequate sur les pratiques de seacutecuriteacute agrave loccasion de laquelle ils apprennent agrave proteacuteger les systegravemes des deacutefaillances affectant la disponibiliteacute la confidentialiteacute et linteacutegriteacute Le management veille agrave la conformiteacute en veacuterifiant et en mettant constamment agrave jour les processus et les contenus des programmes de formation et denseignement Les processus sameacuteliorent et on applique les meilleures pratiques internes


La formation et lenseignement deacutebouchent sur une ameacutelioration des performances individuelles Ils sont devenus des composants essentiels des plans de carriegravere des employeacutes On mobilise les budgets ressources eacutequipements et formateurs qui permettent de mener agrave bien les programmes de formation et denseignement On perfectionne les processus qui sameacuteliorent en permanence tirant profit des meilleures pratiques externes et en se comparant aux autres entreprises sur leacutechelle de maturiteacute On fait lanalyse causale de tous les problegravemes et eacutecarts qui surviennent de faccedilon agrave trouver rapidement des solutions efficaces Lattitude vis-agrave-vis des questions deacutethique et des principes de seacutecuriteacute des systegravemes est positive On utilise largement linformatique de faccedilon inteacutegreacutee et optimiseacutee pour fournir des outils aux programmes de formation et denseignement et pour en automatiser certaines fonctions On mobilise des formateurs externes et on srsquoinspire des reacutesultats des tests comparatifs










PP

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8 DESCRIPTION DU PROCESSUS

DS8 Geacuterer le service drsquoassistance client et les incidents

Apporter des reacuteponses efficaces et au bon moment aux requecirctes et aux problegravemes des utilisateurs exige un processus bien conduit de gestion du service drsquoassistance et de gestion des incidents Ce processus comporte la mise en place drsquoun service drsquoassistance qui srsquooccupe de lenregistrement et de lescalade des incidents de lrsquoanalyse des tendances et des causes et des solutions Lrsquointeacuterecirct de lrsquoentreprise passe par lrsquoameacutelioration de la productiviteacute gracircce agrave la reacutesolution rapide des demandes des utilisateurs Par ailleurs les meacutetiers peuvent rechercher les causes premiegraveres (comme une formation insuffisante des utilisateurs) au moyen de comptes-rendus efficaces




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP


Geacuterer le service drsquoassistance client et les incidents



permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux


une fonction assistance client professionnelle avec des reacuteponses rapides des proceacutedures drsquoescalade claires et des analyses de reacutesolution drsquoincidents et de tendances


bull installant et en faisant fonctionner un service drsquoassistance bull surveillant et en rendant compte des tendances bull deacutefinissant des critegraveres et des proceacutedures drsquoescalade clairs


bull le niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau bull le pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable bull le taux drsquoabandon des demandes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures

Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures


Deacutelivrer et Supporter DS8 Geacuterer le service drsquoassistance client et les incidents



DS81 Service drsquoassistance client Mettre en place un service client qui doit faire lrsquointerface entre lrsquoutilisateur et lrsquoinformatique pour enregistrer communiquer et analyser tous les appels les rapports drsquoincidents les demandes de services et drsquoinformation Il faut des proceacutedures de surveillance et drsquoescalade baseacutees sur les niveaux de services deacutefinis dans les conventions de services approprieacutees cela doit permettre de classer tout problegraveme ou incident rapporteacute demande de service ou drsquoinformation et de lui attribuer des prioriteacutes Mesurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard de la qualiteacute du service drsquoassistance client et des services informatiques

DS82 Enregistrement des demandes des clients Mettre en place une fonction et un systegraveme qui permette drsquoenregistrer et de suivre les appels les incidents les demandes de services et les besoins en information Cette fonction doit travailler en eacutetroite association avec des processus tels que la gestion des incidents des problegravemes des changements des capaciteacutes et de la disponibiliteacute Les incidents doivent ecirctre classeacutes selon une prioriteacute meacutetier et une prioriteacute de service et dirigeacutes vers lrsquoeacutequipe de gestion de problegravemes approprieacutee quand neacutecessaire Les clients doivent ecirctre tenus informeacutes de lrsquoeacutetat drsquoavancement de leurs demandes

DS83 Escalade des incidents Mettre en place des proceacutedures drsquoassistance client de faccedilon agrave ce que les incidents qui ne peuvent pas ecirctre immeacutediatement reacutesolus soient transmis au niveau de support supeacuterieur approprieacute dans les limites preacutevues par les conventions de services et que des solutions de contournement soient identifieacutees si neacutecessaire Srsquoassurer que la proprieacuteteacute des incidents et la surveillance du cycle de vie restent entre les mains du service drsquoassistance client pour les incidents qui concernent les utilisateurs quelle que soit lrsquoeacutequipe informatique qui travaille agrave la reacutesolution des problegravemes

DS84 Clocircture des incidents Mettre en place des proceacutedures de surveillance de la reacutesolution des demandes des clients dans les temps Lorsque lrsquoincident a eacuteteacute reacutesolu srsquoassurer que le service drsquoassistance client enregistre les eacutetapes de sa reacutesolution et confirmer que la solution apporteacutee a reccedilu lrsquoagreacutement du client Enregistrer eacutegalement les incidents non reacutesolus (erreurs connues et palliatifs) et en effectuer le rapport de faccedilon agrave disposer drsquoinformations pour une gestion correcte des problegravemes

DS85 Rapports et analyse des tendances Produire des rapports de lrsquoactiviteacute du service drsquoassistance client pour permettre au management de mesurer la performance du service et les temps de reacuteponse et drsquoidentifier les tendances ou les problegravemes reacutecurrents de faccedilon agrave ce que le service srsquoameacuteliore en permanence



DSI





ents


Bureau projet



Responsable assistanceincidents


DSI





ents


Bureau projet




Deacutelivrer et Supporter Geacuterer le service drsquoassistance client et les incidents DS8

GUIDE DE MANAGEMENT


De Entreacutees

AI4 Manuels utilisateur drsquoexploitation drsquoassistance technique et drsquoadministration

AI6 Autorisation de modification

AI7 Eacuteleacutements de configuration mis agrave disposition

DS1 CS et CE

DS4 Seuils incidentssinistres

DS5 Deacutefinition des incidents de seacutecuriteacute

DS9 Configuration informatiquedeacutetail des actifs

DS10 Problegravemes connus erreurs connues et solutions de contournement

DS13 Tickets drsquoincidents

Sorties Vers Demande de servicedemande de modification AI6 Rapports dincidents DS10 Rapports sur la performance des processus SE1 Rapports sur la satisfaction des utilisateurs DS7 SE1

Creacuteer une classification (graviteacute et conseacutequences) et des proceacutedures drsquoescalade (fonctionnelles et hieacuterarchiques) C C C C C C C AR

Deacutetecter et enregistrer les incidentsdemandes de servicesdemandes drsquoinformation AR

Classer et investiguer les demandes et faire les diagnostics I C C C I AR

Trouver les solutions les appliquer et clocircturer lrsquoincident I R R R C AR

Informer les utilisateurs (ex eacutetat drsquoavancement) I I AR

Produire des rapports pour le management I I I I I I AR

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



ResponsableassistanceincidentsTableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises deacutefinit deacutefinit

induit

induit

Meacutetriq

ues

bull Niveau de satisfaction des utilisateurs agrave lrsquoeacutegard de lrsquoassistance de premier niveau (service drsquoassistance client ou base de connaissances) bull Pourcentage drsquoincidents reacutesolus dans une limite de temps convenueacceptable

bull Pourcentage de problegravemes reacutesolus degraves le premier niveau par rapport au nombre total de demandes bull Pourcentage de tickets drsquoincident reacuteouverts bull Taux drsquoabandon des demandes bull Dureacutee moyenne des incidents classeacutes par graviteacute bull Deacutelai moyen de reacuteponse aux demandes par teacuteleacutephone et par courrier eacutelectronique

bull Pourcentage drsquoincidents et de demandes de services dont les comptes-rendus et les enregistrements utilisent des outils automatiseacutes bull Nb de jours de formation par personne du service drsquoassistance client et par an bull Nb drsquoappels traiteacutes par personne du service drsquoassistance client et par heure bull Pourcentage drsquoincidents qui neacutecessitent un deacuteplacement sur place (support sur place visite personnelle) bull Nombre de demandes non reacutesolues

Processus

bull Analyser documenter et faire remonter les incidents dans les deacutelais preacutevus bull Reacutepondre avec pertinence et preacutecision aux demandes dans les deacutelais preacutevus bull Faire reacuteguliegraverement des analyses de tendances sur les incidents et les demandes

Activiteacutes

bull Installer et faire fonctionner un service drsquoassistance client bull Surveiller et rendre compte des tendances bull Aligner les prioriteacutes de la reacutesolution drsquoincidents sur les impeacuteratifs meacutetiers bull Deacutefinir des critegraveres et des proceacutedures drsquoescalade clairs






La gestion du processus Geacuterer le service drsquoassistance client et les incidents qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique permettre une utilisation efficace des systegravemes informatiques en apportant les analyses et les solutions aux demandes questions et incidents souleveacutes par les utilisateurs finaux est

0 Inexistante quand

Les utilisateurs nont pas dinterlocuteurs deacutesigneacutes pour reacutepondre agrave leurs questions et problegravemes Il nrsquoexiste aucun processus de gestion des incidents Lentreprise ne reacutealise pas que cest une probleacutematique agrave traiter


Le management reconnaicirct qursquoun processus srsquoappuyant sur des outils et du personnel est neacutecessaire pour reacutepondre aux demandes des utilisateurs et geacuterer la reacutesolution des incidents Il ny a cependant pas de processus standardiseacute et on ne fournit dassistance quau cas par cas Le management norganise pas de suivi des demandes des utilisateurs des incidents ou des tendances On na pas preacutevu de processus descalade pour reacutesoudre les problegravemes


Lrsquoentreprise est consciente du besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents Il existe une forme dassistance informelle gracircce agrave un reacuteseau dindividus qui ont un bon niveau de connaissances Ces personnes disposent de certains outils daide agrave la reacutesolution des incidents qui leur sont communs Il ny a pas de formation formelle ni de communication sur les proceacutedures standard et la responsabiliteacute est laisseacutee aux individus


On reconnaicirct et on accepte le besoin drsquoun service drsquoassistance client et drsquoun processus de gestion des incidents On standardise et documente les proceacutedures et des formations informelles ont lieu On laisse cependant aux individus linitiative de se former et de se conformer aux normes Les Foires Aux Questions (FAQ) et les guides utilisateurs se sont deacuteveloppeacutes mais cest agrave chacun de les trouver et de sy conformer eacuteventuellement On consigne agrave la main les questions et les incidents souleveacutes et on les suit individuellement mais cette activiteacute ne donne pas lieu agrave des rapports formels On ne chiffre pas les questions et incidents souleveacutes qui ont reccedilu une reacuteponse en temps opportun et il est vraisemblable que certains problegravemes ne trouvent pas de solutions Les utilisateurs ont reccedilu des informations claires sur ce quils doivent faire en cas de problegraveme ou drsquoincident comment faire un rapport et agrave qui


On comprend pleinement les avantages dun processus de gestion des incidents agrave tous les niveaux de lentreprise et on met en place le service drsquoassistance client en le structurant en uniteacutes adeacutequates Les outils et les techniques sont automatiseacutes et on dispose drsquoune base de connaissances centraliseacutee Leacutequipe du service dassistance client a des contacts eacutetroits avec celle qui soccupe de la reacutesolution des problegravemes Les responsabiliteacutes sont claires et on surveille lefficaciteacute du service On a mis en place des proceacutedures de communication descalade et de reacutesolution des incidents et on le fait savoir On forme les personnels dassistance et on ameacuteliore les processus au moyen de logiciels speacutecifiques Le management a mis au point des meacutetriques pour appreacutecier la performance du service drsquoassistance client


Le processus de gestion des incidents et la fonction drsquoassistance client sont en place et bien organiseacutes lrsquoeacutetat drsquoesprit est orienteacute vers lrsquoassistance au client avec une attention agrave ses besoins les connaissances neacutecessaires et le deacutesir de lrsquoaider Les meacutetriques sont systeacutematiquement eacutevalueacutees et font lrsquoobjet de rapports Des FAQ riches exhaustives font partie inteacutegrante de la base de connaissances Les utilisateurs disposent doutils qui leur permettent de reacutealiser des auto-diagnostics et de reacutesoudre eux-mecircmes certains incidents Les conseils sont professionnels et les incidents sont reacutesolus rapidement au travers dun processus descalade structureacute Le management utilise un outil inteacutegreacute pour les statistiques de performances du processus de gestion des incidents et de la fonction drsquoassistance client Les processus se sont hisseacutes au niveau des meilleures pratiques du secteur gracircce aux reacutesultats de lrsquoanalyse des indicateurs de performance aux ameacuteliorations permanentes et aux tests comparatifs avec drsquoautres entreprises










P S S S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Deacutelivrer et Supporter Geacuterer la configuration DS9


DS9 Geacuterer la configuration

Assurer lrsquointeacutegriteacute des configurations mateacuterielles et logicielles exige de constituer et de tenir agrave jour un reacutefeacuterentiel de configuration preacutecis et complet Ce processus doit comporter la collecte des informations de la configuration initiale lrsquoeacutetablissement de configurations de base la veacuterification et lrsquoaudit des informations de configuration et la mise agrave jour du reacutefeacuterentiel de configuration lorsque crsquoest neacutecessaire Une gestion efficace de la configuration facilite une plus grande disponibiliteacute du systegraveme la reacuteduction des problegravemes de production et une reacutesolution plus rapide de ceux-ci




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S S S



Geacuterer la configuration


optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques


la mise en place et la mise agrave jour drsquoun reacutefeacuterentiel preacutecis et complet des attributs de configuration des actifs informatiques et des configurations de base et leur comparaison avec la configuration reacuteelle


bull constituant un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull identifiant les eacuteleacutements de configuration et en les maintenant agrave jour bull veacuterifiant lrsquointeacutegriteacute des donneacutees de configuration


bull le nombre de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels

bull le nombre de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteelles bull le pourcentage de licences acheteacutees qui ne sont pas prises en compte par le reacutefeacuterentiel

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS9 Geacuterer la configuration



DS91 Reacutefeacuterentiel de configuration et configuration de base Constituer un reacutefeacuterentiel centraliseacute et mettre en place un outil pour recenser toutes les informations qui concernent les eacuteleacutements de configuration Surveiller et enregistrer tous les actifs et les changements qui y sont apporteacutes Pour chaque systegraveme et chaque service tenir agrave jour une base des composants de sa configuration pour pouvoir srsquoy reacutefeacuterer apregraves une modification

DS92 Identification et maintenance des eacuteleacutements de configuration Mettre en place des proceacutedures speacutecifiques pour faciliter la gestion et lrsquoenregistrement de tous les changements apporteacutes au reacutefeacuterentiel de configuration Inteacutegrer ces proceacutedures aux proceacutedures de gestion des changements de gestion des incidents et de gestion des problegravemes

DS93 Revue drsquointeacutegriteacute des configurations Passer en revue de maniegravere peacuteriodique les donneacutees de la configuration afin de veacuterifier et confirmer lrsquointeacutegriteacute de la configuration en cours par rapport agrave son historique Veacuterifier reacuteguliegraverement les logiciels installeacutes par rapport aux politiques drsquoutilisation des logiciels afin drsquoidentifier les logiciels personnels ou sans licence ou tout nombre de licences excessif par rapport aux contrats de licence en cours Reacutediger un rapport et agir pour corriger les erreurs ou les anomalies



DSI





ents


Bureau projet



Responsable configuration


DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees


AI7 Eleacutements de configuration mis agrave disposition DS4 Eleacutements de configuration informatique critiques

Sorties Vers Configuration informatiquedeacutetail des actifs DS8 D10 DS13 Demande de modification (ougrave et comment faire la modification)

AI6


Deacutevelopper les proceacutedures de planification de la gestion des configurations C A C I C C R

Collecter les informations des configurations initiales et eacutetablir les configurations de base C C C I AR

Veacuterifier et auditer les informations de configuration (y compris deacutetection des logiciels non autoriseacutes) I A I I AR

Mettre agrave jour le reacutefeacuterentiel de configuration R R R I AR

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Responsableconfiguration

Tableau RACI

Activiteacutes



Objectifs

bull Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques bull Proteacuteger tous les actifs informatiques et en ecirctre responsable

deacutefinit

bull Eacutetablir un reacutefeacuterentiel de tous les mateacuteriels et logiciels des attributs de configuration et des configurations de base bull Maintenir lrsquointeacutegriteacute du reacutefeacuterentiel de configuration bull Veacuterifier la conformiteacute des configurations reacuteelles avec les configurations de base du reacutefeacuterentiel

deacutefinit


induit mesure

bull Nb de diffeacuterences entre le reacutefeacuterentiel de configuration et les configurations reacuteellement utiliseacutees bull Pourcentage de licences acheteacutees et de licences ignoreacutees du reacutefeacuterentiel

bull Deacutelai moyen entre la deacutecouverte drsquoanomalies et leur correction bull Nb drsquoanomalies dues agrave des informations de configuration incomplegravetes ou absentes bull Pourcentage drsquoeacuteleacutements de configuration conformes aux niveaux de services en ce qui concerne la performance la seacutecuriteacute et la disponibiliteacute

Meacutetriq

ues

bull Nb de problegravemes de conformiteacute meacutetiers dus agrave une mauvaise configuration des mateacuteriels et logiciels

Activiteacutes

bull Constituer un reacutefeacuterentiel centraliseacute de tous les eacuteleacutements de configuration bull Identifier les eacuteleacutements de configuration et maintenir leurs donneacutees agrave jour bull Veacuterifier lrsquointeacutegriteacute des donneacutees de configuration





La gestion du processus Geacuterer la configuration qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques et justifier les investissements informatiques est

0 Inexistante quand

Le management ne voit pas dinteacuterecirct agrave disposer dun processus capable de geacuterer la configuration mateacuterielle et logicielle et de faire des rapports


On reconnaicirct le besoin drsquoune gestion de la configuration Les tacircches de base de cette gestion comme tenir agrave jour les inventaires des mateacuteriels et des logiciels sont accomplies sur initiatives individuelles Il nexiste pas de pratiques standard


Le management est conscient du besoin de controcircler la configuration informatique et comprend les avantages drsquoune information exacte et complegravete sur la configuration mais on se fie implicitement aux connaissances et aux compeacutetences du personnel technique On utilise jusquagrave un certain point des outils de gestion de configuration mais ils diffegraverent selon les plates-formes De plus aucune pratique standard nest deacutefinie Le contenu des donneacutees de configuration est limiteacute et ne concerne pas les processus lieacutes les uns aux autres comme la gestion des changements et des incidents


On documente standardise et communique les proceacutedures et les pratiques de travail mais chacun deacutecide de suivre ou non une formation et dappliquer ou non les normes De plus on est en train de mettre en place des outils de gestion des configurations communs aux diffeacuterentes plates-formes Il est peu vraisemblable que lon deacutetecte les cas de non-respect des proceacutedures et les veacuterifications physiques ne sont pas systeacutematiques On a recours agrave certains automatismes pour permettre de tracer plus facilement les modifications des mateacuteriels et des logiciels Les donneacutees de configurations sont utiliseacutees par des processus lieacutes les uns aux autres


Le besoin de geacuterer la configuration est reconnu agrave tous les niveaux de lentreprise et les bonnes pratiques continuent agrave eacutevoluer On communique sur les proceacutedures et les normes on les inclut dans les formations et on veille agrave leur respect les cas de non-respect sont surveilleacutes deacutetecteacutes et font lobjet de rapports On utilise des outils automatiseacutes comme la technologie push pour imposer les normes et ameacuteliorer la stabiliteacute des systegravemes Les systegravemes de gestion de configuration recouvrent effectivement la plus grande partie des actifs informatiques et permettent une bonne gestion des versions et du controcircle de la distribution des mateacuteriels et des logiciels On pratique systeacutematiquement les veacuterifications physiques et lanalyse des anomalies on recherche les causes initiales des anomalies


Tous les actifs informatiques sont geacutereacutes au sein drsquoun systegraveme de gestion centraliseacute des configurations qui contient toute lrsquoinformation neacutecessaire sur les composants leurs interrelations et lrsquohistorique de leur eacutevolution Les donneacutees de configuration sont conformes aux descriptifs fournis par les fournisseurs Les processus relieacutes entre eux sont pleinement inteacutegreacutes et ils utilisent et mettent agrave jour les donneacutees de configuration de faccedilon automatique Les rapports daudits de base fournissent pour chaque eacuteleacutement mateacuteriel et logiciel les donneacutees essentielles pour les reacuteparations la maintenance la garantie la mise agrave niveau et les eacutevaluations techniques On applique les regravegles destineacutees agrave limiter lrsquoinstallation de logiciels non autoriseacutes Le management preacutevoit les reacuteparations et les mises agrave niveau agrave partir de rapports danalyses qui proposent un planning des eacutevolutions et qui preacutecisent les possibiliteacutes dactualisation des technologies Chaque actif informatique est proteacutegeacute par un suivi et une surveillance individuels contre le vol le mauvais usage et les usages abusifs










P P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Deacutelivrer et Supporter Geacuterer les problegravemes DS10


DS10 Geacuterer les problegravemes

Une gestion efficace des problegravemes exige de les identifier de les classer drsquoanalyser leurs causes initiales et de leur trouver des solutions Le processus de gestion des problegravemes implique aussi de formuler des recommandations drsquoameacutelioration de tenir agrave jour les enregistrements des problegravemes et de veacuterifier ougrave en sont les actions correctives Un processus efficace de gestion des problegravemes favorise la disponibiliteacute des systegravemes ameacuteliore les niveaux de services reacuteduit les coucircts reacutepond mieux aux besoins des clients et augmente donc leur satisfaction




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S

Le controcircle du processus informatique Surveiller et Evaluer

Geacuterer les problegravemes


assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire


lrsquoenregistrement le suivi et la reacutesolution des problegravemes drsquoexploitation la recherche des causes initiales de tous les problegravemes significatifs et la deacutefinition de solutions pour les problegravemes drsquoexploitation identifieacutes


bull faisant lrsquoanalyse causale des problegravemes identifieacutes bull analysant les tendances bull assumant la proprieacuteteacute des problegravemes et en faisant avancer leur reacutesolution


bull le nombre de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull le pourcentage de problegravemes reacutesolus dans les deacutelais requis bull la freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant en

fonction de la graviteacute du problegraveme

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS10 Geacuterer les problegravemes



DS101 Identification et classification des problegravemes Mettre en place des processus pour rapporter et classer les problegravemes qui ont eacuteteacute identifieacutes comme relevant de la gestion des incidents Les eacutetapes de la classification des problegravemes sont similaires agrave celles de la classification des incidents elles consistent agrave deacuteterminer la cateacutegorie lrsquoimpact lrsquourgence et la prioriteacute Reacutepartir les problegravemes selon les groupes ou domaines auxquels ils appartiennent (par ex mateacuteriel logiciel logiciel drsquoassistance) Ces groupes peuvent correspondre aux responsabiliteacutes dans lrsquoentreprise ou au service auquel appartient lrsquoutilisateur ou le client et doivent servir agrave deacuteterminer lrsquoeacutequipe drsquoassistance agrave laquelle ils seront affecteacutes

DS102 Suivi et reacutesolution des problegravemes Srsquoassurer que le systegraveme de gestion des problegravemes fournit les outils de pistes drsquoaudit adeacutequats qui permettent de suivre drsquoanalyser et de deacuteterminer les causes initiales de tous les problegravemes rapporteacutes en prenant en compte bull Tous les eacuteleacutements de configuration associeacutes bull Les problegravemes et les incidents non reacutesolus bull Les erreurs connues et soupccedilonneacutees bull Le repeacuterage des tendances en matiegravere de problegravemes

Trouver et initier des solutions viables qui srsquoappliquent aux causes initiales en suscitant des demandes de modification par lrsquointermeacutediaire du processus de gestion des changements Au cours du processus de reacutesolution les responsables de la gestion des problegravemes doivent obtenir des rapports reacuteguliers de lrsquoeacutequipe de gestion des modifications sur la progression de la reacutesolution des problegravemes et des erreurs La gestion des problegravemes doit surveiller en continu les conseacutequences sur les services utilisateurs des erreurs et des problegravemes connus Dans le cas ougrave ces conseacutequences deviendraient graves lrsquoeacutequipe de gestion des problegravemes doit faire remonter le problegraveme peut-ecirctre agrave un niveau de direction approprieacute pour augmenter la prioriteacute de la demande de modification ou pour mettre en œuvre une modification drsquourgence selon le cas Suivre la progression de la reacutesolution du problegraveme conformeacutement aux contrats de services

DS103 Clocircture des problegravemes Mettre en place une proceacutedure pour clocircturer les enregistrements de problegravemes soit apregraves confirmation de lrsquoeacutelimination reacuteussie de lrsquoerreur connue soit apregraves un accord avec les meacutetiers sur la faccedilon de trouver une solution alternative

DS104 Inteacutegration de la gestion de la configuration des incidents et des problegravemes Pour assurer une gestion efficace des problegravemes et faciliter le progregraves inteacutegrer les processus de gestion de la configuration de gestion des incidents et de gestion des problegravemes



DSI





ents


Bureau projet



Resp gestion des problegravemes


DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees


DS8 Rapports dincidents

DS9 Configuration informatiquedeacutetail des actifs DS13 Historiques des erreurs

Sorties Vers Demandes de modification AI6 Historiques des problegravemes AI6 Rapports sur la performance des processus SE1 Problegravemes connus erreurs connues et solutions de contournement

DS8

Identifier et classer les problegravemes I I C A C C I R

Effectuer les analyses causales C C AR

Reacutesoudre les problegravemes C A R R R C C

Passer en revue la situation en cours des problegravemes I I C AR C C C C R

Eacutemettre des recommandations drsquoameacutelioration et eacutetablir une demande de modification en rapport I A I I I R

Tenir agrave jour les enregistrements des problegravemes I I I I AR

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Resp gestiondesproblegravemes

Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Reacuteduire le nombre de deacutefaillances et de tacircches agrave refaire touchant la fourniture de solutions et de services bull Preacuteserver le succegraves des objectifs informatiques


induit

induit

Meacutetriq

ues

bull Nb de problegravemes reacutecurrents qui ont des conseacutequences sur lrsquoactiviteacute bull Nb drsquointerruptions de lrsquoactiviteacute provoqueacutees par des problegravemes drsquoexploitation

bull Pourcentage de problegravemes enregistreacutes et suivis bull Pourcentage de problegravemes reacutecurrents (dans une peacuteriode de temps donneacutee) selon leur graviteacute bull Pourcentage de problegravemes reacutesolus dans les deacutelais requis bull Nb de problegravemes identifieacutesnouveauxclocirctureacutes selon leur graviteacute bull Moyenne et eacutecart type du deacutelai entre lrsquoidentification et la reacutesolution drsquoun problegraveme bull Moyenne et eacutecart type du deacutelai entre la reacutesolution drsquoun problegraveme et sa clocircture

bull Deacutelai moyen entre lrsquoenregistrement drsquoun problegraveme et lrsquoidentification de la cause initiale bull Pourcentage de problegravemes pour lesquels on a entrepris une analyse causale bull Freacutequence des rapports ou des mises agrave jour concernant un problegraveme persistant selon la graviteacute du problegraveme

Processus

bull Enregistrer et suivre les problegravemes drsquoexploitation jusqursquoagrave leur reacutesolution bull Chercher la cause initiale de tous les problegravemes significatifs bull Deacutefinir des solutions pour les problegravemes drsquoexploitation identifieacutes

Activiteacutes

bull Donner une autoriteacute suffisante au responsable de la gestion des problegravemes bull Faire lrsquoanalyse causale des problegravemes identifieacutes bull Analyser les tendances bull Assumer la proprieacuteteacute des problegravemes et faire avancer leur reacutesolution






La gestion du processus Geacuterer les problegravemes qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique assurer la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services reacuteduire les deacutefauts des solutions et de la fourniture de services et diminuer la quantiteacute de travail agrave refaire est

0 Inexistante quand

On nrsquoa pas conscience du besoin de geacuterer les problegravemes car on ne fait pas de diffeacuterence entre les problegravemes et les incidents Il nrsquoy a donc pas de tentatives pour identifier les causes initiales des incidents


Le personnel reconnaicirct le besoin de geacuterer les problegravemes et drsquoeacuteliminer les causes Des personnes cleacutes apportent leur aide pour des problegravemes qui relegravevent de leur speacutecialiteacute mais la responsabiliteacute de la gestion des problegravemes nrsquoest pas attribueacutee Lrsquoinformation nrsquoest pas partageacutee ce qui fait naicirctre des problegravemes suppleacutementaires et une perte de temps productif pendant qursquoon cherche des reacuteponses


On est largement conscient du besoin et de lrsquoavantage de geacuterer les problegravemes lieacutes aux SI aussi bien dans les uniteacutes meacutetiers quau sein de la fonction informatique Le processus de reacutesolution eacutevolue et est deacutesormais entre les mains de quelques individus cleacutes qui ont la responsabiliteacute drsquoidentifier et de reacutesoudre les problegravemes Lrsquoinformation est partageacutee parmi les employeacutes de faccedilon informelle et en fonction des circonstances Le niveau de services fournis agrave la communauteacute des utilisateurs est variable et est entraveacute par le manque de connaissances structureacutees accessibles au responsable de la gestion des problegravemes


Le besoin drsquoun systegraveme inteacutegreacute de gestion des problegravemes efficace est accepteacute et soutenu par le management et on dispose de budgets pour le personnel et pour la formation Les processus de reacutesolution et drsquoescalade ont eacuteteacute standardiseacutes La recherche et lenregistrement des problegravemes et de leurs solutions sont reacutepartis au sein de leacutequipe de traitement des problegravemes de faccedilon fragmentaire on utilise les outils disponibles mais il nrsquoy a pas de centralisation On ne deacutetectera vraisemblablement pas les eacutecarts par rapport aux normes et aux standards eacutetablis Lrsquoinformation est partageacutee par le personnel de faccedilon proactive et formelle Le management passe les incidents en revue et fait une analyse de lrsquoidentification et de la reacutesolution des problegravemes mais de faccedilon limiteacutee et informelle


Tous les niveaux de lentreprise ont compris le processus de gestion des problegravemes On a clairement reacuteparti les responsabiliteacutes et la proprieacuteteacute du processus On a documenteacute les meacutethodes et les proceacutedures on les a communiqueacutees et on a mesureacute leur efficaciteacute La majoriteacute des problegravemes sont identifieacutes enregistreacutes et rapporteacutes et leur reacutesolution est mise en chantier On cultive et on entretient le niveau de connaissances et de compeacutetence on leacutelegraveve agrave des niveaux de plus en plus eacuteleveacutes du fait que la fonction reacutesolution des problegravemes est consideacutereacutee comme un atout essentiel pour atteindre les objectifs informatique et pour lrsquoameacutelioration des services informatiques La gestion des problegravemes est bien inteacutegreacutee aux processus qui lui sont lieacutes tels que gestion des incidents des changements de la disponibiliteacute et de la configuration elle aide les clients agrave geacuterer les donneacutees les eacutequipements et lexploitation On srsquoest mis drsquoaccord sur les ICP et le ICO du processus de gestion des problegravemes


Le processus de gestion des problegravemes eacutevolue il est deacutesormais capable danticiper agrave plus long terme contribuant ainsi aux objectifs des SI On anticipe et on preacutevient les problegravemes On entretient les connaissances gracircce agrave des contacts reacuteguliers avec les fournisseurs et les experts sur des types de problegravemes passeacutes ou agrave venir Lenregistrement le compte rendu et lanalyse des problegravemes et de leur reacutesolution sont automatiseacutes et pleinement inteacutegreacutes agrave la gestion des donneacutees de configuration On mesure reacuteguliegraverement les objectifs La plupart des systegravemes ont eacuteteacute eacutequipeacutes de meacutecanismes de deacutetection et drsquoalertes automatiques qui sont suivis et eacutevalueacutes en permanence On analyse le processus de gestion des problegravemes pour son ameacutelioration continue en fonction des mesures et on en fait des comptes-rendus aux parties prenantes










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P

Deacutelivrer et Supporter Geacuterer les donneacutees DS11


DS11 Geacuterer les donneacutees

Une gestion efficace des donneacutees impose drsquoidentifier les exigences qui les concernent Le processus de gestion des donneacutees neacutecessite aussi de mettre en place des proceacutedures efficaces pour geacuterer la meacutediathegraveque les sauvegardes et la restauration des donneacutees et lrsquoeacutelimination des meacutedias de faccedilon approprieacutee Une gestion efficace des donneacutees aide agrave garantir la qualiteacute et la disponibiliteacute au moment opportun des donneacutees meacutetiers

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P


Geacuterer les donneacutees


optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin


lrsquoexhaustiviteacute lrsquoexactitude la disponibiliteacute et la protection des donneacutees


bull sauvegardant les donneacutees et en testant leur restauration bull geacuterant le stockage des donneacutees sur site et hors site bull disposant drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel


bull le pourcentage drsquoutilisateurs satisfaits de la disponibiliteacute des donneacutees bull le pourcentage de restaurations des donneacutees reacuteussies bull le nombre drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute restaureacutees apregraves la

mise au rebut des meacutedias





SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS11 Geacuterer les donneacutees



DS111 Exigences des meacutetiers pour la gestion des donneacutees Veacuterifier qursquoon reccediloit toutes les donneacutees attendues drsquoun traitement et qursquoelles sont traiteacutees complegravetement avec justesse en temps opportun et que tous les reacutesultats sont fournis conformeacutement aux exigences des meacutetiers Prendre en compte les besoins de redeacutemarrage et de retraitement

DS112 Dispositifs de stockage et de conservation Deacutefinir et mettre en place des proceacutedures efficaces et efficientes de stockage de conservation et drsquoarchivage des donneacutees en reacuteponse aux objectifs des meacutetiers ainsi qursquoaux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires

DS113 Systegraveme de gestion de la meacutediathegraveque Deacutefinir et mettre en place des proceacutedures pour tenir agrave jour un inventaire des meacutedias stockeacutes et archiveacutes de faccedilon agrave srsquoassurer qursquoils sont utilisables et garantir leur inteacutegriteacute

DS114 Mise au rebut Deacutefinir et mettre en œuvre des proceacutedures permettant de srsquoassurer que les exigences des meacutetiers en termes de protection de donneacutees sensibles et de logiciels sont satisfaites lors de la mise au rebut ou du transfert de donneacutees et de mateacuteriel

DS115 Sauvegarde et restauration Deacutefinir et mettre en place des proceacutedures pour la sauvegarde et la restauration des systegravemes des applications des donneacutees et de la documentation conformes aux exigences des meacutetiers et au plan de continuiteacute

DS116 Exigences de seacutecuriteacute pour la gestion des donneacutees Deacutefinir et mettre en place des politiques et proceacutedures pour identifier et mettre en œuvre les exigences de seacutecuriteacute applicables agrave la reacuteception au traitement au stockage physique et agrave la sortie de donneacutees conformeacutement aux objectifs des meacutetiers aux exigences de la politique de seacutecuriteacute de lrsquoentreprise et aux exigences reacuteglementaires



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees

PO2 Dictionnaire des donneacutees classifications attribueacutees aux donneacutees


DS1 CE

DS4 Plans de stockage et de protection des sauvegardes

DS5 Plan et politiques de seacutecuriteacute informatique

Sorties Vers Rapports sur la performance des processus SE1 Instructions drsquoexploitation pour la gestion des donneacutees DS13

Traduire en proceacutedures les exigences de stockage et de conservation des donneacutees A I C R C

Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour geacuterer la meacutediathegraveque A R C C I C

Deacutefinir tenir agrave jour et mettre en place les proceacutedures pour une mise au rebut seacutecuriseacutee des meacutedias et des eacutequipements

A C R I C

Sauvegarder les donneacutees selon le plan preacutevu A R

Deacutefinir tenir agrave jour et mettre en place les proceacutedures de restauration des donneacutees A C R C C I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Optimiser lrsquoutilisation de lrsquoinformation bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Assurer la conformiteacute des SI aux lois et regraveglements


induit

induit

Meacutetriq

ues

bull Nb de fois ougrave il a eacuteteacute impossible des reacutecupeacuterer des donneacutees vitales pour lrsquoactiviteacute des meacutetiers bull Pourcentage dutilisateurs satisfaits de la disponibiliteacute des donneacutees bull Nb dincidents de non-conformiteacute aux lois agrave cause de problegravemes de gestion des donneacutees

bull Pourcentage de restaurations de donneacutees reacuteussies bull Nb drsquoincidents au cours desquels des donneacutees sensibles ont eacuteteacute reacutecupeacutereacutees apregraves la mise au rebut des meacutedias bull Nb de pannes ou drsquoincidents affectant lrsquointeacutegriteacute des donneacutees du fait de capaciteacutes de stockage insuffisantes

bull Freacutequence des tests des meacutedias de sauvegarde bull Deacutelai moyen pour la restauration des donneacutees

Processus

bull Srsquoassurer que les donneacutees stockeacutees restent complegravetes exactes valides et accessibles bull Assurer la seacutecuriteacute des donneacutees lors de la mise au rebut des medias bull Geacuterer efficacement le stockage des meacutedias

Activiteacutes

bull Sauvegarder les donneacutees et tester leur restauration bull Geacuterer le stockage des donneacutees sur site et hors site bull Disposer drsquoun moyen sucircr drsquoeacuteliminer les donneacutees et le mateacuteriel






La gestion du processus Geacuterer les donneacutees qui reacutepond agrave lexigence des meacutetiers vis-agrave-vis de lrsquoinformatique optimiser lrsquoutilisation de lrsquoinformation et srsquoassurer qursquoelle est disponible lorsqursquoon en a besoin est

0 Inexistante quand

Les donneacutees ne sont pas consideacutereacutees comme des ressources ni comme des actifs de lrsquoentreprise Elles nont pas de proprieacutetaire et personne nest individuellement responsable de leur gestion La qualiteacute et la seacutecuriteacute des donneacutees sont faibles ou nulles


Lrsquoentreprise reconnaicirct le besoin drsquoune gestion efficace des donneacutees Il existe une approche au cas par cas pour speacutecifier les exigences de seacutecuriteacute concernant la gestion des donneacutees mais il nrsquoexiste pas de proceacutedures formelles de communication Il nrsquoy a pas de formation sur la gestion des donneacutees La responsabiliteacute de la gestion des donneacutees nrsquoest pas claire Les proceacutedures de sauvegarderestauration et les dispositifs de mise au rebut sont en place


La conscience du besoin drsquoune gestion preacutecise des donneacutees existe dans lrsquoensemble de lrsquoentreprise On commence agrave attribuer la proprieacuteteacute des donneacutees agrave haut niveau Les exigences de seacutecuriteacute pour la gestion des donneacutees sont documenteacutees par des individus cleacutes On fait une certaine surveillance des activiteacutes cleacutes de gestion des donneacutees au sein de lrsquoinformatique (par ex sauvegarde restauration destruction) On a attribueacute de faccedilon informelle les responsabiliteacutes de la gestion des donneacutees agrave des individus cleacutes de lrsquoinformatique


On a compris et accepteacute le besoin de gestion des donneacutees dans toute lorganisation La responsabiliteacute de la gestion des donneacutees est eacutetablie La proprieacuteteacute des donneacutees est attribueacutee au groupe responsable qui controcircle lrsquointeacutegriteacute et la seacutecuriteacute Les proceacutedures de gestion des donneacutees sont formaliseacutees au sein de lrsquoinformatique et on utilise certains outils de sauvegarderestauration et de mise au rebut des eacutequipements Une certaine surveillance de la gestion des donneacutees est en place Les meacutetriques de base de performance sont deacutefinies On commence agrave voir des formations pour le personnel en charge de la gestion des donneacutees


On comprend le besoin de geacuterer les donneacutees et on accepte les actions neacutecessaires agrave cet objectif dans lrsquoentreprise Les responsabiliteacutes de la proprieacuteteacute et de la gestion des donneacutees sont clairement deacutefinies attribueacutees et communiqueacutees dans lrsquoentreprise On a formaliseacute les proceacutedures elles sont largement connues et on partage les connaissances On commence agrave utiliser les outils disponibles Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients et surveilleacutes au moyen drsquoun processus bien deacutefini Une formation formaliseacutee agrave lrsquointention du personnel de gestion des donneacutees est en place


Le besoin de geacuterer les donneacutees et toutes les actions neacutecessaires agrave cet objectif sont compris et accepteacutes dans lrsquoentreprise On analyse de faccedilon proactive les besoins et les exigences futurs On a clairement eacutetabli les responsabiliteacutes de la proprieacuteteacute des donneacutees et de leur gestion elles sont largement connues dans lrsquoentreprise et reacuteviseacutees lorsque crsquoest opportun On a formaliseacute les proceacutedures elles sont largement connues et le partage les connaissances est devenu une pratique standard On utilise des outils sophistiqueacutes et automatiseacutes au maximum pour la gestion des donneacutees Les indicateurs de performance et drsquoobjectifs sont adopteacutes en accord avec les clients ils sont lieacutes aux objectifs des meacutetiers et reacuteguliegraverement surveilleacutes au moyen drsquoun processus bien deacutefini On explore en permanence les opportuniteacutes drsquoameacutelioration On a institutionnaliseacute la formation du personnel de gestion des donneacutees










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP

Deacutelivrer et Supporter Geacuterer lrsquoenvironnement physique DS12


DS12 Geacuterer lrsquoenvironnement physique

La protection des eacutequipements informatiques et du personnel exige des installations mateacuterielles bien conccedilues et bien geacutereacutees Le processus de gestion de lrsquoenvironnement mateacuteriel comporte la deacutefinition des exigences du site physique le choix des installations adeacutequates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accegraves physiques La gestion efficace de lrsquoenvironnement physique reacuteduit les risques drsquointerruption de lrsquoactiviteacute du fait de dommages subis par le mateacuteriel informatique et par le personnel




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP



Geacuterer lrsquoenvironnement physique


proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute


la fourniture et la maintenance drsquoun environnement physique adapteacute pour proteacuteger lrsquoaccegraves aux ressources informatiques leur deacuteteacuterioration ou leur vol


bull mettant en place des mesures de seacutecuriteacute bull seacutelectionnant et en geacuterant les installations


bull le nombre drsquointerruptions de service dues agrave des incidents touchant lrsquoenvironnement physique

bull le nombre drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull la freacutequence des eacutevaluations et des revues du risque physique

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures


Deacutelivrer et Supporter DS12 Geacuterer lrsquoenvironnement physique



DS121 Seacutelection du site et agencement Deacutefinir et seacutelectionner les sites physiques des eacutequipements informatiques en conformiteacute avec la strateacutegie informatique elle-mecircme lieacutee agrave la strateacutegie des meacutetiers La seacutelection et la conception de lrsquoagencement drsquoun site doivent prendre en compte les risques lieacutes aux sinistres drsquoorigine naturelle ou humaine ainsi que les lois et regraveglements concernant par exemple la meacutedecine du travail et les reacuteglementations sur la seacutecuriteacute

DS122 Mesures de seacutecuriteacute physique Deacutefinir et mettre en place des mesures de seacutecuriteacute physique conformes aux exigences des meacutetiers pour seacutecuriser le site et les actifs physiques Les mesures de seacutecuriteacute physique doivent permettre de preacutevenir deacutetecter et reacuteduire de maniegravere efficace les risques lieacutes au vol agrave la tempeacuterature agrave lrsquoincendie agrave la fumeacutee agrave lrsquoeau aux vibrations au terrorisme au vandalisme aux pannes drsquoeacutelectriciteacute aux produits chimiques et aux explosifs

DS123 Accegraves physique Deacutefinir et mettre en place les proceacutedures drsquoautorisation de limitation et de suppression drsquoaccegraves aux sites bacirctiments et zones selon les besoins des meacutetiers sans oublier les cas drsquourgence Les accegraves aux sites bacirctiments et zones doivent ecirctre justifieacutes autoriseacutes enregistreacutes et faire lrsquoobjet drsquoune surveillance Cela doit srsquoappliquer agrave toutes les personnes qui entrent sur le site y compris le personnel permanent ou temporaire les clients les fournisseurs les visiteurs et tout autre tiers

DS124 Protection contre les risques lieacutes agrave lenvironnement Eacutelaborer et mettre en place des mesures de protection contre les facteurs environnementaux Installer des eacutequipements et des dispositifs speacutecialiseacutes pour surveiller et controcircler lenvironnement

DS125 Gestion des installations mateacuterielles Geacuterer les installations y compris les eacutequipements eacutelectriques et de communication conformeacutement aux lois et regraveglements aux exigences techniques et meacutetiers aux speacutecifications des fournisseurs et aux regravegles concernant la santeacute et la seacutecuriteacute



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



AI3 Exigences de lrsquoenvironnement physique

Sorties Vers Rapports sur la performance des processus SE1

Deacutefinir le niveau de protection physique requis C AR C C

Choisir le site et se le faire attribuer (centre de traitement bureaux etc) I C C C C AR C C C C

Mettre en place des mesures relatives agrave lrsquoenvironnement physique I AR I I C

Geacuterer lrsquoenvironnement physique (y compris maintenance surveillance comptesshyrendus) AR C

Deacutefinir et mettre en place les proceacutedures drsquoaccegraves physique drsquoautorisation et de mise agrave jour C I AR I I I C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesister convenablement agrave une panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre et se reacutetablir bull Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder bull Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute bull Proteacuteger tous les actifs informatiques et en ecirctre comptable


induit

induit

Meacutetriq

ues

bull Nb dinterruptions de service dues agrave des incidents touchant lrsquoenvironnement physique bull Nb de blessures provoqueacutees par lrsquoenvironnement physique bull Nb de mises en cause de la seacutecuriteacute du fait drsquoincidents qui ont pour origine lrsquoenvironnement physique

bull Nb drsquoincidents dus agrave des problegravemes de seacutecuriteacute physique ou agrave des pannes bull Nb drsquoaccegraves non autoriseacutes aux installations informatiques

bull Freacutequence des sessions de formation du personnel aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Pourcentage du personnel formeacute aux mesures de seacutecuriteacute et agrave lutilisation des eacutequipements de seacutecuriteacute bull Nb de tests de reacuteduction des risques effectueacutes au cours de lrsquoanneacutee eacutecouleacutee bull Freacutequence des eacutevaluations et des revues du risque physique

bull Mettre en place des mesures de seacutecuriteacute physique bull Seacutelectionner et geacuterer les installations avec rigueur

Processus

bull Fournir et maintenir agrave niveau un environnement physique adapteacute aux infrastructures et aux ressources informatiques bull Interdire lrsquoaccegraves agrave lrsquoenvironnement physique de ceux qui nrsquoen ont pas besoin






La gestion du processus Geacuterer lrsquoenvironnement physique qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique de proteacuteger les actifs informatiques et les donneacutees meacutetiers et reacuteduire le risque drsquointerruption de lrsquoactiviteacute est

0 Inexistante quand

Personne na conscience de la neacutecessiteacute de proteacuteger les installations ou les investissements en ressources informatiques On nexerce ni surveillance ni controcircle sur les facteurs de risques environnementaux comme le feu la poussiegravere leacutelectriciteacute ou les excegraves de chaleur ou dhumiditeacute


Lentreprise admet quil est neacutecessaire pour lactiviteacute professionnelle de mettre en place un environnement physique adapteacute qui protegravege les ressources et le personnel contre les dangers dorigine naturelle ou humaine La gestion des installations et des eacutequipements ne deacutepend que des compeacutetences et aptitudes de certains individus cleacutes Le personnel peut circuler dans les locaux sans restriction Le management ne surveille pas le controcircle de lenvironnement des installations ni les mouvements du personnel


Les controcircles de lenvironnement sont mis en place et suivis par le personnel dexploitation La seacutecuriteacute physique est un processus informel initieacute par un petit groupe demployeacutes tregraves sensibles agrave la seacutecuriteacute des installations mateacuterielles Les proceacutedures de maintenance des installations ne sont pas bien documenteacutees et sappuient sur les bonnes pratiques de quelques individus Les objectifs de seacutecuriteacute physique ne sont baseacutes sur aucune norme formelle et le management ne sassure pas que les objectifs sont atteints


Le besoin de maintenir un environnement informatique controcircleacute est compris et accepteacute dans lentreprise Les controcircles environnementaux la maintenance preacuteventive et la seacutecuriteacute physique sont des postes budgeacutetaires approuveacutes et suivis par les dirigeants On applique des restrictions daccegraves et seul le personnel accreacutediteacute peut acceacuteder aux installations informatiques On enregistre les visiteurs et on les escorte si cela paraicirct neacutecessaire Les installations mateacuterielles ne se font pas remarquer et ne sont pas identifiables au premier coup dœil Les autoriteacutes civiles surveillent la conformiteacute avec les regravegles dhygiegravene et de seacutecuriteacute Lentreprise a contracteacute une assurance risques mais leffort pour optimiser son coucirct est minime


Le besoin de maintenir un environnement informatique controcircleacute apparaicirct comme une eacutevidence dans la structure de lentreprise et dans lattribution du budget Les exigences de seacutecuriteacute de lenvironnement et des installations sont documenteacutees et les accegraves sont strictement controcircleacutes et surveilleacutes On a deacutesigneacute les responsables et les proprieacutetaires et on a fait connaicirctre leurs noms Le personnel qui travaille sur les installations est complegravetement formeacute aux situations durgence ainsi quaux pratiques dhygiegravene et de seacutecuriteacute Des meacutecanismes de controcircle standardiseacutes sont en place pour restreindre les accegraves aux installations et pour agir sur les facteurs denvironnement et de seacutecuriteacute Le management surveille lefficaciteacute des controcircles et leur conformiteacute aux normes eacutetablies Le management a mis au point des objectifs et des meacutetriques pour eacutevaluer la gestion de lrsquoenvironnement informatique La possibiliteacute de reacutetablir les ressources informatiques fait partie du processus de gestion des risques de lrsquoentreprise On integravegre lrsquoinformation pour optimiser la couverture des assurances et leur coucirct


Il existe un plan agrave long terme qui concerne les installations neacutecessaires agrave lenvironnement informatique de lentreprise On a deacutefini pour toutes les installations des normes qui sappliquent au choix des sites agrave la construction au gardiennage au personnel de seacutecuriteacute aux systegravemes meacutecaniques et eacutelectriques agrave la protection contre les risques lieacutes agrave lrsquoenvironnement (ex feu foudre inondations) Toutes les installations sont inventorieacutees et classeacutees en conformiteacute avec le processus continu de gestion des risques de lentreprise Les accegraves sont strictement controcircleacutes et surveilleacutes en permanence en fonction des besoins professionnels et les visiteurs sont systeacutematiquement escorteacutes Lenvironnement est surveilleacute et controcircleacute au moyen de mateacuteriels speacutecialiseacutes et personne nrsquoest preacutesent dans les locaux techniques On eacutevalue et on mesure reacuteguliegraverement les objectifs Les programmes de maintenance preacuteventive suivent en pratique un respect strict des plannings et on fait reacuteguliegraverement subir des tests aux eacutequipements sensibles La strateacutegie et les normes qui concernent les installations sont aligneacutees sur les objectifs de disponibiliteacute des services informatiques et elles font partie inteacutegrante de la planification de la continuiteacute de lactiviteacute de lentreprise et de la gestion de crise Le management passe en revue et optimise les installations reacuteguliegraverement en srsquoappuyant sur les objectifs et les meacutetriques et il profite des occasions qui se preacutesentent pour ameacuteliorer la contribution des SI aux meacutetiers










GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS

Deacutelivrer et Supporter Geacuterer lrsquoexploitation DS13


DS13 Geacuterer lrsquoexploitation

Pour un traitement complet et exact des donneacutees il faut une gestion efficace des proceacutedures de traitement des donneacutees et une maintenance appliqueacutee du mateacuteriel informatique Ce processus implique de deacutefinir des politiques et des proceacutedures drsquoexploitation neacutecessaires agrave une gestion efficace des traitements programmeacutes de proteacuteger les sorties sensibles de surveiller lrsquoinfrastructure et drsquoeffectuer une maintenance preacuteventive du mateacuteriel La gestion efficace de lrsquoexploitation aide agrave maintenir lrsquointeacutegriteacute des donneacutees et agrave reacuteduire les deacutelais et les coucircts drsquoexploitation informatique




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS



Geacuterer lrsquoexploitation


maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances


la gestion des niveaux de services drsquoexploitation pour les traitements programmeacutes la protection des sorties sensibles et la surveillance et la maintenance de lrsquoinfrastructure


bull exploitant lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus et aux instructions deacutefinies

bull assurant la maintenance de lrsquoinfrastructure informatique


bull le nombre de contrats de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull le nombre drsquoheures drsquoinactiviteacute non preacutevues provoqueacutees par des incidents drsquoexploitation bull le pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance

preacuteventive

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Deacutelivrer et Supporter DS13 Geacuterer lrsquoexploitation



DS131 Proceacutedures et instructions drsquoexploitation Deacutefinir mettre en place et tenir agrave jour des proceacutedures standard pour lrsquoexploitation informatique en srsquoassurant que le personnel connaicirct bien toutes les tacircches drsquoexploitation qui deacutependent de lui Les proceacutedures drsquoexploitation doivent tenir compte des changements drsquoeacutequipes (passation des consignes formaliseacutee eacutetats drsquoavancement problegravemes drsquoexploitation proceacutedures drsquoescalade et rapports sur les responsabiliteacutes en cours) pour reacutepondre aux contrats de services convenus et garantir la continuiteacute de lrsquoexploitation

DS132 Planification des travaux Organiser la planification des travaux processus et tacircches selon la seacutequence la plus efficace en optimisant le deacutebit et lrsquoutilisation des ressources pour reacutepondre aux exigences des meacutetiers

DS133 Surveillance de lrsquoinfrastructure informatique Deacutefinir et mettre en place des proceacutedures pour surveiller lrsquoinfrastructure informatique et les eacuteveacutenements qui srsquoy rapportent Srsquoassurer qursquoun historique suffisant des opeacuterations est stockeacute dans les journaux dexploitation pour permettre la reconstruction la revue et lanalyse des seacutequences chronologiques des traitements et des autres activiteacutes lieacutees agrave ces traitements ou leur apportant un soutien

DS134 Documents sensibles et dispositifs de sortie Mettre en place des dispositifs de seacutecuriteacute physique approprieacutes les pratiques de comptabiliteacute et de gestion drsquoinventaires pour les actifs informatiques sensibles comme les formulaires speacuteciaux les effets de commerce les imprimantes speacutecialiseacutees et les systegravemes drsquoidentification

DS135 Maintenance preacuteventive du mateacuteriel Deacutefinir et mettre en place des proceacutedures pour garantir la maintenance en temps opportun de lrsquoinfrastructure afin de reacuteduire la freacutequence et les conseacutequences de deacutefaillances ou de deacutegradation des performances



DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees


AI7 Plans de mises en production de publication et de diffusion de logiciels

DS1 CS et CE

DS4 Plan de stockage et de protection des sauvegardes


DS11

Instructions drsquoexploitation pour la gestion des donneacutees

Sorties Vers Tickets drsquoincidents DS8 Historiques des erreurs DS10 Rapports sur la performance des processus SE1

Tableau RACI

Activiteacutes

Creacuteermodifier les proceacutedures drsquoexploitation (comme manuels listes de controcircle planning des changements drsquoeacutequipes documentation pour la passation des consignes proceacutedures drsquoescalade etc)

AR I

Programmer la charge de travail et les traitements par lots C AR C C

Surveiller lrsquoinfrastructure et le traitement et reacutesoudre les problegravemes AR I

Geacuterer les sorties et en assurer la seacutecuriteacute (par exemple papier supports eacutelectroniques) AR C

Appliquer les correctifs et les modifications au planning et agrave lrsquoinfrastructure C AR C C C

Mettre en place un processus pour preacuteserver les systegravemes drsquoauthentification des intrusions des pertes et du vol A R I C

Planifier et effectuer une maintenance preacuteventive AR

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs

bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services bull Srsquoassurer que les services informatiques sont disponibles dans les conditions requises

induit

induit

Meacutetriq

ues

bull Nb de niveaux de services ayant eu agrave pacirctir drsquoincidents drsquoexploitation bull Nb drsquoheures drsquoinactiviteacute non preacutevues dues agrave des incidents drsquoexploitation

bull Nb drsquointerruptions de service et de retards provoqueacutes par le non respect des proceacutedures drsquoexploitation bull Pourcentage de traitements programmeacutes et de traitements speacuteciaux exeacutecuteacutes avec retard bull Nb drsquointerruptions de service et de retards provoqueacutes par des proceacutedures inadapteacutees

bull Nb de journeacutees de formation par personnel drsquoexploitation et par an bull Pourcentage drsquoactifs mateacuteriels pris en compte dans les programmes de maintenance preacuteventive bull Pourcentage de programmes de travail automatiseacutes bull Freacutequence des mises agrave jour des proceacutedures drsquoexploitation

Processus

bull Deacutefinir des proceacutedures drsquoexploitation conformes aux niveaux de services convenus bull Effectuer les traitements programmeacutes et les demandes de traitements speacuteciaux conformeacutement aux niveaux de services convenus bull Mettre en place des dispositifs de seacutecuriteacute physique pour les informations sensibles

Activiteacutes

bull Exploiter lrsquoenvironnement informatique conformeacutement aux niveaux de services convenus avec les instructions deacutefinies et une supervision eacutetroite bull Assurer une maintenance preacuteventive et une surveillance de lrsquoinfrastructure informatique







La gestion du processus Geacuterer lrsquoexploitation qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique maintenir lrsquointeacutegriteacute des donneacutees et garantir que lrsquoinfrastructure informatique peut reacutesisterse reacutetablir en cas drsquoerreurs ou de deacutefaillances est

0 Inexistante quand

Lentreprise ne consacre ni temps ni ressources agrave la mise en place des eacuteleacutements de base dune activiteacute drsquoassistance informatique ou drsquoactiviteacutes drsquoexploitation informatique


Lentreprise admet quil faut structurer les fonctions de support informatique Cependant on na eacutetabli que peu de proceacutedures standard et les activiteacutes drsquoexploitation nrsquointerviennent qursquoau cas par cas La plus grande partie de lexploitation nest pas formellement planifieacutee et les demandes de traitements informatiques sont accepteacutees sans validation preacutealable Les ordinateurs les systegravemes et les applications qui assistent les processus meacutetiers sont souvent interrompus retardeacutes indisponibles Les employeacutes perdent du temps agrave attendre des ressources disponibles Les reacutesultats des traitements sortent parfois agrave des endroits inattendus ou pas du tout


Lentreprise est consciente du rocircle essentiel que joue lrsquoexploitation informatique en assurant des fonctions drsquoassistance informatique On attribue au cas par cas les budgets pour les outils informatiques Lassistance de linformatique aux autres fonctions est informelle et intuitive On deacutepend largement des compeacutetences et des aptitudes de certains individus Les instructions preacutecisant ce quil faut faire quand et dans quel ordre ne sont pas documenteacutees Il existe des formations drsquoexploitant et il existe quelques normes officielles de fonctionnement


La neacutecessiteacute dune gestion de lexploitation informatique est comprise et accepteacutee dans lentreprise On attribue les ressources correspondantes et certaines formations sont faites sur le tas Les fonctions reacutepeacutetitives sont formellement deacutefinies standardiseacutees documenteacutees et diffuseacutees Les eacuteveacutenements et les reacutesultats des travaux acheveacutes sont enregistreacutes avec des comptes-rendus succincts au management On introduit lutilisation doutils de planification automatique et autres pour limiter les interventions humaines On introduit des controcircles pour la mise en traitement de nouveaux travaux On deacuteveloppe une politique formelle pour reacuteduire le nombre drsquoeacuteveacutenements impreacutevus Les contrats de maintenance et de services avec les fournisseurs sont encore de nature informelle


On a clairement deacutefini les responsabiliteacutes de lexploitation informatique et des activiteacutes de support et on en a deacutesigneacute les proprieacutetaires On a deacutegageacute pour lexploitation des ressources dans les budgets dinvestissements et dans les ressources humaines La formation est formaliseacutee et permanente Les plannings et les tacircches sont documenteacutes et diffuseacutes agrave la fois au sein de la fonction informatique et aux clients meacutetiers Il est possible de mesurer et de surveiller les activiteacutes quotidiennes en relation avec les contrats de performance standard et les niveaux de services convenus On relegraveve et on corrige rapidement tout eacutecart par rapport aux normes eacutetablies Le management surveille lutilisation des ressources informatiques et la bonne fin des travaux et des tacircches assigneacutees Il existe un effort constant pour ameacuteliorer le niveau dautomatisation des processus comme moyen drsquoameacutelioration continue On a eacutetabli des contrats formels de maintenance et de services avec les fournisseurs Lalignement est total avec les processus de gestion des problegravemes et de la capaciteacute entre autres gracircce agrave lanalyse des causes des eacutechecs et des erreurs


Le support informatique et lexploitation sont efficaces efficients et suffisamment souples pour atteindre les niveaux de services souhaiteacutes avec des pertes de productiviteacute minimales Les processus de gestion de lexploitation sont standardiseacutes et documenteacutes dans une base de connaissances et sont sujets agrave de continuelles ameacuteliorations Les processus automatiseacutes qui supportent les systegravemes fonctionnent sans agrave-coups et contribuent agrave un environnement stable On analyse tous les problegravemes et les eacutechecs pour trouver les causes initiales Des reacuteunions reacuteguliegraveres avec leacutequipe de gestion des changements permettent dinclure en temps utile des modifications dans les plannings de production Lacircge et les disfonctionnements des mateacuteriels sont analyseacutes en coopeacuteration avec les fournisseurs et la maintenance devient essentiellement preacuteventive



SE1 Surveiller et eacutevaluer la performance des SI SE2 Surveiller et eacutevaluer le controcircle interne SE3 Srsquoassurer de la conformiteacute aux obligations externes SE4 Mettre en place une gouvernance des SI

SUR

VE

ILL

ER

ET

EacuteV

AL

UE

R









PP SS S SS

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

Surveiller et Evaluer Surveiller et eacutevaluer la performance des SI SE1


SE1 Surveiller et eacutevaluer les performances des SI

Une gestion efficace des SI exige un processus de surveillance Ce processus inclut la deacutefinition dindicateurs pertinents de performance la publication systeacutematique et en temps opportun de rapports sur la performance et une reacuteaction rapide aux anomalies Il faut une surveillance pour srsquoassurer qursquoon fait ce qursquoil faut conformeacutement aux orientations et aux politiques deacutefinies

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS






Surveiller et eacutevaluer la performance des SI


transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance


la surveillance des meacutetriques des processus et leurs comptes-rendus et la recherche et la mise en place drsquoactions destineacutees agrave ameacuteliorer la performance


bull collationnant des rapports de performance et en les traduisant en rapports de gestion bull comparant les performances aux objectifs convenus et en mettant en place des actions correctrices

lorsque crsquoest neacutecessaire


bull la satisfaction du management et des responsables de la gouvernance agrave propos des rapports de performance

bull le nombre drsquoactions drsquoameacuteliorations susciteacutees par les activiteacutes de surveillance le nombre de processus critiques surveilleacutes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Surveiller et Evaluer SE1 Surveiller et eacutevaluer la performance des SI


SE1 Surveiller et eacutevaluer la performance des SI

SE11 Approche de la surveillance Constituer un reacutefeacuterentiel et une approche geacuteneacuterale de la surveillance qui deacutefinisse lrsquoeacutetendue la meacutethodologie et le processus agrave suivre pour mesurer la deacutelivrance de solutions et de services informatiques et surveiller la contribution des SI aux meacutetiers Inteacutegrer ce reacutefeacuterentiel au systegraveme de gestion des performances de lrsquoentreprise

SE12 Deacutefinition et collationnement des donneacutees de surveillance En associant les meacutetiers deacutefinir un ensemble eacutequilibreacute drsquoobjectifs de performance et les faire approuver par les meacutetiers et par les autres parties prenantes concerneacutees Mettre en place des analyses comparatives pour deacutefinir les objectifs et recenser les donneacutees neacutecessaires agrave collecter pour mesurer ces objectifs Mettre en place les processus pour collecter des donneacutees exactes au bon moment et rendre compte de la progression vers les objectifs viseacutes

SE13 Meacutethode de surveillance Mettre en place une meacutethode de surveillance (par ex tableau de bord eacutequilibreacute) qui prend en compte les objectifs enregistre les mesures offre une vision condenseacutee geacuteneacuterale de la performance des SI et est compatible avec le systegraveme de surveillance de lrsquoentreprise

SE14 Eacutevaluation de la performance Comparer peacuteriodiquement les performances aux objectifs analyser les causes des eacutecarts et initier des actions correctives pour traiter les causes sous-jacentes De temps en temps reacutealiser des analyses causales de ces eacutecarts

SE15 Comptes-rendus destineacutes au conseil drsquoadministration et agrave la direction geacuteneacuterale Produire agrave la direction geacuteneacuterale des rapports sur la contribution des SI aux meacutetiers particuliegraverement en ce qui concerne la performance du portefeuille de lrsquoentreprise les programmes drsquoinvestissements deacutependant de lrsquoinformatique et la performance des solutions et services deacutelivreacutes par chacun des programmes Les rapports indiquent dans quelle mesure les objectifs preacutevus ont eacuteteacute atteints les ressources budgeacutetiseacutees utiliseacutees les objectifs de performance preacutevus atteints et les risques reacuteduits Anticiper sur la revue qui en sera faite par la direction geacuteneacuterale en proposant des actions correctives pour remeacutedier aux eacutecarts les plus importants Fournir les rapports agrave la direction geacuteneacuterale et lui demander un retour apregraves revue

SE16 Actions correctives Deacutefinir et entreprendre les actions correctives qui srsquoappuient sur la surveillance lrsquoeacutevaluation et le compte-rendu de la performance Cela implique un suivi de toutes les actions de surveillance de compte-rendu et drsquoeacutevaluation par bull Lrsquoexamen la discussion et lrsquoeacutelaboration de propositions drsquoactions correctives par le management bull Lrsquoattribution de la responsabiliteacute de lrsquoaction corrective bull Le suivi des reacutesultats de cette action



DSI





ents


Bureau projet



CA DG DF Direction meacutetier

DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees

PO5 Rapports coucirctsbeacuteneacutefices

PO10 Rapports sur la performance des projets

AI6 Rapports sur le statut des changements

DS1shy13 Rapports sur la performance des processus


SE2 Rapport sur lrsquoefficaciteacute des controcircles informatiques

SE3 Rapports sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes

SE4 Etat de situation de la gouvernance des SI

Sorties Vers Entreacutee de la performance dans le planning SI PO1 PO2 DS1 Plans drsquoactions correctives PO4 PO8 Historique des eacuteveacutenements de risque et des tendances PO9 Rapports sur la performance des processus SE2

Bacirctir lrsquoapproche de surveillance A R C R I C I C I C

Identifier et faire la liste des objectifs mesurables qui vont dans le sens des objectifs meacutetiers C C C A R R R

Creacuteer des tableaux de bord A R C R C

Eacutevaluer la performance I I A R R C R C

Rendre compte de la performance I I I R A R R C R C I

Identifier et surveiller les actions destineacutees agrave ameacuteliorer la performance A R R C R C C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA Tableau RACI

Activiteacutes



Objectifs

bull Reacutepondre aux exigences de gouvernance en accord avec les orientations de la direction geacuteneacuteraledu CA bull Reacutepondre aux exigences des meacutetiers en accord avec la strateacutegie des meacutetiers bull Srsquoassurer que les SI font preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts des beacuteneacutefices de la strateacutegie des politiques et des niveaux de services des SI


induit

induit

Meacutetriq

ues

bull Nb de modifications drsquoobjectifs pour les indicateurs drsquoefficaciteacute et drsquoefficience des processus informatiques bull Taux de satisfaction du management et de la gouvernance agrave propos des rapports sur la performance bull Nb de reacuteduction du nombre de carences flagrantes des processus

bull Taux de satisfaction des parties prenantes par le processus de mesure bull Pourcentage de processus critiques surveilleacutes bull Nb drsquoactions drsquoameacuteliorations induites par les activiteacutes de surveillance bull Nb drsquoobjectifs de surveillance atteints (indicateurs controcircleacutes)

bull Deacutelai entre le rapport sur une deacutefaillance et le deacutebut de laction entreprise pour y remeacutedier bull Deacutelai pour mettre agrave jour les outils de mesure pour qursquoils reflegravetent veacuteritablement les objectifs de performance les mesures les cibles viseacutees et les tests comparatifs bull Nb de meacutetriques (par processus) bull Nb de relations de causes agrave effets deacutecouvertes et inteacutegreacutees dans la surveillance bull Nb efforts neacutecessaires pour reacuteunir les donneacutees de surveillance bull Nb de problegravemes non identifieacutes par les processus de mesure bull Pourcentage de meacutetriques qui permettent de se comparer aux standards et aux objectifs du secteur

Processus

bull Fixer des objectifs mesurables des ICO et des ICP pour les processus informatiques cleacutes bull Mesurer et surveiller et en rendre compte des meacutetriques des processus bull Identifier et mettre en place les actions destineacutees agrave ameacuteliorer la performance

Activiteacutes

bull Reacutecupeacuterer et rassembler les rapports sur la performance et les traduire en rapports de gestion bull Comparer les performances aux objectifs convenus et mettre en place des actions correctrices lorsque crsquoest neacutecessaire






La gestion du processus Surveiller et Eacutevaluer les performances des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique transparence et compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services informatiques conformeacutement aux exigences de la gouvernance est

0 Inexistante quand

Lentreprise na pas mis en place de processus de surveillance La DSI nexerce pas de faccedilon indeacutependante de surveillance des projets ou des processus On ne dispose pas en temps opportun de rapports utiles ou preacutecis On ne reconnaicirct pas le besoin de fixer des objectifs clairs pour les processus


Le management reconnaicirct le besoin de collecter et deacutevaluer des informations pour la surveillance des processus On na pas deacutefini de normes pour la collecte des informations et leacutevaluation des processus La surveillance est mise en place et les meacutetriques sont choisies au cas par cas en fonction des besoins de projets et de processus informatiques speacutecifiques La surveillance est geacuteneacuteralement mise en place suite agrave un incident qui a causeacute des pertes ou une gecircne agrave lentreprise La fonction comptable surveille les mesures financiegraveres de base concernant les SI


On identifie les mesures de base agrave surveiller Il existe des meacutethodes et des techniques de collecte et deacutevaluation mais les processus ne sont pas adopteacutes dans lrsquoensemble de lentreprise Lrsquointerpreacutetation des reacutesultats de la surveillance se base sur les compeacutetences drsquoindividus cleacutes On choisit et on met en place des outils limiteacutes pour collecter les informations mais sans planification


Le management communique et met en place des processus de surveillance standard Des programmes denseignement et de formation sur la surveillance sont mis en place On deacuteveloppe et formalise une base de connaissances qui conserve lhistorique des performances Leacutevaluation est encore faite individuellement pour certains projets et certains processus informatiques mais elle nest pas geacuteneacuteraliseacutee On met en place des outils de suivi des processus et des niveaux de services internes agrave linformatique On preacutecise comment mesurer la contribution de lrsquoinformatique aux performances de lentreprise en utilisant des critegraveres financiers et opeacuterationnels traditionnels On deacutefinit des mesures de performance des mesures non financiegraveres des mesures strateacutegiques des mesures de la satisfaction des clients et de niveaux de services speacutecifiques agrave lrsquoinformatique On deacutefinit un cadre de reacutefeacuterence pour mesurer la performance


Le management deacutefinit les marges de toleacuterance acceptables pour les processus Les rapports sur les reacutesultats de la surveillance sont standardiseacutes et normaliseacutes On integravegre des outils de mesure agrave tous les projets et processus informatiseacutes Les systegravemes de reporting de gestion de la fonction informatique de lrsquoentreprise sont formaliseacutes On integravegre des outils automatiques de collecte et de surveillance des informations sur lactiviteacute dans toute lentreprise et on les mobilise pour faire le suivi des applications des systegravemes et des processus Le management est capable drsquoeacutevaluer la performance en se basant sur des critegraveres approuveacutes par les parties prenantes Les mesures effectueacutees par la fonction informatique sont conformes aux objectifs geacuteneacuteraux de lrsquoentreprise


On deacuteveloppe un processus continu dameacutelioration de la qualiteacute pour mettre agrave niveau les standards et les politiques de surveillance agrave leacutechelle de lentreprise et pour adopter les meilleures pratiques de la profession Tous les processus de surveillance sont optimiseacutes et travaillent pour les objectifs geacuteneacuteraux de lentreprise On utilise couramment des meacutetriques inspireacutees par les meacutetiers pour mesurer les performances et on les integravegre dans les scheacutemas deacutevaluation strateacutegiques comme le tableau de bord eacutequilibreacute La surveillance et lrsquoameacutelioration permanente des processus sont conformes aux plans drsquoameacutelioration des processus meacutetiers dans lrsquoensemble de lrsquoentreprise Les tests comparatifs avec les autres entreprises et avec les principaux concurrents se sont formaliseacutes et utilisent des critegraveres de comparaison bien compris


GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S SS

Surveiller et Evaluer Surveiller et eacutevaluer le controcircle interne SE2


SE2 Surveiller et eacutevaluer le controcircle interne

Eacutetablir un programme efficace de controcircle interne de lrsquoinformatique impose de bien deacutefinir un processus de surveillance Ce processus comporte la surveillance et les rapports sur les anomalies releveacutees les reacutesultats des autoeacutevaluations et des revues par des tiers Un des beacuteneacutefices essentiel de la surveillance du controcircle interne est de fournir lrsquoassurance drsquoune exploitation efficace et efficiente et la conformiteacute aux lois et reacuteglementations en vigueur

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS






Surveiller et eacutevaluer le controcircle interne


proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI


la surveillance des processus de controcircle interne pour les activiteacutes lieacutees aux SI et identifier les actions qui permettront des ameacuteliorations


bull deacutefinissant un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull surveillant et en rendant compte de lrsquoefficaciteacute des controcircles internes des SI bull rapportant au management les anomalies deacutetecteacutees par les controcircles pour action


bull le nombre de manquements majeurs au controcircle interne bull le nombre dinitiatives visant agrave lameacutelioration du controcircle bull le nombre des autoeacutevaluations de controcircle interne et lrsquoeacuteventail drsquoactiviteacutes couvertes

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Surveiller et Evaluer SE2 Surveiller et eacutevaluer le controcircle interne



SE21 Surveillance du reacutefeacuterentiel de controcircle interne Surveiller comparer agrave lrsquoaide drsquoanalyses et ameacuteliorer de faccedilon continue lrsquoenvironnement de controcircle de lrsquoinformatique et le reacutefeacuterentiel de controcircle pour atteindre les objectifs de lrsquoentreprise

SE22 Revue geacuteneacuterale Surveiller et eacutevaluer lrsquoefficaciteacute et lrsquoefficience des revues de controcircle interne effectueacutees par le management de lrsquoinformatique

SE23 Anomalies deacutetecteacutees par le controcircle Identifier les anomalies deacutetecteacutees par le controcircle les analyser et en identifier les causes sous-jacentes Faire remonter les anomalies et en produire un rapport pertinent aux parties prenantes Mettre en place les actions correctives neacutecessaires

SE24 Autoeacutevaluation du controcircle Veacuterifier que les controcircles du management sur les processus informatiques les politiques et les contrats sont complets et efficaces et reacutealiseacutes au moyen drsquoun programme permanent drsquoautoeacutevaluation

SE25 Assurance de controcircle interne Obtenir en fonction des besoins lrsquoassurance suppleacutementaire de lrsquoexhaustiviteacute et de lrsquoefficaciteacute des controcircles internes par des revues effectueacutees par des tiers

SE26 Controcircle interne des tiers Eacutevaluer la situation des controcircles internes des fournisseurs de services externe Confirmer que les fournisseurs de services externes se conforment aux exigences leacutegales et reacuteglementaires ainsi qursquoagrave leurs obligations contractuelles

SE27 Actions correctives Deacutefinir initier mettre en place et suivre les actions correctives reacutesultant des eacutevaluations et les rapports de controcircle



DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA

it


GUIDE DE MANAGEMENT


De Entreacutees

SE1 Rapports sur la performance des processus

Sorties Vers Rapports sur lrsquoefficaciteacute des controcircles des SI PO4 PO6 SE1 SE4

Surveiller et controcircler les activiteacutes du controcircle interne des SI A R R R R

Surveiller le processus drsquoautoshyeacutevaluation I A R R R C

Surveiller la performance des revues indeacutependantes des audits et des investigations I A R R R C

Surveiller le processus drsquoobtention drsquoune assurance sur les controcircles opeacutereacutes par des tiers I I I A R R R C

Surveiller le processus drsquoidentification et drsquoeacutevaluation des anomalies deacutetecteacutees I I I A I R R R C

Surveiller le processus drsquoidentification et de correction des anomalies deacutetecteacutees I I I A I R R R C

Rendre compte aux principales parties prenantes I I I AR I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA

Tableau RACI

Activiteacutes



Objectifs

bull Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre bull Preacuteserver le succegraves des objectifs informatiques bull Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements bull Proteacuteger tous les actifs informatiques et en ecirctre comptable

induinduit

bull Freacutequence des incidents de controcircle interne bull Nb de faiblesses identifieacutees par les rapports de qualification et de certification externes bull Nb dinitiatives visant agrave lameacutelioration du controcircle bull Nb dincidents de non-conformiteacute aux lois ou regraveglements bull Nb drsquoactions entreprises au bon moment sur des problegravemes de controcircle interne

bull Nb et couverture des auto-eacutevaluations de controcircle interne bull Nb et couverture des controcircles internes sujets agrave des revues geacuteneacuterales bull Deacutelai entre les deacutefaillances de controcircle interne et le rapport qui en est fait bull Nb et freacutequence des rapports de la conformiteacute interne et eacuteventail couvert

Activiteacutes

bull Deacutefinir un systegraveme de controcircle interne inteacutegreacute au reacutefeacuterentiel des processus informatiques bull Surveiller et rendre compte de lrsquoefficaciteacute des controcircles internes des SI bull Rapporter au management les anomalies deacutetecteacutees par les controcircles pour action

bull Surveiller la reacutealisation des objectifs de controcircle interne deacutefinis pour les processus informatiques bull Identifier les actions drsquoameacutelioration du controcircle interne



Meacutetriq

ues

bull Taux de satisfaction du management agrave propos des rapports de surveillance du controcircle interne bull Nb de manquements majeurs au controcircle interne





La gestion du processus Surveiller et Eacutevaluer le controcircle interne qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique proteacuteger la reacutealisation des objectifs de lrsquoinformatique et garantir la conformiteacute aux lois et reacuteglementations applicables aux SI est

0 Inexistante quand

Lentreprise na pas les proceacutedures quil faut pour surveiller lefficaciteacute des controcircles internes Il ny a pas de meacutethode de reporting pour les controcircles internes Les questions de seacutecuriteacute opeacuterationnelle informatique et dassurance de controcircle interne ne sont en geacuteneacuteral pas eacutevoqueacutees Le management et les employeacutes ne sont globalement pas sensibiliseacutes aux controcircles internes


Le management admet le besoin drsquoune assurance reacuteguliegravere sur le management de lrsquoinformatique et son controcircle On se fie lorsque le besoin sen fait sentir agrave des compeacutetences individuelles pour eacutevaluer ladeacutequation du controcircle interne La direction informatique na pas formellement deacutesigneacute de responsable pour la veacuterification de lefficaciteacute des controcircles internes Les eacutevaluations du controcircle interne de lrsquoinformatique sont faites agrave loccasion des audits financiers traditionnels avec des meacutethodologies et des compeacutetences qui ne reflegravetent pas les besoins de la fonction informatique


Lentreprise utilise des rapports de controcircle informels pour initier des actions correctives Lrsquoeacutevaluation du controcircle interne deacutepend des compeacutetences drsquoindividus cleacutes Lentreprise prend de plus en plus conscience du besoin de surveillance du controcircle interne La direction des SI surveille reacuteguliegraverement lefficaciteacute de ce qursquoelle pense ecirctre les controcircles internes les plus sensibles On commence agrave utiliser des meacutethodologies et des outils de surveillance des controcircles internes mais sans plan On identifie les facteurs de risques speacutecifiques agrave lrsquoenvironnement informatique gracircce aux compeacutetences drsquoindividus cleacutes


Le management apporte son soutien agrave la surveillance du controcircle interne et la institutionnaliseacutee On deacuteveloppe des politiques et des proceacutedures pour eacutevaluer et rendre compte des activiteacutes de surveillance du controcircle interne On deacutefinit un programme denseignement et de formation agrave la surveillance du controcircle interne On deacutefinit un processus drsquoautoeacutevaluation des controcircles internes et de revues drsquoassurance qui preacutecisent les rocircles et responsabiliteacutes des responsables meacutetiers et de la direction des SI On utilise des outils qui ne sont cependant pas inteacutegreacutes agrave tous les processus On met en œuvre des politiques deacutevaluation des risques informatiques selon des reacutefeacuterentiels de controcircle deacuteveloppeacutes speacutecifiquement pour les SI On deacutefinit des politiques speacutecifiques drsquoacceptation et de reacuteduction des risques


Le management met en place un reacutefeacuterentiel de surveillance du controcircle interne de lrsquoinformatique Lentreprise eacutetablit des niveaux de toleacuterance pour les processus de surveillance du controcircle interne On met en place des outils pour standardiser les eacutevaluations et pour que les controcircles deacutetectent automatiquement les anomalies Une fonction de controcircle interne informatique est formellement mise en place Elle renferme des professionnels speacutecialiseacutes et certifieacutes et utilise un reacutefeacuterentiel de controcircle formel approuveacute par la direction geacuteneacuterale Les informaticiens particuliegraverement compeacutetents participent reacuteguliegraverement aux eacutevaluations de controcircle interne On constitue une base de connaissances des mesures issues de la surveillance du controcircle interne pour en conserver lhistorique On organise des eacutevaluations par des pairs de cette surveillance


Le management eacutetablit un programme continu dameacutelioration de la surveillance du controcircle interne agrave leacutechelle de lentreprise qui prend en compte lexpeacuterience et les bonnes pratiques de la profession Lrsquoentreprise utilise des outils modernes inteacutegreacutes lorsque crsquoest adapteacute qui permettent une eacutevaluation efficace des controcircles informatiques critiques et une deacutetection rapide des incidents de surveillance des controcircles informatiques On a formellement institutionnaliseacute le partage des connaissances speacutecifiques agrave la fonction informatique On a formaliseacute des tests comparatifs sur la base des standards et des bonnes pratiques de la profession


GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI









P S

Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3 DESCRIPTION DU PROCESSUS

SE3 Srsquoassurer de la conformiteacute aux obligations externes

Un processus de revue est neacutecessaire pour garantir efficacement la conformiteacute aux lois aux regraveglements et aux obligations contractuelles Ce processus implique drsquoidentifier les obligations de conformiteacute drsquoeacutevaluer et drsquooptimiser la reacuteponse agrave donner drsquoavoir lrsquoassurance drsquoecirctre conforme aux obligations et au final drsquointeacutegrer les rapports sur la conformiteacute des SI agrave ceux du reste de lrsquoentreprise

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S






Srsquoassurer de la conformiteacute aux obligations externes


drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles


identifier toutes les lois reacuteglementations et contrats applicables et le niveau de conformiteacute des SI agrave cet eacutegard et optimiser les processus informatiques pour reacuteduire le risque de non-conformiteacute


bull faisant la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull eacutevaluant lrsquoimpact des obligations reacuteglementaires bull surveillant la conformiteacute aux obligations et en rendant compte


bull coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull temps moyen entre lidentification dun problegraveme de conformiteacute agrave des exigences externes

et sa reacutesolution bull freacutequence des revues de conformiteacute

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Surveiller et Evaluer SE3 Srsquoassurer de la conformiteacute aux obligations externes



SE31 Identification des obligations externes lois regraveglements et contrats Identifier de faccedilon permanente les obligations externes auxquelles il faut se conformer lois nationales et internationales reacuteglementations et autres de faccedilon agrave les prendre en compte dans les politiques normes proceacutedures et meacutethodologies informatiques de lrsquoentreprise

SE32 Optimisation de la reacuteponse aux obligations externes Reacuteviser et optimiser les politiques normes proceacutedures et meacutethodologies informatiques pour srsquoassurer que les exigences leacutegales reacuteglementaires et contractuelles sont prises en compte et font lrsquoobjet drsquoune communication

SE33 Eacutevaluation de la conformiteacute aux obligations externes Valider la conformiteacute des politiques normes proceacutedures et meacutethodologies informatiques aux obligations externes

SE34 Assurance positive de la conformiteacute Obtenir lrsquoassurance du respect de la conformiteacute par toutes les politiques internes issues de directives internes ou drsquoobligations externes leacutegales reacuteglementaires et contractuelles et en rendre compte Srsquoassurer que toutes les actions correctives ont eacuteteacute entreprises en temps opportun par le proprieacutetaire du processus responsable pour traiter tous les manquements agrave la conformiteacute

SE35 Inteacutegration des rapports Inteacutegrer les rapports de lrsquoinformatique sur les obligations leacutegales reacuteglementaires et contractuelles aux reacutesultats similaires drsquoautres fonctions meacutetiers



DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA

Surveiller et Evaluer Srsquoassurer de la conformiteacute aux obligations externes SE3

GUIDE DE MANAGEMENT


De Entreacutees

Exigences leacutegales et reacuteglementaires Entreacutees externes agrave CobiT

Sorties Vers Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques

PO4 SE4

Rapport sur la conformiteacute des activiteacutes informatiques aux exigences leacutegales et reacuteglementaires externes

SE1

Tableau RACI

Activiteacutes Deacutefinir et mettre en œuvre un processus pour identifier les exigences leacutegales contractuelles politiques et reacuteglementaires

AR C I I I C I R

Eacutevaluer la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques I I I I AR I R R R R R R

Rendre compte de lrsquoassurance positive de la conformiteacute des activiteacutes informatiques aux politiques plans et proceacutedures informatiques

AR C C C C C C R

Fournir les entreacutees permettant drsquoaligner les politiques les plans et les proceacutedures sur les exigences de conformiteacute

AR C C C C C R

Inteacutegrer les rapports des SI sur les exigences reacuteglementaires aux reacutesultats similaires drsquoautres fonctions meacutetiers AR I I I R I R

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs

bull Assurer la conformiteacute des SI aux lois regraveglements et contrats

induit

induit

Meacutetriq

ues

bull Coucirct de la non-conformiteacute des SI en comptant les reacutegularisations et les peacutenaliteacutes bull Nb de problegravemes de non-conformiteacute rapporteacutes au CA ou provoquant des commentaires embarrassants pour lrsquoentreprise

bull Nb de problegravemes seacuterieux de non-conformiteacute deacutetecteacutes chaque anneacutee bull Freacutequence des revues de conformiteacute

bull Deacutelai moyen entre lidentification dun problegraveme de conformiteacute agrave des obligations externes et sa reacutesolution bull Deacutelai moyen entre la publication drsquoune nouvelle loi ou drsquoun nouveau regraveglement et la mise en œuvre drsquoune revue de conformiteacute bull Nb de jours de formation agrave la conformiteacute par collaborateur informatique et par an

Processus

bull Identifier toutes les lois regraveglements et contrats applicables et deacuteterminer le niveau de conformiteacute des SI bull Geacuterer lrsquoalignement des politiques plans et proceacutedures de faccedilon agrave geacuterer efficacement les risques de non-conformiteacute des SI bull Reacuteduire le plus possible pour les meacutetiers lrsquoimpact des problegravemes de conformiteacute identifieacutes dans les SI

Activiteacutes

bull Faire la liste des obligations leacutegales reacuteglementaires et contractuelles concernant les SI bull Instruire le personnel informatique sur ses responsabiliteacutes vis-agrave-vis de la conformiteacute bull Eacutevaluer lrsquoimpact des obligations externes bull Surveiller la conformiteacute aux obligations externes et en rendre comptedeacutefinit deacutefinit






La gestion du processus Srsquoassurer de la conformiteacute aux obligations externes qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique drsquoassurer la conformiteacute aux lois aux regraveglements et aux obligations contractuelles est

0 Inexistante quand

Il y a peu de prise de conscience des obligations externes relatives aux SI et aucun processus ne concerne la mise en conformiteacute vis-agrave-vis des obligations leacutegales reacuteglementaires et contractuelles


On est conscient des conseacutequences des obligations reacuteglementaires contractuelles et leacutegales pour lrsquoentreprise On suit des processus informels pour maintenir la conformiteacute mais seulement lorsque le besoin est mis en eacutevidence par de nouveaux projets des audits ou des revues


Le besoin de se conformer aux obligations externes est compris et on communique sur ce thegraveme Lorsque ce besoin de mise en conformiteacute est reacutecurrent comme dans les reacuteglementations financiegraveres ou la leacutegislation sur la vie priveacutee on a mis en place des proceacutedures individuelles avec un suivi annuel Il nrsquoy a cependant pas drsquoapproche standard On se repose beaucoup sur les connaissances et la responsabiliteacute des individus et on peut srsquoattendre agrave des erreurs La formation sur ces questions reste informelle


On deacuteveloppe documente et communique les politiques plans proceacutedures et processus destineacutes agrave assurer la conformiteacute aux obligations reacuteglementaires contractuelles et leacutegales mais on ne les suit pas toujours et certaines peuvent ecirctre obsolegravetes ou difficiles agrave mettre en œuvre Il y a peu de surveillance et la conformiteacute agrave certaines exigences nrsquoest pas assureacutee Des formations sont programmeacutees sur les obligations leacutegales et reacuteglementaires affectant lentreprise et sur les processus de mise en conformiteacute deacutefinis Il existe des contrats standards pro-forma et des processus leacutegaux pour minimiser les risques qui deacutecoulent des responsabiliteacutes lieacutees aux contrats


On a pleinement compris les problegravemes et les risques lieacutes aux obligations externes et le besoin dassurer la conformiteacute agrave tous les niveaux Il existe un programme de formation formel qui permet de sassurer que tous les personnels sont conscients de leurs obligations en matiegravere de mise en conformiteacute Les responsabiliteacutes sont claires et la notion de proprieacuteteacute du processus est comprise Le processus comprend une revue de lenvironnement pour mettre en eacutevidence les obligations externes et les changements en cours On a mis en place un meacutecanisme qui permet de relever les cas de non-conformiteacute dappliquer les pratiques internes et de prendre des mesures correctives Les causes de non-conformiteacute sont analyseacutees selon un processus standardiseacute dans le but de mettre en place des solutions durables On utilise les bonnes pratiques internes standard pour des besoins speacutecifiques tels que les reacuteglementations en vigueur et les contrats de services reacutecurrents


Pour se conformer aux obligations externes on applique un processus efficace et bien organiseacute baseacute sur une seule fonction centrale qui permet dinformer et de coordonner toute lorganisation On connaicirct bien les obligations externes applicables on se tient informeacute de leurs eacutevolutions on anticipe les changements et on preacutepare des solutions nouvelles Lentreprise participe agrave des groupes de discussion externes avec des groupes professionnels ou des instances de reacutegulation pour comprendre et influencer les obligations externes qui laffecte On deacuteveloppe les meilleures pratiques pour assurer la conformiteacute aux obligations externes ce qui se traduit par un tregraves petit nombre de cas de non-conformiteacute Il existe un systegraveme de suivi centraliseacute agrave leacutechelle de lentreprise qui permet au management de documenter le flux de travail (workflow) et de mesurer et dameacuteliorer lefficaciteacute du processus de surveillance de la conformiteacute On utilise un processus dautoeacutevaluation des obligations externes et on lameacuteliore pour lamener au niveau des bonnes pratiques Le style et la culture du management de lentreprise en ce qui concerne la conformiteacute sont suffisamment forts et les processus sont suffisamment bien deacuteveloppeacutes pour que la formation se limite aux nouveaux personnels et aux changements significatifs


GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

GESTION DES

RISQUES

ALIGNEMENT

STRATEGIQUE









PP SSS S S

Surveiller et Evaluer Mettre en place une gouvernance des SI SE4


SE4 Mettre en place une gouvernance des SI

Mettre en place un reacutefeacuterentiel de gouvernance efficace impose de deacutefinir des structures organisationnelles des processus un leadership des rocircles et des responsabiliteacutes pour srsquoassurer que les investissements informatiques de lrsquoentreprise sont aligneacutes sur ses strateacutegies et ses objectifs et qursquoils travaillent pour eux

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SSS S S






Mettre en place une gouvernance des SI


inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats


la reacutedaction de rapports au CA sur la strateacutegie les performances et les risques des SI et la reacuteponse aux exigences de gouvernance conformeacutement aux orientations du CA


bull eacutetablissant un reacutefeacuterentiel de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull obtenant une assurance indeacutependante sur la situation de la gouvernance des SI


bull la freacutequence des rapports au CA sur les SI agrave lrsquointention des parties prenantes (entre autres sur la maturiteacute)

bull la freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull la freacutequence des revues indeacutependantes de conformiteacute des SI

SecondairePrimaire


MESURE DE LA

PERFORMANCE

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


GOUVERNANCE

DES SI

GESTION DES

RISQUES

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


Surveiller et Evaluer SE4 Mettre en place une gouvernance des SI



SE41 Mise en place drsquoun cadre de gouvernance des SI Deacutefinir mettre en place et aligner le cadre de gouvernance des SI sur celui de lrsquoentreprise et sur son environnement de controcircle Baser le reacutefeacuterentiel de gouvernance sur un processus et un modegravele de controcircle de lrsquoinformatique adeacutequats Eacuteviter toute ambiguiumlteacute au niveau des responsabiliteacutes et des pratiques qui deacutegraderait le controcircle interne et la surveillance Veiller agrave la conformiteacute aux lois et regraveglements du cadre de gouvernance agrave son alignement sur les objectifs et la strateacutegie de lrsquoentreprise ainsi qursquoagrave sa contribution en la matiegravere Rendre compte sur toutes les composantes de la gouvernance des SI

SE42 Alignement strateacutegique Faciliter la compreacutehension par les instances dirigeantes et le management des questions strateacutegiques concernant les SI comme le rocircle des SI les perspectives offertes par les technologies et leurs capaciteacutes Srsquoassurer qursquoon comprend aussi bien du cocircteacute des meacutetiers que des SI la contribution potentielle des SI agrave la strateacutegie des meacutetiers Travailler avec le CA et les instances en charge de la gouvernance comme le comiteacute strateacutegique informatique pour proposer au management des orientations pour les SI en srsquoassurant que la strateacutegie et les objectifs sont reacutepercuteacutes aux uniteacutes meacutetiers et aux fonctions informatiques et que la confiance se deacuteveloppe entre les meacutetiers et lrsquoinformatique Faciliter lrsquoalignement des SI sur les meacutetiers pour la strateacutegie et le fonctionnement opeacuterationnel en encourageant la co-responsabiliteacute entre les meacutetiers et lrsquoinformatique dans la prise de deacutecisions et lrsquoobtention de beacuteneacutefices des investissements deacutependants de lrsquoinformatique

SE43 Apport de valeur Srsquoassurer que les programmes drsquoinvestissements deacutependants de lrsquoinformatique et les autres actifs et services informatiques apportent le plus de valeur possible au service de la strateacutegie et des objectifs de lrsquoentreprise Srsquoassurer que les reacutesultats des meacutetiers attendus des investissements informatiques et que la totaliteacute des efforts neacutecessaires pour obtenir ces reacutesultats soient compris que des analyses de rentabiliteacute complegravetes et coheacuterentes soient effectueacutees et approuveacutees par les parties prenantes que les actifs et les investissements soient geacutereacutes tout au long de leur cycle de vie et qursquoil existe une gestion active des beacuteneacutefices agrave reacutealiser comme la contribution agrave de nouveaux services des gains drsquoefficience et une reacuteactiviteacute accrue aux demandes des clients Imposer une approche disciplineacutee de la gestion des portefeuilles des programmes et des projets en insistant pour que les meacutetiers assument la proprieacuteteacute de tous les investissements deacutependants de lrsquoinformatique et que lrsquoinformatique assure lrsquooptimisation des coucircts de fourniture de capaciteacutes et de services informatiques

SE44 Gestion des ressources Surveiller lrsquoinvestissement lrsquoutilisation et lrsquoaffectation des actifs informatiques au moyen drsquoeacutevaluations reacuteguliegraveres des actions et de lrsquoexploitation informatique pour srsquoassurer drsquoune gestion adeacutequate des ressources et de leur alignement sur les objectifs strateacutegiques actuels ainsi que sur les besoins des meacutetiers

SE45 Gestion des risques Travailler avec le CA pour deacutefinir lrsquoappeacutetence de lrsquoentreprise pour le risque informatique et obtenir lrsquoassurance raisonnable que les pratiques de gestion des risques sont adeacutequates pour srsquoassurer que le niveau de risque informatique actuel nrsquoexcegravede pas le niveau drsquoappeacutetence au risque du CA Inteacutegrer les responsabiliteacutes de gestion du risque dans lrsquoentreprise en srsquoassurant que les meacutetiers et lrsquoinformatique eacutevaluent reacuteguliegraverement les risques informatiques leurs conseacutequences et en rendent compte et que la position de lrsquoentreprise vis-agrave-vis du risque informatique est transparente pour les parties prenantes

SE46 Mesure de la performance Valider que les objectifs informatiques convenus ont eacuteteacute atteints ou deacutepasseacutes ou que la progression vers ces objectifs est conforme aux attentes Reacuteviser les actions correctives prises par le management pour les cas ougrave les objectifs convenus nrsquoont pas eacuteteacute atteints ou la progression non conforme aux attentes Rendre compte au CA de la performance des portefeuilles des programmes et des SI en lrsquoeacutetayant par des rapports pour permettre agrave la direction geacuteneacuterale de passer en revue la progression de lrsquoentreprise vers les objectifs fixeacutes

SE47 Assurance indeacutependante Obtenir une assurance indeacutependante (interne ou externe) sur la conformiteacute des SI aux lois et regraveglements dont ils relegravevent aux politiques normes et proceacutedures de lrsquoentreprise aux pratiques geacuteneacuteralement accepteacutees et agrave la performance de lrsquoinformatique en termes drsquoefficaciteacute et drsquoefficience



DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees

PO4 Reacutefeacuterentiel des processus informatiques


PO9 Eacutevaluations des risques et rapports associeacutes


SE3 Catalogue des exigences leacutegalesreacuteglementaires concernant la fourniture de services informatiques

Sorties Vers Ameacuteliorations du reacutefeacuterentiel des processus PO4 Etat de situation de la gouvernance des SI PO1 SE1 Reacutesultats attendus des investissements meacutetiers qui srsquoappuient sur les SI

PO5

Orientation strateacutegique de lrsquoentreprise pour les SI PO1 Appeacutetence de lrsquoentreprise pour le risque informatique PO9

Tableau RACI

Activiteacutes Mettre en place la supervision et lrsquoaide de la direction et du CA sur les activiteacutes informatiques A R C C C C

Reacuteviser approuver aligner et communiquer les performances la strateacutegie les ressources et la gestion des risques de lrsquoinformatique avec la strateacutegie des meacutetiers

A R I I R C

Obtenir une eacutevaluation peacuteriodique indeacutependante de la performance et de la conformiteacute aux politiques plans et proceacutedures

A R C I C I I I I I R

Reacutesoudre les problegravemes deacutetecteacutes par les eacutevaluations indeacutependantes et assurer la mise en œuvre des recommandations adopteacutees par le management


Geacuteneacuterer un rapport sur la gouvernance des SI A C C C R C I I I I I C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs

bull Reacutepondre aux exigences de la gouvernance conformeacutement aux orientations du CA bull Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services de lrsquoinformatique bull Assurer la conformiteacute aux lois et regraveglements bull Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs

induit

induit

Meacutetriq

ues

bull Nb de fois ougrave lrsquoinformatique figure sur lrsquoagenda du CA de faccedilon proactive bull Freacutequence des rapports sur les SI au CA agrave lrsquointention des parties concerneacutees (entre autres sur la maturiteacute) bull Nb de problegravemes informatiques reacutecurrents figurant agrave lrsquoagenda du CA

bull Freacutequence des rapports de la DSI au CA (entre autres sur la maturiteacute) bull Nb de deacutefaillances de la gouvernance bull Freacutequence des revues indeacutependantes de conformiteacute des SI

bull Pourcentage du personnel formeacute agrave la gouvernance (ex codes de conduite) bull Nb drsquoofficiers drsquoeacutethique par service bull Freacutequence de la preacutesence de la gouvernance des SI sur lrsquoagenda des reacuteunions de pilotagestrateacutegie des SI bull Pourcentage de membres du CA formeacutes agrave la gouvernance des SI ou qui en ont lrsquoexpeacuterience bull Vieillissement des recommandations adopteacutees bull Freacutequence des rapports drsquoenquecirctes de satisfaction des parties prenantes faits au CA

Processus

bull Inteacutegrer la gouvernance des SI aux objectifs de la gouvernance drsquoentreprise bull Preacuteparer des rapports au CA complets et en temps opportun sur la strateacutegie la performance et les risques de lrsquoinformatique bull Reacutepondre aux interrogations et preacuteoccupations du CA sur la strateacutegie les performances et les risques de lrsquoinformatique bull Fournir une assurance indeacutependante sur la conformiteacute aux politiques plans et proceacutedures des SI

Activiteacutes

bull Mettre en place un cadre de gouvernance des SI inteacutegreacute agrave la gouvernance de lrsquoentreprise bull Obtenir une assurance indeacutependante sur la situation de la gouvernance des SI







La gestion du processus Mettre en place une gouvernance des SI qui reacutepond agrave lrsquoexigence des meacutetiers vis-agrave-vis de lrsquoinformatique Inteacutegrer la gouvernance des SI aux objectifs de gouvernance de lrsquoentreprise et se conformer aux lois regraveglements et contrats est

0 Inexistante quand

Il y a un manque complet de tout processus identifiable de gouvernance des SI Lentreprise nenvisage mecircme pas quil puisse y avoir lagrave un problegraveme agrave examiner et il ny a donc pas de communication sur ce thegraveme


On admet qursquoil existe des problegravemes de gouvernance des SI agrave traiter Il existe des approches individuelles au cas par cas Lapproche du management est reacuteactive et la communication sur ces questions ainsi que la maniegravere de les traiter sont sporadiques et ne montrent aucune meacutethode Le management nrsquoa qursquoune ideacutee vague de la faccedilon dont lrsquoinformatique contribue aux performances de lrsquoactiviteacute Le management ne reacuteagit que lorsqursquoun incident a causeacute des pertes ou une gecircne agrave lentreprise


On est conscient des problegravemes de gouvernance des SI Cette activiteacute ainsi que les indicateurs de performance sont en cours de deacuteveloppement et incluent la planification informatique et les processus de deacutelivrance et de surveillance On seacutelectionne par des deacutecisions individuelles certains processus informatiques pour les ameacuteliorer Le management deacutetermine les eacutetalons de mesure de base de la gouvernance des SI ainsi que les meacutethodes et techniques deacutevaluation cependant ce processus nest pas encore adopteacute dans lensemble de lentreprise La communication sur les normes de la gouvernance et sur les responsabiliteacutes est laisseacutee agrave linitiative individuelle Certaines personnes pilotent des processus de gouvernance au sein de diffeacuterents projets et processus informatiques Les processus les outils et des meacutetriques pour mesurer la gouvernance des SI sont limiteacutes et ne sont pas toujours utiliseacutes faute de bien connaicirctre leurs fonctionnaliteacutes


Le management comprend lrsquoimportance et le besoin de gouvernance des SI et il en fait part agrave lrsquoentreprise On deacuteveloppe un premier ensemble dindicateurs de gouvernance des SI pour lesquels on deacutefinit et documente les liens entre les mesures de reacutesultats et les inducteurs de performance On standardise et documente les proceacutedures Le management fait de la communication sur ces proceacutedures standardiseacutees et des formations sont mises en place On deacutefinit des outils drsquoaide agrave la supervision de la gouvernance des SI On deacutefinit des tableaux de bord qui font partie du tableau de bord eacutequilibreacute des SI On laisse cependant agrave chacun linitiative de se former dadopter et dappliquer les normes Les processus sont eacuteventuellement surveilleacutes mais les anomalies mecircme si elles sont traiteacutees par des initiatives individuelles ne seront vraisemblablement pas deacutetecteacutees par le management


Les principes de gouvernance des SI sont pleinement compris agrave tous les niveaux On a clairement compris qui eacutetait le client on a deacutefini les responsabiliteacutes et on les surveille au moyen de contrats de services Les responsabiliteacutes sont clairement attribueacutees et la proprieacuteteacute des processus est eacutetablie Les processus informatiques et la gouvernance des SI sont aligneacutes agrave la fois sur la strateacutegie de lentreprise et sur celle des SI Lameacutelioration des processus informatiques est baseacutee avant tout sur une analyse chiffreacutee des reacutesultats et il est possible de surveiller et de mesurer la conformiteacute aux meacutetriques des proceacutedures et des processus Toutes les parties prenantes des processus sont conscientes des risques mais aussi de limportance de linformatique et des opportuniteacutes quelle peut offrir Le management deacutefinit les marges de toleacuterance acceptables pour les processus Lutilisation des technologies est encore limiteacutee principalement tactique et baseacutee sur des techniques eacuteprouveacutees et sur lrsquoutilisation imposeacutee drsquooutils standard La gouvernance des SI est inteacutegreacutee agrave la planification strateacutegique et opeacuterationnelle et aux processus de surveillance On enregistre et on fait le suivi des indicateurs de performance pour toutes les activiteacutes de gouvernance des SI ce qui conduit agrave des ameacuteliorations agrave leacutechelle de lentreprise On sait clairement agrave qui a eacuteteacute attribueacutee la responsabiliteacute geacuteneacuterale de la performance des processus cleacutes et la mesure de cette performance sert de base agrave la reacutecompense du management


La compreacutehension des principes de gouvernance des SI et de leur mise en œuvre est de bon niveau et orienteacutee vers lavenir La formation et la communication sappuient sur des concepts et des techniques de pointe On perfectionne les processus pour les amener au niveau des meilleures pratiques de la profession gracircce aux reacutesultats drsquoameacuteliorations continues et agrave la comparaison avec les autres entreprises baseacutee sur les modegraveles de maturiteacute La mise en place de politiques informatiques conduit agrave une organisation agrave des personnels et des processus qui sadaptent rapidement et qui sont en plein accord avec les exigences de la gouvernance des SI On pratique lanalyse causale de tous les problegravemes et de toutes les anomalies et on trouve rapidement des solutions efficaces quon met en œuvre sans tarder On utilise lrsquoinformatique largement et de faccedilon inteacutegreacutee et optimiseacutee pour automatiser les flux de travail et fournir des outils qui ameacuteliorent la qualiteacute et lefficaciteacute On sait quels sont les risques et les avantages des processus informatiques on cherche le bon eacutequilibre et on communique sur ce thegraveme dans lentreprise On mobilise des experts externes et on pratique des tests comparatifs pour se guider La surveillance lautoeacutevaluation et la communication agrave propos des attentes de la gouvernance se reacutepandent dans toute lentreprise et on utilise les technologies au mieux pour faciliter les mesures lanalyse la communication et la formation Il y a un lien strateacutegique entre la gouvernance dentreprise et celle des SI mobilisant les ressources technologiques humaines et financiegraveres pour accroicirctre lavantage concurrentiel de lentreprise Les activiteacutes de gouvernance des SI sont inteacutegreacutees au processus de gouvernance de lentreprise


AN

NE

XE

I

OB

JEC

TIF

S

ANNEXE I

TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS ET LES OBJECTIFS INFORMATIQUES

Cette annexe donne une vision globale de la faccedilon dont les objectifs des meacutetiers geacuteneacuteriques sont lieacutes aux objectifs informatiques aux processus informatiques et aux critegraveres drsquoinformation Il y a trois tableaux

1 Le premier tableau met en regard des objectifs des meacutetiers preacutesenteacutes selon les quatre dimensions du tableau de bord eacutequilibreacute les objectifs informatiques et les critegraveres drsquoinformation Cela aide agrave montrer pour un objectif meacutetier geacuteneacuterique donneacute les objectifs informatiques qui assistent typiquement cet objectif et les critegraveres drsquoinformation COBIT qui sont en rapport avec cet objectif meacutetier Les 17 objectifs meacutetiers pris en compte ne doivent pas ecirctre consideacutereacutes comme lrsquoensemble des objectifs meacutetiers possibles mais comme un extrait drsquoobjectifs meacutetiers pertinents ayant un impact certain sur les SI (objectifs meacutetiers relatifs agrave lrsquoinformatique)

2 Le second tableau met en regard les objectifs informatiques les processus informatiques COBIT impliqueacutes et les critegraveres drsquoinformation sur lesquels se base chaque objectif de lrsquoinformatique

3 Le troisiegraveme tableau inverse la lecture en montrant pour chaque processus informatique les objectifs informatiques concerneacutes

Les tableaux aident agrave visualiser le champ drsquoapplication de COBIT et les relations geacuteneacuterales entre COBIT et les facteurs qui influent sur lrsquoactiviteacute permettant aux objectifs meacutetiers typiquement relatifs agrave lrsquoinformatique drsquoecirctre relieacutes aux processus informatiques dont ils ont besoin via les objectifs informatiques Les tableaux se basent sur des objectifs geacuteneacuteriques Ils doivent donc ecirctre utiliseacutes comme un guide et adapteacutes aux speacutecificiteacutes de lrsquoentreprise

Pour permettre de faire le lien avec les critegraveres drsquoinformation utiliseacutes pour les exigences meacutetiers de la 3egrave eacutedition de COBIT les tableaux donnent aussi une indication des principaux critegraveres drsquoinformation relatifs aux objectifs meacutetiers et informatiques

Notes 1 Les critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs Les

critegraveres drsquoinformation des diagrammes des objectifs meacutetiers sont conccedilus agrave partir drsquoune synthegravese entre les critegraveres des objectifs informatiques concerneacutes et une eacutevaluation subjective de ceux qui sont les plus pertinents pour les objectifs meacutetiers Nous nrsquoavons pas essayeacute drsquoindiquer srsquoils eacutetaient primaires ou secondaires Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs meacutetiers

2 Les reacutefeacuterences aux critegraveres drsquoinformation primaires et secondaires se basent sur une synthegravese entre les critegraveres de chaque processus informatique et une eacutevaluation subjective de ce qui est primaire et secondaire pour lrsquoobjectif informatique puisque certains processus ont plus drsquoimpact que drsquoautres sur lrsquoobjectif informatique Ils ne sont qursquoindicatifs et les utilisateurs peuvent suivre un processus similaire lorsqursquoils eacutevaluent leurs propres objectifs informatiques

AN

NE

XE

I

copy 2008 A

FAI T


wafaifr

ANNEXE 1 minus TABLEAUX PERMETTANT DE FAIRE LE LIEN ENTRE LES OBJECTIFS MEacuteTIERS

ET LES OBJECTIFS INFORMATIQUES

LIER LES OBJECTIFS METIERS AUX OBJECTIFS INFORMATIQUES

Objectifs meacutetiers Objectifs Informatiques Fiabiliteacute

Conformiteacute

Disponibiliteacute

Inteacutegri teacute

Confidentiali teacute

Efficience

Efficaci teacute

Critegraveres drsquoinformation COBIT

2221

27

20

26

19

26

24

22

28

18

23

24

20

15

21

11

13

17

22

25

10

12

11

13

20

6

11

28

14

18

23

24

16

5

8

4

7

8

19

13

5

8

11

24

2

2

3

5

10

1

7

2

6

7

2

2

1

7

5

9

Obtenir un bon retour sur investissement des investissements informatiques pour les meacutetiers

Geacuterer les risques meacutetiers lieacutes aux SI

Ameacuteliorer la gouvernance de lrsquoentreprise et la transparence

Ameacuteliorer lrsquoorientation client et le service client

Offrir des produits et des services compeacutetitifs

Assurer la continuiteacute et la disponibiliteacute des services

Deacutevelopper lrsquoagiliteacute pour srsquoadapter aux modifications des exigences des meacutetiers

Reacuteussir agrave optimiser les coucircts de la fourniture de services

Obtenir de lrsquoinformation fiable et utile pour prendre des deacutecisions strateacutegiques

Ameacuteliorer et maintenir agrave niveau le fonctionnement des processus meacutetiers

Abaisser les coucircts des processus

Assurer la conformiteacute aux lois reacuteglementations et contrats externes

Assurer la conformiteacute aux politiques internes

Geacuterer les changements meacutetiers

Ameacuteliorer et maintenir la productiviteacute opeacuterationnelle et celle du personnel

Geacuterer lrsquoinnovation produit et meacutetiers

Se procurer et conserver un personnel compeacutetent et motiveacute

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

Perspectivefinanciegravere

Perspectiveclient

Perspectiveinterne

Perspectiveapprentissageet croissance

169

LIER LES OBJECTIFS INFORMATIQUES AUX PROCESSUS INFORMATIQUES A

NN

EX

E I

copy 2008 A

FAI T


wafaifr

Objectifs Informatiques Processus

Fiabiliteacute

Conformiteacute

Disponibiliteacute



Efficience

Efficaci teacute


S

S

S

S

S

S

S

S

S

S

S

P

S

S

S

S

S

S

S

S

S

P

S

S

S

S

P

S

S

P

S

S

P

P

P

P

S

S

P

S

S

S

P

S

S

P

P

P

S

S

S

P

S

S

P

S

P

P

S

P

P

P

S

P

P

P

P

P

P

P

P

S

S

P

P

P

S

S

S

P

P

P

P

P

P

P

P

P

P

P

S

P

P

P

P

P

S

S

P

P

S

P

P

P

P

S

P

P

P

SE1DS3DS1

DS13

AI7

DS10

SE3

SE2

AI6

DS8

SE1

DS13

AI1

SE4

DS7

DS6

DS8

SE2

DS9

DS10

DS12

PO10

SE1

DS2

AI3

DS2

DS7

DS12

DS7

AI7

DS12

DS5

DS12

DS13

SE4

SE3

PO4

PO10

DS1

PO7

AI6

AI5

AI7

DS1

AI7

DS9

DS3

AI6

SE2

DS11

DS5

DS4

DS4

DS8

SE3

SE1

PO2

PO4

AI4

DS11

PO4

AI2

AI2

AI5

AI5

AI4

PO6

AI4

DS5

AI3

AI4

DS10

DS5

AI7

AI7

AI6

DS4

DS6

PO10

DS5

SE2

DS6

PO1

PO1

PO8

PO2

PO2

AI1

PO3

AI3

PO7

DS2

PO2

PO5

PO6

PO9

PO3

PO8

PO9

PO9

PO6

PO6

PO6

PO6

DS3

PO5

PO8

AI6

DS11

PO5

Reacuteagir aux exigences meacutetiers en accord avec la strateacutegie meacutetiers

Reacuteagir aux exigences de la gouvernance en accord avec les orientations du CA

Srsquoassurer de la satisfaction des utilisateurs finaux agrave lrsquoeacutegard des offres et des niveaux de services

Optimiser lrsquoutilisation de lrsquoinformation

Donner de lrsquoagiliteacute agrave lrsquoinformatique

Deacuteterminer comment traduire les exigences meacutetiers de fonctionnement et de controcircle en solutions automatiseacutees efficaces et efficientes

Acqueacuterir et maintenir fonctionnels des systegravemes applicatifs inteacutegreacutes et standardiseacutes

Acqueacuterir et maintenir opeacuterationnelle une infrastructure informatique inteacutegreacutee et standardiseacutee

Se procurer et conserver les compeacutetences neacutecessaires agrave la mise en œuvre de la strateacutegie informatique

Srsquoassurer de la satisfaction reacuteciproque dans les relations avec les tiers

Srsquoassurer de lrsquointeacutegration progressive des solutions informatiques aux processus meacutetiers

Srsquoassurer de la transparence et la bonne compreacutehension des coucircts beacuteneacutefices strateacutegie politiques et niveaux de services des SI

Srsquoassurer drsquoune bonne utilisation et des bonnes performances des applications et des solutions informatiques

Proteacuteger tous les actifs informatiques et en ecirctre comptable

Optimiser lrsquoinfrastructure les ressources et les capaciteacutes informatiques

Reacuteduire le nombre de deacutefauts et de retraitements touchant la fourniture de solutions et de services

Proteacuteger lrsquoatteinte des objectifs informatiques

Montrer clairement les conseacutequences pour lrsquoentreprise des risques lieacutes aux objectifs et aux ressources informatiques

Srsquoassurer que linformation critique et confidentielle nrsquoest pas accessible agrave ceux qui ne doivent pas y acceacuteder

Srsquoassurer que les transactions meacutetiers automatiseacutees et les eacutechanges drsquoinformations sont fiables

Srsquoassurer que les services et lrsquoinfrastructure informatique peuvent reacutesisterse reacutetablir convenablement en cas de panne due agrave une erreur agrave une attaque deacutelibeacutereacutee ou agrave un sinistre

Srsquoassurer qursquoun incident ou une modification dans la fourniture drsquoun service informatique nrsquoait qursquoun impact minimum sur lrsquoactiviteacute

Srsquoassurer que les services informatiques sont disponibles dans les conditions requises

Ameacuteliorer la rentabiliteacute de lrsquoinformatique et sa contribution agrave la profitabiliteacute de lrsquoentreprise

Livrer les projets en temps et dans les limites budgeacutetaires en respectant les standards de qualiteacute

Maintenir lrsquointeacutegriteacute de lrsquoinformation et de lrsquoinfrastructure de traitement

Assurer la conformiteacute de lrsquoinformatique aux lois et regraveglements

Srsquoassurer que lrsquoinformatique fait preuve drsquoune qualiteacute de service efficiente en matiegravere de coucircts drsquoameacutelioration continue et de capaciteacute agrave srsquoadapter agrave des changements futurs

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

170

COBIT41



copy 2008 A

FAI T


wafaifr

OBJECTIFS INFORMATIQUES POUR CHAQUE PROCESSUS INFORMATIQUE

Reacutea

gir

au

x ex

igen

ces

meacutet

ier

en a

cco

rd a

vec

la s

trat

eacutegie

meacutet

ier

Reacutea

gir

au

x ex

igen

ces

de

la g

ou

vern

ance

en

acco

rd a

vec

les

ori

enta

tio

ns

du

CA

Srsquoa

ssu

rer

de

la s

atis

fact

ion

des

uti

lisat

eurs

fin

aux

agrave lrsquoeacute

gar

d d

eso

ffre

s et

des

niv

eau

x d

e se

rvic

es

Op

tim

iser

lrsquou

tilis

atio

n d

e lrsquoi

nfo

rmat

ion

Do

nn

er d

e lrsquoa

gili

teacute agrave

lrsquoin

form

atiq

ue

Deacutet

erm

iner

co

mm

ent

trad

uir

e le

s ex

igen

ces

meacutet

ier

de

fon

ctio

nn

emen

t et

de

con

trocirc

le e

n so

luti

on

s au

tom

atis

eacutees

effi

cace

s et

eff

icie

nte

s

Acq

ueacuter

ir e

t m

ain

ten

ir f

on

ctio

nn

els

des

sys

tegravem

es a

pp

licat

ifs

inteacute

greacute

s et

sta

nd

ard

iseacutes

Acq

ueacuter

ir e

t m

ain

ten

ir o

peacuter

atio

nn

elle

un

e in

fras

tru

ctu

rein

form

atiq

ue

inteacute

greacute

e et

sta

nd

ard

iseacutee

Se

pro

cure

r et

co

nse

rver

les

co

mp

eacuteten

ces

neacutec

essa

ires

agrave l

am

ise

en œ

uvr

e d

e la

str

ateacuteg

ie i

nfo

rmat

iqu

e

Srsquoa

ssu

rer

de

la s

atis

fact

ion

reacuteci

pro

qu

e d

ans

les

rela

tio

ns

avec

les

tier

s

Inteacute

gre

r p

rog

ress

ivem

ent

des

so

luti

on

s in

form

atiq

ues

au

xp

roce

ssu

s m

eacutetie

r

Srsquoa

ssu

rer

de

la t

ran

spar

ence

et

la b

on

ne

com

preacute

hen

sio

n d

esco

ucircts

beacuten

eacutefic

es s

trat

eacutegie

po

litiq

ues

et

niv

eau

x d

e se

rvic

esd

es S

I

Srsquoa

ssu

rer

drsquou

ne

bo

nn

e u

tilis

atio

n et

des

bo

nn

es p

erfo

rman

ces

des

ap

plic

atio

ns

et d

es s

olu

tio

ns

info

rmat

iqu

es

Pro

teacuteg

er t

ou

s le

s ac

tifs

in

form

atiq

ues

et

en ecirc

tre

com

pta

ble

Op

tim

iser

lrsquoin

fras

tru

ctu

re l

es r

esso

urc

es e

t le

s ca

pac

iteacutes

info

rm a

tiq

ues

Reacuted

uir

e le

no

mb

re d

e d

eacutefau

ts e

t d

e re

trai

tem

ents

to

uch

ant

lafo

urn

itu

re d

e so

luti

on

s et

de

serv

ices

Pro

teacuteg

er l

rsquoatt

ein

te d

es o

bje

ctif

s in

form

atiq

ues

Mo

ntr

er c

lair

emen

t le

s co

nseacute

qu

ence

s p

ou

r lrsquoe

ntr

epri

se d

esri

squ

es l

ieacutes

aux

ob

ject

ifs

et a

ux

ress

ou

rces

in

form

atiq

ues

Srsquoa

ssu

rer

qu

e li

nfo

rmat

ion

crit

iqu

e et

co

nfi

den

tiel

le n

rsquoest

pas

acce

ssib

le agrave

ceu

x qu

i ne

do

iven

t p

as y

acc

eacuteder

Srsquoa

ssu

rer

qu

e le

s tr

ansa

ctio

ns

meacutet

ier

auto

mat

iseacutee

s et

les

eacutech

ang

es d

rsquoinfo

rmat

ion

s so

nt

fiab

les

Srsquoa

ssu

rer

qu

e le

s se

rvic

es e

t lrsquoi

nfr

astr

uct

ure

in

form

atiq

ue

peu

ven

t reacute

sist

ers

e reacute

tab

lir c

on

ven

able

men

t en

cas

de

pan

ne

du

e agrave

un

e er

reu

r agrave

un

e at

taq

ue

deacutel

ibeacuter

eacutee o

u agrave

un

sin

istr

e

Srsquoa

ssu

rer

qu

rsquoun

inci

den

t o

u u

ne

mo

dif

icat

ion

dan

s la

fo

urn

itu

red

rsquoun

serv

ice

info

rmat

iqu

e n

rsquoait

qu

rsquoun

imp

act

min

imu

m s

ur

lrsquoact

ivit

eacute

Srsquoa

ssu

rer

qu

e le

s se

rvic

es i

nfo

rmat

iqu

es s

on

t d

isp

on

ible

s d

ans

les

con

dit

ion

s re

qu

ises

Am

eacutelio

rer

la r

enta

bili

teacute d

e lrsquoi

nfo

rmat

iqu

e et

sa

con

trib

uti

on

agrave la

pro

fita

bili

teacute d

e lrsquoe

ntr

epri

se

Liv

rer

les

pro

jets

en

tem

ps

et d

ans

les

limit

es b

ud

geacutet

aire

s en

resp

ecta

nt

les

stan

dar

ds

de

qu

alit

eacute

Mai

nte

nir

lrsquoin

teacuteg

riteacute

de

lrsquoin

form

atio

n et

de

lrsquoin

fras

tru

ctu

re d

etr

aite

m e

nt

Ass

ure

r la

co

nfo

rmit

eacute d

e lrsquoi

nfo

rmat

iqu

e au

x lo

is e

t regrave

gle

men

ts

Srsquoa

ssu

rer

qu

e lrsquoi

nfo

rmat

iqu

e fa

it p

reu

ve d

rsquoun

e q

ual

iteacute

dese

rvic

e ef

fici

ente

en

mat

iegravere

de

coucirc

ts d

rsquoam

eacutelio

rati

on

con

tin

ue

et d

e ca

pac

iteacute

agrave srsquo

adap

ter

agrave d

es c

han

gem

ents

fu

turs

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28





PO 5 Geacuterer les investissements informatiques

PO6 Faire connaicirctre les buts et les orientations du management





























AN

NE

XE

I

172

ANNEXE II

RELATIONS DES PROCESSUS INFORMATIQUES AVEC LES DOMAINES DE LA GOUVERNANCE DES SI

LE COSO LES RESSOURCES INFORMATIQUES COBIT ET LES CRITEgraveRES DrsquoINFORMATION COBIT

Cette annexe met en regard les processus informatiques de COBIT et les cinq domaines de la gouvernance des SI les composantes du COSO les ressources informatiques et les critegraveres drsquoinformation Le tableau propose aussi un indicateur de lrsquoimportance relative (Haute Moyenne Basse) qui se base sur une eacutevaluation comparative disponible sur COBIT Online Cette grille montre sur une seule page et au niveau geacuteneacuteral comment le cadre de reacutefeacuterence de COBIT fait reacutefeacuterence aux exigences du COSO et de la gouvernance des SI et montre les relations entre les processus informatiques et les critegraveres drsquoinformation P indique une relation primaire S une relation secondaire Srsquoil nrsquoy a ni P ni S cela ne veut pas dire qursquoil nrsquoy a pas de relation mais qursquoelle est moins importante ou marginale Ces valeurs se basent sur les reacutesultats drsquoeacutetudes et sur lrsquoopinion drsquoexperts et ne sont que des indications Les utilisateurs doivent deacutecider quels sont les processus importants dans leur propre entreprise

AN

NE

XE

II

RE

LA

TIO

NS

PRO

CE

SSU

S

AN

NE

XE

II R

EL

AT

ION

S DE

S PR

OC

ESS

US IN

FOR

MA

TIQ

UE

S AV

EC

L

ES D

OM

AIN

ES D

E L

A G

OU

VE

RN

AN

CE

DE

S SI L

E C

OSO

LE

S RE

SSO

UR

CE

S INF

OR

MA

TIQ

UE

S CO

BIT

E

T L

ES C

RIT

EgraveR

ES D

rsquoINFO

RM

AT

ION

CO

BIT

IMPO

RTA

NCE

Domaine de la gouvernance des SI COSO Ressources SI COBIT Critegraveres drsquoinformation COBIT

Alignem

ent strateacutegique

Apport de valeur

Gestion des

ressources

Gestion des risques

Mesures de la

performance

Environnement de

controcircle

Eacutevaluation des risques

Activiteacutes de

controcircle

Information et

communication

Surveillance

Applications

Informations

Infrastructures

Personnes

Efficaciteacute

Efficience

Confidentialiteacute

Inteacutegriteacute

Disponibiliteacute

Conform

iteacute

Fiabiliteacute

Planifier et Organiser Deacutefinir un plan informatique strateacutegique



Deacutefinir les processus lorganisation et les relations de travail







PO1

PO2

PO3

PO4

PO 5

PO6

PO7

PO8

PO9

PO10

H P S S P S S P S

B P S P S P P S P S P

M S S P S S P S P P

B S P P P S S P P

M S P S S S P P P S

M P P P P P S

B P P S S P S P P

M P S S P P S P P P S S

H P P P S S P P P S S

H P S S S S S S P S P P Acqueacuterir et Impleacutementer








AI1

AI2

AI3

AI4

AI5

AI6

AI7

M P P S S P P S

M P P S P P P S S

B P P S P S S

B S P S S P S P P S S S S

M S P P S P S

H P S S P S P P P P S

M S P S S S P S S P S S S Deacutelivrer et Supporter

Deacutefinir et geacuterer les niveaux de services













DS1

DS2

DS3

DS4

DS5

DS6

DS7

DS8

DS9

DS10

DS11

DS12

DS13

M P P P P S P S S P P S S S S S

B P S P S P S P S P P S S S S S

B S S P S S P S P P S

M S P S P S S P S P S P

H P P S S P P S S S

B S P S P P P

B S P S P S P S

B S P S S P P P P

M P S P P S S S

M P S P S S P P S

H P P P P P P

B S P S P P P

B P P S P P S S Surveiller et Evaluer





SE1

SE2

SE3

SE4

H P S P P P S S S S S

M P P P P P S S S S S

H P P P S S P S

H P P P P P P S S P P P S S S S S

Note La grille du COSO est baseacutee sur le reacutefeacuterentiel original COSO Cette grille srsquoapplique aussi en geacuteneacuteral agrave lrsquoEnterprise Risk ManagementshyIntegrated Framework publieacute ensuite par le COSO qui eacutelargit le controcircle interne apportant un eacuteclairage plus robuste et plus eacutetendu sur le sujet plus large de la gestion du risque dans lrsquoentreprise Bien que COBIT ne soit pas conccedilu pour remplacer le reacutefeacuterentiel de controcircle interne original du COSO (il lrsquointegravegre en fait) les utilisateurs de COBIT peuvent choisir de se reacutefeacuterer agrave ce reacutefeacuterentiel de gestion du risque dans lrsquoentreprise agrave la fois pour satisfaire leurs besoins de controcircle interne et pour eacutevoluer vers un processus plus complet de gestion du risque

copy 2008 A

FAI T


wafaifr

173

COBIT41



ANNEXE III

MODEgraveLE DE MATURITEacute POUR LE CONTROcircLE INTERNE

Lrsquoannexe III propose un modegravele de maturiteacute geacuteneacuterique qui montre la situation de lrsquoenvironnement de controcircle interne et ce qui existe comme controcircles internes dans une entreprise Elle montre comment la gestion du controcircle interne et la conscience du besoin de mettre en place de meilleurs controcircles internes font typiquement progresser drsquoun niveau donneacute agrave un niveau optimiseacute Ce modegravele propose un guide geacuteneacuteral pour aider les utilisateurs de COBIT agrave juger de ce qui est neacutecessaire pour des controcircles internes efficaces de lrsquoinformatique et pour les aider agrave positionner leur entreprise par rapport au modegravele de maturiteacute

AN

NE

XE

III

M

AT

UR

ITEacute

CO

NT

ROcirc

LE

S

ANNEXE III


Niveau de maturiteacute Situation de lrsquoenvironnement de controcircle interne Mise en place de controcircles internes

0 Inexistant On ne reconnaicirct pas le besoin drsquoun controcircle interne Le controcircle ne fait pas partie de la culture ou de la mission de lrsquoentreprise Il existe un risqueacute eacuteleveacute de deacutefaillances des controcircles et drsquoincidents

On nrsquoest pas deacutecideacute agrave eacutevaluer le besoin drsquoun controcircle interne On traite les incidents quand ils surviennent

1 Initialiseacute On reconnaicirct en partie le besoin drsquoun controcircle interne Lrsquoapproche On nrsquoest pas conscient du besoin drsquoune eacutevaluation de ce qui est au cas par cas du risque et des exigences de controcircle se fait au cas par cas est

mal organiseacutee sans communication ni surveillance On ne sait pas identifier les deacutefaillances Les employeacutes ne sont pas conscients de leurs responsabiliteacutes

neacutecessaire pour les controcircles de lrsquoinformatique Lorsqursquoon en fait ce nrsquoest qursquoau cas par cas agrave un niveau geacuteneacuteral et en reacuteaction agrave des incidents seacuterieux Les eacutevaluations ne concernent que les incidents aveacutereacutes

2 Reproductible Les controcircles sont en place mais ils ne sont pas documenteacutes Leur Lrsquoeacutevaluation des besoins en controcircles nrsquoa lieu que lorsqursquoil est mais intuitif fonctionnement deacutepend des connaissances et des motivations

drsquoindividus particuliers Lrsquoeacutevaluation de lrsquoefficaciteacute nrsquoest pas bien faite Les controcircles ont de nombreuses faiblesses et on ne les utilise pas comme il faut les conseacutequences peuvent ecirctre graves Les actions du management pour reacutesoudre les problegravemes du controcircle ne sont ni hieacuterarchiseacutees ni logiques Les employeacutes ne sont pas toujours conscients de leurs responsabiliteacutes agrave lrsquoeacutegard du controcircle

neacutecessaire de deacuteterminer pour certains processus informatiques particuliers le niveau actuel de maturiteacute des controcircles la cible viseacutee et lrsquoeacutecart qui existe On utilise une approche informelle drsquoatelier de travail avec les responsables de lrsquoinformatique et lrsquoeacutequipe impliqueacutee dans le processus pour deacutefinir une approche adeacutequate des controcircles pour ce processus et pour convenir drsquoun plan drsquoaction

3 Deacutefini Les controcircles sont en place et ils sont correctement documenteacutes On eacutevalue peacuteriodiquement lrsquoefficaciteacute fonctionnelle et le nombre de problegravemes nrsquoest ni tregraves eacuteleveacute ni tregraves bas En revanche le processus drsquoeacutevaluation nrsquoest pas documenteacute Bien que le management soit capable de traiter couramment les problegravemes de controcircle certaines faiblesses persistent qui pourraient encore avoir de graves conseacutequences Les employeacutes sont conscients de leurs responsabiliteacutes agrave lrsquoeacutegard des controcircles

On a identifieacute les processus informatiques critiques en fonction drsquoinducteurs de valeur et de risques On fait une analyse deacutetailleacutee pour deacuteterminer les exigences de controcircle et les causes des carences et pour trouver des possibiliteacutes drsquoameacutelioration En plus drsquoateliers organiseacutes on utilise des outils et on pratique des entretiens pour enrichir lrsquoanalyse et pour srsquoassurer que les processus drsquoeacutevaluation et drsquoameacutelioration sont bien attribueacutes agrave un proprieacutetaire et que celui-ci les met en œuvre

4 Geacutereacute et mesurable Il existe un environnement de gestion du controcircle interne et du risque efficace On fait freacutequemment une eacutevaluation documenteacutee des controcircles De nombreux controcircles sont automatiseacutes et reacuteguliegraverement examineacutes Le management deacutetecte la plupart des problegravemes lieacutes aux controcircles mais ce nrsquoest pas systeacutematique Il existe un suivi seacuterieux qui permet de traiter les faiblesses reconnues des controcircles Lrsquoinformatique est utiliseacutee de faccedilon limiteacutee et tactique pour automatiser les controcircles

Lrsquoaspect critique des processus informatiques est reacuteguliegraverement deacutetermineacute avec le soutien et lrsquoaccord complets des proprieacutetaires de processus meacutetiers concerneacutes Lrsquoeacutevaluation des exigences de controcircle se base sur la politique et sur le niveau de maturiteacute de ces processus selon une analyse complegravete et chiffreacutee qui implique les parties prenantes les plus concerneacutees On sait clairement qui a la responsabiliteacute finale de ces eacutevaluations et on veacuterifie qursquoil lrsquoassume Les strateacutegies drsquoameacutelioration srsquoappuient sur des analyses de rentabiliteacute On veacuterifie constamment si la performance aboutit au reacutesultat souhaiteacute On organise occasionnellement des revues de controcircles externes

5 Optimiseacute Lrsquoentreprise a un programme geacuteneacuteral risquecontrocircle qui permet de reacutesoudre les problegravemes de faccedilon efficace et continue La gestion du controcircle et du risque est inteacutegreacutee dans les pratiques de lrsquoentreprise assisteacutee par une surveillance automatique en temps reacuteel et la responsabiliteacute finale de la surveillance des controcircles de la gestion des risques et du respect de la conformiteacute est pleinement assumeacutee Lrsquoeacutevaluation des controcircles est continue baseacutee sur des autoshyeacutevaluations et sur lrsquoanalyse des carences et des causes Les employeacutes srsquoimpliquent activement dans lrsquoameacutelioration des controcircles

Les modifications meacutetiers prennent en compte la dimension critique des processus informatiques et couvrent tous les besoins de reacuteeacutevaluation des capaciteacutes des controcircles des processus Les proprieacutetaires de processus informatiques effectuent reacuteguliegraverement des auto-eacutevaluations pour confirmer que les controcircles sont au bon niveau de maturiteacute pour satisfaire les besoins meacutetiers et ils prennent en compte les attributs de maturiteacute pour trouver comment rendre les controcircles plus efficients et plus efficaces Lrsquoentreprise se compare aux bonnes pratiques externes et cherche des conseils agrave lrsquoexteacuterieur sur lrsquoefficaciteacute du controcircle interne Pour les processus cruciaux on fait des revues indeacutependantes pour apporter lrsquoassurance raisonnable que les controcircles sont au niveau de maturiteacute deacutesireacute et qursquoils fonctionnent selon les preacutevisons


COBIT41



ANNEXE IV

DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41

AN

NE

XE

IV

DO

CU

ME

NT

S D

E R

EacuteFEacute

RE

NC

E

ANNEXE IV

ANNEXE IV minus DOCUMENTS DE REacuteFEacuteRENCE DE COBIT 41

Pour les activiteacutes de deacuteveloppement et de mise agrave jour preacuteceacutedentes de COBIT une importante base de 40 standards internationaux deacutetailleacutes relatifs agrave lrsquoinformatique de reacutefeacuterentiels guides et meilleures pratiques a eacuteteacute utiliseacutee pour garantir lrsquoexhaustiviteacute de COBIT dans son approche de tous les domaines de gouvernance et de controcircle des SI

Comme COBIT srsquointeacuteresse agrave ce qui est neacutecessaire pour une gestion et un controcircle adeacutequat des SI il se positionne au niveau geacuteneacuteral Les standards et les meilleures pratiques informatiques deacutecrivent cependant en deacutetail comment geacuterer et controcircler les aspects speacutecifiques de lrsquoinformatique COBIT agit comme inteacutegrateur de ces diffeacuterents guides en reacuteunissant les objectifs cleacutes dans un cadre de reacutefeacuterence geacuteneacuteral qui fait ausi le lien avec les exigences de gouvernance et les exigences des meacutetiers

Pour cette mise agrave jour de COBIT (COBIT 41) six des standards reacutefeacuterentiels et pratiques les plus reconnus mondialement ont eacuteteacute pris en compte comme reacutefeacuterences majeures garantissant que la couverture la coheacuterence et lrsquoalignement soient les meilleurs possibles Ce sont

bull COSO Internal Control-Integrated Framework 1994 Enterprise Risk Mangement-Integrated Framework 2004

bull Office of Government Commerce (OGCreg) IT Infrastructure Libraryreg (ITILreg) 1999-2004

bull International Organisation for Standardisation ISOIEC 27000

bull Software Engineering Institute (SEIreg) SEI Capability Maturity Model (CMMreg) 1993 SEI Capability Maturity Model Integration (CMMIreg) 2000

bull Project Management Institute (PMIreg) A Guide to the Project Management Body of Knlowledge (PMBOKreg) 2004

bull Information Security Forum (ISF) The Standard of Good Practice for Information Security 2003

Des reacutefeacuterences compleacutementaires ont eacuteteacute utiliseacutees pour COBIT 41 bull IT Control Objectives for Sarbanes-Oxley The Role of IT in the Design and Implementation of Internal Control Over Financial

Reporting 2nd Edition IT Governance Institute USA 2006 bull CISA Review Manual ISACA 2006


COBIT41



ANNEXE V

CORRESPONDANCE ENTRE COBIT 3EgraveME EacuteDITION ET COBIT 41

AN

NE

XE

V

CO

MPA

RA

ISO

N C

OB

IT 3

CO

BIT

41

ANNEXE V ANNEXE V minus CORRESPONDANCE ENTRE COBIT 3Egrave EacuteDITION ET COBIT 41

Modifications au niveau du Cadre de Reacutefeacuterence Les modifications majeures au cadre de reacutefeacuterence de COBIT reacutesultant de la mise agrave jour COBIT 40 sont les suivantes bull Le domaine S est devenu SE pour Surveiller et Eacutevaluer bull S3 et S4 eacutetaient des processus drsquoaudit et non des processus informatiques On les a enleveacutes puisqursquoils sont correctement traiteacutes par un

certain nombre de standards drsquoaudit informatique mais on a fourni un certain nombre de reacutefeacuterences dans la mise agrave jour du cadre de reacutefeacuterence pour souligner le besoin qursquoa le management de disposer des fonctions drsquoassurance et de les utiliser

bull SE3 est le processus qui srsquointeacuteresse agrave la supervision reacuteglementaire laquelle eacutetait auparavant couverte par PO8 bull SE4 concerne le processus de supervision des SI par la gouvernance ce qui correspond agrave lrsquoambition de COBIT drsquoecirctre un reacutefeacuterentiel de

gouvernance des SI En positionnant ce processus en dernier on a voulu souligner que tous les autres processus preacuteceacutedents contribuent au but ultime qui consiste agrave mettre en place une gouvernance efficace des SI dans lrsquoentreprise

bull Du fait que PO8 a eacuteteacute supprimeacute et pour conserver la numeacuterotation de PO9 Eacutevaluer les risques et de PO10 Geacuterer les projets comme dans COBIT 3e eacutedition PO8 devient maintenant Geacuterer la qualiteacute lrsquoancien processus PO11 Le domaine PO a donc deacutesormais 10 processus au lieu de 11

bull Le domaine AI a neacutecessiteacute deux modifications lrsquoajout drsquoun processus achats et le besoin drsquoinclure dans AI5 les aspects de la gestion des versions Ces derniegraveres modifications ont fait penser que ce processus devrait ecirctre le dernier du domaine AI il est donc devenu AI7 Le creacuteneau ainsi libeacutereacute en AI5 a eacuteteacute utiliseacute pour ajouter le nouveau processus achats Le domaine AI a deacutesormais 7 processus au lieu de 6

COBIT 41 est une version increacutementale de COBIT 40 comprenant bull Une ameacutelioration de la partie Synthegravese bull Une preacutesentation des objectifs et des meacutetriques dans la partie Cadre de Reacutefeacuterence bull De meilleures deacutefinitions des concepts essentiels Il est important de mentionner que la deacutefinition de lrsquoobjectif de controcircle a eacutevolueacutee pour

devenir davantage lrsquoexposeacute drsquoune pratique de management bull Une ameacutelioration des objectifs de controcircle reacutesultant drsquoune mise agrave jour des pratiques de controcircle et de la prise en compte de Val IT Certains

objectifs de controcircle ont eacuteteacute regroupeacutes etou reacuteeacutecrits pour eacuteviter les redondances et rendre la liste des objectifs de controcircle plus coheacuterente Il en a reacutesulteacute une renumeacuterotation des objectifs de controcircle restants Quelques objectifs de controcircle ont eacuteteacute reacuteeacutecrits afin de les rendre plus coheacuterents et davantage tourneacutes vers lrsquoaction Plus preacuteciseacutement minus AI55 et AI56 ont eacuteteacute regroupeacutes avec AI54 minus AI 79 AI710 et AI711 ont eacuteteacute regroupeacutes avec AI78 minus SE3 integravegre deacutesormais la conformiteacute aux obligations contractuelles en plus des obligations leacutegales et reacuteglementaires

bull Les controcircles applicatifs ont eacuteteacute retravailleacutes afin de les rendre plus efficaces pour aider agrave eacutevaluer et rendre compte de lrsquoefficaciteacute des controcircles Il en reacutesulte une liste de six controcircles applicatifs au lieu des 18 de COBIT 40 avec des deacutetails additionnels provenant des Pratiques de Controcircle COBIT 2egraveme version

bull La liste des objectifs meacutetiers et informatiques de lrsquoAnnexe I a eacuteteacute ameacutelioreacutee sur la base drsquoun nouveau regard reacutesultant des travaux de recherche meneacutes par lrsquoEcole de Management de Universiteacute drsquoAnvers (Belgique)

bull Le hors texte a eacuteteacute enrichi Il integravegre une liste de reacutefeacuterence rapide des processus COBIT et le diagramme de synthegravese de description des domaines a eacuteteacute revu afin drsquointeacutegrer une reacutefeacuterence aux controcircles de processus et aux controcircles applicatifs du Cadre de Reacutefeacuterence COBIT

bull Les ameacuteliorations proposeacutees par les utilisateurs de COBIT (COBIT 40 et COBIT Online) ont eacuteteacute revues et inteacutegreacutees quand cela eacutetait opportun

Objectifs de Controcircle Comme on peut le comprendre drsquoapregraves ce que nous venons drsquoexpliquer sur les modifications au niveau du cadre de reacutefeacuterence et sur le travail qui a permis de clarifier et de recentrer le contenu des objectifs de controcircle la mise agrave jour du cadre de reacutefeacuterence de COBIT a significativement modifieacute les objectifs de controcircle Ces composants ont eacuteteacute reacuteduits de 215 agrave 210 parce que tous les eacuteleacutements geacuteneacuteriques ne se retrouvent deacutesormais plus qursquoau niveau du cadre de reacutefeacuterence et ils ne sont pas reproduits pour chaque processus De mecircme toutes les reacutefeacuterences aux controcircles applicatifs ont migreacute vers le cadre de reacutefeacuterence et les objectifs de controcircle speacutecifiques ont eacuteteacute regroupeacutes dans de nouvelles rubriques Pour aider agrave faire la transition dans ce contexte les deux ensembles de tableaux qui suivent eacutetablissent des reacutefeacuterences croiseacutees entre les nouveaux objectifs de controcircle et les anciens

Guide de Management On a ajouteacute des entreacutees et des sorties pour illustrer ce dont les processus ont besoin (entreacutees) et ce qursquoen principe on attend drsquoeux (sorties) On a aussi preacutesenteacute les activiteacutes et les responsabiliteacutes qui y sont associeacutees Les entreacutees et les objectifs activiteacute remplacent les facteurs critiques de succegraves de COBIT 3e eacutedition Les meacutetriques sont deacutesormais baseacutees sur une deacuteclinaison coheacuterente drsquoobjectifs meacutetiers informatique processus et activiteacutes Les ensembles de meacutetriques de COBIT 3e eacutedition ont aussi eacuteteacute reacuteviseacutes et ameacutelioreacutes pour les rendre plus repreacutesentatifs et plus mesurables


COBIT41 Reacutefeacuterences croiseacutees de C OBIT 3e eacutedition agrave C OBIT 41

COBIT 3e eacutedition COBIT 41 PO1 Deacutefinir un plan informatique strateacutegique 11 Inteacutegration des TI au plan agrave 14 long et agrave court terme de lentreprise 12 Plan informatique agrave long 14 terme 13 Approche et structure de la 14 planification des TI agrave long terme 14 Modifications du plan 14 informatique agrave long terme 15 Planification agrave court terme 15 de la fonction informatique 16 Communication des plans 14 informatiques 17 Surveillance et eacutevaluation 13 des plans informatiques 18 Eacutevaluation des systegravemes 13 existants PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation

21

22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation

21

22 Dictionnaire et regravegles de 22 syntaxe des donneacutees de lentreprise 23 Plan de classification des 23 donneacutees 24 Niveaux de seacutecuriteacute 23 PO3 Deacuteterminer lorientation technologique 31 Planification de 31 linfrastructure technologique 32 Surveillance des tendances 33 et de la reacuteglementation 33 Secours de linfrastructure 31 technologique 34 Plans dacquisition du 31 AI31 mateacuteriel et des logiciels 35 Normes technologiques 34 35 PO4 Deacutefinir lorganisation et les relations de travail

COBIT 3e eacutedition 41 Comiteacute de planification ou de pilotage de la fonction informatique

COBIT 41 43

42 Position de la fonction informatique au sein de lentreprise

44

43 Reacutevision des reacutealisations de la fonction

45

44 Rocircles et responsabiliteacutes 46 45 Responsabiliteacute de lassurance qualiteacute

47

46 Responsabiliteacute de la seacutecuriteacute physique et logique

48

47 Statuts de proprieacutetaire et de gardien

49

48 Proprieacuteteacute des donneacutees et du systegraveme

49

49 Supervision 410 410 Seacuteparation des tacircches 411 411 Gestion du personnel informatique

412

412 Description des fonctions ou des postes du personnel de la fonction informatique

46

413 Personnel cleacute des TI 413 414 Proceacutedures de gestion du personnel sous contrat

414

415 Relations de travail 415 PO5 Geacuterer linvestissement informatique 51 Budget annuel de fonctionnement de la fonction informatique

53

52 Surveillance des coucircts et des gains

54

53 Justification des coucircts et des gains

11 54 55

PO6 Faire connaicirctre les buts et orientations du management 61 Dispositif de controcircle positif de linformation

61

62 Responsabiliteacute du management vis-agrave-vis des politiques

63 64 65

63 Communication des politiques de lentreprise

63 64 65

64 Ressources utiliseacutees pour la mise en œuvre de la politique

64

65 Maintenance des politiques 63 64 66 Conformiteacute aux politiques aux proceacutedures et aux standards

63 64 65

67 Engagement vis-agrave-vis de la qualiteacute

63 64 65

68 Cadre de seacutecuriteacute et de controcircle interne

62

69 Droits relatifs agrave la proprieacuteteacute intellectuelle

63 64 65

610 Politiques speacutecifiques 63 64 65 611 Sensibilisation agrave la seacutecuriteacute informatique

63 64 65

PO7 Geacuterer les ressources humaines 71 Recrutement et promotion du personnel

71

72 Qualification du personnel 72 73 Rocircles et responsabiliteacutes 74 74 Formation 75 75 Organisation des remplacements ou formations croiseacutees

76

COBIT 3e eacutedition 76 Proceacutedures de seacutecuriteacute concernant le personnel

COBIT 41 77

77 Eacutevaluation des performances

78

78 Gestion des changements de poste et des deacuteparts

78

PO8 Se conformer aux exigences externes 81 Revue des impeacuteratifs externes

SE31

82 Pratiques et proceacutedures pour se conformer aux exigences externes

SE32

83 Conformiteacute en matiegravere de seacutecuriteacute et dergonomie

SE31

84 Vie priveacutee proprieacuteteacute intellectuelle et transfert de donneacutees

SE31

85 Commerce eacutelectronique SE31 86 Conformiteacute des contrats dassurance

SE31

PO9 Eacutevaluer les risques91 Eacutevaluation du risque dentreprise

91 92 94

92 Approche drsquoeacutevaluation des risques

94

93 Identification des risques 93 94 Evaluation des risques 91 92 93

94 95 Plan daction pour parer aux risques

95

96 Acceptation des risques 95 97 Choix des mesures de sauvegarde

95

98 Engagement dans leacutevaluation des risques

91

PO10 Geacuterer des projets 101 Structure de gestion de projets

102

102 Participation du deacutepartement utilisateur agrave linitialisation du projet

104

103 Appartenance agrave leacutequipe projet et responsabiliteacutes

108

104 Deacutefinition du projet 105 105 Approbation du projet 106 106 Approbation des phases du projet

106

107 Plan directeur du projet 107 108 Plan dassurance qualiteacute du systegraveme

1010

109 Planification des meacutethodes dassurance qualiteacute

1012

1010 Gestion formelle des risques du projet

109

1011 Plan de test AI72 1012 Plan de formation AI71 1013 Plan de reacutevision apregraves mise en œuvre

1014 (partiel)

PO11 Geacuterer la qualiteacute 111 Plan geacuteneacuteral de qualiteacute 85 112 Approche de lassurance qualiteacute

81

113 Planification de lrsquoassurance qualiteacute

81

114 Reacutevision par lassurance qualiteacute du respect des normes et des proceacutedures de la fonction informatique

81 82

115 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes

82 83


ANNEXE V COBIT 3e eacutedition 116 Meacutethodologie du cycle de vie de deacuteveloppement des systegravemes lors de modifications majeures agrave effectuer sur la technologie existante

COBIT 41 82 83

117 Mise agrave jour de la meacutethodologie du cycle de vie de deacuteveloppement des systegravemes

82 83

118 Coordination et 82 communication

COBIT 3e eacutedition 119 Cadre dacquisition et de maintenance de linfrastructure technologique

COBIT 41 82

1110 Relations avec les tiers DS23 chargeacutes du deacuteveloppement 1111 Normes de AI42 AI43 documentation des AI44 programmes 1112 Normes de test des AI72 AI74 programmes 1113 Normes de test des AI72 AI74 systegravemes

COBIT 3e eacutedition 1114 Test en parallegravelesur pilote

COBIT 41 AI72 AI74

1115 Documentation des tests AI72 AI74 1116 Assurance qualiteacute et eacutevaluation du respect des normes de deacuteveloppement

82

1117 Assurance qualiteacute et revue de latteinte des objectifs de la fonction informatique

82

1118 Indicateurs de qualiteacute 86 1119 Comptes-rendus des revues dassurance qualiteacute

82

COBIT 3e eacutedition COBIT 41 AI1 Trouver des solutions informatiques

11 Deacutefinition des besoins dinformation

11

12 Formulation des solutions alternatives

13 51 PO14

13 Formulation de la strateacutegie dachat

13 51 PO14

14 Exigences pour les services fournis par des tiers

51 53

15 Eacutetude de faisabiliteacute technologique

13

16 Eacutetude de faisabiliteacute eacuteconomique

13

17 Architecture de linformation 13

18 Rapport danalyse des risques

12

19 Controcircles du rapport coucirctefficaciteacute de la seacutecuriteacute

11 12

110 Conception des pistes daudit

11 12

111 Ergonomie 11 112 Seacutelection du logiciel systegraveme

11 13

113 Controcircle des achats 51 114 Acquisition de logiciels 51

115 Maintenance des logiciels par des tiers

54

116 Programmation dapplications sous contrat

54

117 Reacuteception des eacutequipements

54

118 Reacuteception de technologie 31 32 33 54

AI2 Acqueacuterir des applications et en assurer la maintenance 21 Meacutethodes de conception 21 22 Modifications majeures dun systegraveme existant

21 22 26

COBIT 3e eacutedition COBIT 41 23 Approbation de la conception

21

24 Deacutefinition des exigences en matiegravere de fichiers et documentation

22

25 Speacutecifications des programmes

22

26 Conception de la collecte des donneacutees sources

22

27 Deacutefinition et documentation des exigences de saisie

22

28 Deacutefinition des interfaces 22 29 Interface homme - machine 22 210 Deacutefinition et documentation des exigences de traitement

22

211 Deacutefinition et documentation des exigences des sorties

22

212 Les controcircles 23 24 213 La disponibiliteacute facteur cleacute de la conception

22

214 Dispositions pour preacuteserver linteacutegriteacute des applications

23 DS115

215 Tests des applications 28 74 216 Manuels utilisateurs et mateacuteriels de support

43 44

217 Reacuteeacutevaluation de la conception des systegravemes

22

AI3 Acqueacuterir une infrastructure technologique et en assurer la maintenance 31 Eacutevaluation des nouveaux mateacuteriels et logiciels

31 32 33

32 Maintenance preacuteventive du mateacuteriel

DS135

33 Seacutecuriteacute des logiciels systegravemes

31 32 33

34 Installation des logiciels systegravemes

31 32 33

35 Maintenance des logiciels systegravemes

33

36 Controcircle des modifications des logiciels systegravemes

61 73

COBIT 3e eacutedition COBIT 41 37 Utilisation et surveillance des utilitaires systegraveme

32 33 DS93

AI4 Deacutevelopper les proceacutedures et en assurer la maintenance 41 Besoins dexploitation et niveaux de service

41

42 Manuel des proceacutedures utilisateurs

42

43 Manuel dexploitation 44 44 Supports de formation 43 44 AI5 Installer les systegravemes et les valider 51 Formation 71 52 Eacutevaluation des performances des logiciels dapplication

76 DS31

53 Plan de mise en place 72 73 54 Conversion du systegraveme 75 55 Conversion des donneacutees 75 56 Strateacutegie et plans de tests 72 57 Test des modifications 74 76 58 Critegraveres et performances des tests en parallegravelesur pilote

76

59 Tests de recette deacutefinitive 77 510 Tests de seacutecuriteacute et validation

76

511 Tests dexploitation 76 512 Transfert en production 78 513 Eacutevaluation de ladeacutequation de lapplication aux besoins des utilisateurs

79

514 Revue par le management apregraves mise en place

79

AI6 Geacuterer les changements 61 Lancement et controcircle des demandes de modification

61 64

62 Eacutevaluation de limpact 62 63 Controcircle des modifications 79 64 Modifications durgence 63 65 Documentation et proceacutedures

65

66 Maintenance autoriseacutee DS53 67 Preacuteparation de la diffusion des logiciels

79

68 Diffusion des logiciels 79

COBIT 3e eacutedition COBIT 41 DS1 Deacutefinir et geacuterer des niveaux de services 11 Contrat de niveaux de services

11

12 Contenu des contrats de servivce

13

13 Proceacutedures de fonctionnement

11

14 Surveillance et comptesshyrendus

15

COBIT 3e eacutedition COBIT 41 15 Revue des conventions de 16 niveaux de services et des contrats 16 Charges facturables 13 17 Programme dameacutelioration de service

16

DS 2 Geacuterer des services tiers 21 Interfaces fournisseurs 21 22 Titulaire de la relation 22 23 Contrats avec des tiers AI52 24 Qualification des tiers AI53 25 Contrat dexternalisation AI52

COBIT 3e eacutedition 26 Continuiteacute des services

COBIT 41 23

27 Relations seacutecuriteacute 23 28 Surveillance 24 DS3 Geacuterer la performance et la capaciteacute 31 Impeacuteratifs de disponibiliteacute et de performance

31

32 Plan de disponibiliteacute 34 33 Surveillance et comptesshyrendus

35

34 Outils de modeacutelisation 31 35 Gestion proactive de la performance

33


COBIT41 COBIT 3e eacutedition 36 Preacutevisions de charge de travail

COBIT 41 33

37 Gestion de la capaciteacute des ressources

32

38 Disponibiliteacute des ressources 34 39 Planification des ressources 34 DS4 Assurer un service continu 41 Plan de continuiteacute informatique

41

42 Plan de continuiteacute informatique strateacutegie et philosophie

41

43 Contenu du plan de continuiteacute informatique

42

44 Minimiser les besoins de continuiteacute informatique

43

45 Maintenance du plan de continuiteacute informatique

44

46 Test du plan de continuiteacute informatique

45

47 Formation au plan de continuiteacute informatique

46

48 Diffusion du plan de continuiteacute informatique

47

49 Proceacutedures alternatives de traitement pour le secours des deacutepartements utilisateurs

48

410 Ressources informatiques critiques

43

411 Site et mateacuteriel de secours 48 412 Sauvegarde hors site 49 413 Proceacutedures deacutevaluation apregraves sinistre

410

DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion des mesures de seacutecuriteacute

51

52 Identification authentification et accegraves

53

53 Seacutecuriteacute daccegraves en ligne aux donneacutees

53

54 Gestion des comptes utilisateurs

54

55 Revue des comptes utilisateurs par le management

54

56 Controcircle des utilisateurs sur leurs comptes

54 55

57 Surveillance de la seacutecuriteacute 55 58 Classification des donneacutees PO23 59 Gestion centraliseacutee des identifiants et des droits daccegraves

53

510 Rapports dactiviteacute sur la seacutecuriteacute et les violations de la seacutecuriteacute

55

511 Gestion des incidents 56 512 Proceacutedure de revalidation 51 513 Controcircle des contreparties 53 CA6 514 Autorisation des transactions

53

515 Non-reacutepudiation 511 516 Chemin seacutecuriseacute 511 517 Protection des fonctions de seacutecuriteacute

57

518 Gestion des clefs de chiffrement

58

519 Preacutevention deacutetection et correction des virus

59

COBIT 3e eacutedition 520 Architectures de pare-feu (firewall) et connexions aux reacuteseaux publics

COBIT 41 510

521 Protection des valeurs eacutelectroniques

134

DS6 Identifier et imputer les coucircts 61 Charges facturables 61 62 Proceacutedures deacutevaluation des coucircts

63

63 Proceacutedures dimputation et de refacturation aux utilisateurs

62 64

DS7 Instruire et former les utilisateurs 71 Identification des besoins de formation

71

72 Organisation de la formation 72 73 Sensibilisation et formation aux regravegles de seacutecuriteacute

PO74

DS8 Aider et conseiller les clients 81 Assistance help desk 81 85 82 Enregistrement des demandes des clients

82 83 84

83 Escalade des demandes des clients

83

84 Surveillance du traitement 103 85 Analyse des tendances et compte-rendu

101

DS9 Geacuterer la configuration 91 Enregistrement de la configuration

91

92 Configuration de base 91 93 Situation comptable 93 94 Controcircle de configuration 93 95 Logiciels non autoriseacutes 93 96 Stockage des logiciels AI34 97 Proceacutedures de gestion de la configuration

92

98 Responsabiliteacute des logiciels 91 92 DS10 Geacuterer les problegravemes et les incidents 101 Systegraveme de gestion des problegravemes

101 102 103 104

102 Escalade des problegravemes 102 103 Suivi des problegravemes et piste daudit

82 102

104 Autorisations daccegraves temporaires ou en urgence

54 123 AI63

105 Prioriteacutes des traitements durgence

101 83

DS11 Geacuterer les donneacutees 111 Proceacutedures de preacuteparation de donneacutees

CA1

112 Proceacutedures dautorisation des documents sources

CA1

113 Collecte des donneacutees des documents sources

CA1

114 Traitement des erreurs dans les documents sources

CA1

115 Conservation des documents sources

DS112

116 Proceacutedures dautorisation dentreacutee de donneacutees

CA2

117 Controcircles dexactitude drsquoexhaustiviteacute et dautorisation

CA3

118 Traitement des erreurs de saisie de donneacutees

CA2 CA4

119 Inteacutegriteacute du traitement des donneacutees

CA4

1110 Validation et preacuteparation du traitement des donneacutees

CA4

COBIT 3e eacutedition COBIT 41 1111 Gestion des erreurs de CA4 traitement des donneacutees 1112 Traitement et CA5 112 conservation des fichiers de sortie 1113 Distribution des sorties CA5 CA6 1114 Reacuteconciliation et ajustage CA5 des sorties 1115 Revue des sorties et CA5 traitement des erreurs 1116 Clauses de seacutecuriteacute des 116 eacutetats en sortie 1117 Protection des CA6 116 informations sensibles pendant la transmission et le transport 1118 Protection des 114 CA6 informations sensibles mises agrave disposition 1119 Gestion du stockage 112 1120 Peacuteriodes de conservation 112 et conditions de stockage 1121 Systegraveme de gestion de la meacutediathegraveque

113

1122 Responsabiliteacutes de la 113 gestion de la meacutediathegraveque 1123 Sauvegarde et 115 restauration 1124 Travaux de sauvegarde 114 1125 Stockage des sauvegardes

49 113

1126 Archivage 112 1127 Protection des messages sensibles

116

1128 Authentification et CA6 inteacutegriteacute 1129 Inteacutegriteacute des transactions eacutelectroniques

511

1130 Inteacutegriteacute permanente des 112 donneacutees enregistreacutees DS12 Geacuterer les installations 121 Seacutecuriteacute physique 121 122 122 Discreacutetion du site 121 122 informatique 123 Accompagnement des visiteurs

123

124 Santeacute et seacutecuriteacute du 121125 personnel SE31 125 Protection contre les 124 129 risques lieacutes agrave lenvironnement 126 Continuiteacute de lrsquoalimentation 125 eacutelectrique DS13 Geacuterer lrsquoexploitation 131 Proceacutedures dexploitation et manuels dinstructions

131

132 Documentation du processus de deacutemarrage du systegraveme et des autres tacircches dexploitation

131

133 Planification des travaux 132 134 Travaux non planifieacutes 132 135 Continuiteacute des traitements 131 136 Journaux dexploitation 131 137 Peacuteripheacuteriques de sortie et supports particuliers de sauvegarde

134

138 Exploitation agrave distance 511


ANNEXE V COBIT 3e eacutedition COBIT 41 S1 Surveiller les processus 11 Collecter les donneacutees de controcircle

12

12 Eacutevaluer les performances 14 13 Eacutevaluer la satisfaction des clients de linformatique

12

14 Rapports de gestion 15 S2 Eacutevaluer lrsquoadeacutequation du controcircle interne 21 Surveillance du controcircle interne

22

22 Exploitation en temps opportun des controcircles internes

21

23 Rapports sur le niveau de controcircle interne

22 23

24 Assurance sur lrsquoefficaciteacute de la seacutecuriteacute et du controcircle interne

24

S3 Acqueacuterir une assurance indeacutependante 31 Certification Validation indeacutependante de la seacutecuriteacute et du controcircle interne des services informatiques

25 47

COBIT 3e eacutedition 32 Certification Validation indeacutependante des services fournis par des prestataires

COBIT 41 25 47

33 Eacutevaluation indeacutependante 25 47 de lefficaciteacute de la fonction informatique 34 Eacutevaluation indeacutependante des tiers fournisseurs de services

25 47

35 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels

25 47

36 Assurance indeacutependante de conformiteacute aux lois agrave la reacuteglementation et aux engagements contractuels des tiers fournisseurs de services

25 26 47

37 Compeacutetence de lassurance indeacutependante

25 47

38 Implication proactive de laudit

25 47

COBIT 3e eacutedition S4 Disposer drsquoun audit indeacutependant

COBIT 41

41 Charte daudit 25 47 42 Indeacutependance 25 47 43 Eacutethique et normes professionnelles

25 47

44 Compeacutetence 25 47 45 Planification 25 47 46 Reacutealisation du travail 25 47 daudit 47 Rapports daudit 25 47 48 Activiteacutes de suivi 25 47


COBIT41 Reacutefeacuterences croiseacutees de C OBIT 41 agrave COBIT 3e eacutedition

COBIT 41 COBIT 3e

eacutedition PO1 Deacutefinir un plan informatique strateacutegique 11 Gestion de la valeur des SI 53 12 Alignement meacutetiersshyinformatique

Nouveau

13 Eacutevaluation de la performance actuelle

17 18

14 Plan informatique strateacutegique

11 12 13 14 16 AI12 AI13

15 Plans informatiques tactiques

15

16 Gestion du portefeuille informatique

Nouveau

PO2 Deacutefinir larchitecture de lrsquoinformation 21 Modegravele darchitecture de linformation de lrsquoentreprise

21

22 Dictionnaire et regravegles de syntaxe des donneacutees de lentreprise

22

23 Systegraveme de classification des donneacutees

23 24 DS58

24 Gestion de linteacutegriteacute Nouveau PO3 Deacuteterminer lorientation technologique 31 Planification de lrsquoorientation technologique

31 33 34

32 Planification de linfrastructure technologique

Nouveau

33 Surveillance des tendances et de la reacuteglementation

32

34 Standards informatiques 35 35 Comiteacute architecture des TI 35 PO4 Deacutefinir les processuslorganisation et les relations de travail 41 Ca dre de reacutefeacuterence des processus informatiques

Nouveau

42 Comiteacute strateacutegique informatique

Nouveau

43 Comiteacute de pilotage informatique

41


42

45 Structure du service informatique

43

46 Rocircles et responsabiliteacutes 44 412 47 Responsabiliteacute de lassurance qualiteacute informatique

45

48 Responsabiliteacute du risque de la seacutecuriteacute et de la conformiteacute

46


47 48

COBIT 41 COBIT 3e

eacutedition 410 Supervision 49 411 Seacuteparation des tacircches 410 412 Recrutement informatique 411 413 Personnel informatique cleacuteI 413 414 Proceacutedures de gestion du personnel sous contrat

414

415 Relations 415 PO5 Geacuterer linvestissement informatique 51 Reacutefeacuterentiel de gestion financiegravere

Nouveau

52 Deacutefinition des prioriteacutes dans le budget informatique

Nouveau

53 Processus de budgeacutetisation informatique

51 53

54 Gestion des coucircts 52 53 55 Gestion des beacuteneacutefices 53 PO6 Faire connaicirctre les buts et les orientations du management 61 Politique informatique et environnement de controcircle

61

62 Risque informatique pour lrsquoentrepriqe et cadre de controcircle interne

6 8

63 Gestion des politiques informatiques

62 63 65 66 67 69 610 611

64 Deacuteploiement des politiques 62 63 64 65 66 67 69 610 611

65 Communication des objectifs et des orientations informatiques

62 63 65 66 67 69 610 611

PO7 Geacuterer les ressources humaines informatiques 71 Recrutement et maintien du personnel

71

72 Compeacutetences du personnel 72 73 Affectation des rocircles Nouveau 74 Formation 73 DS73 75 Deacutependance agrave lrsquoeacutegard drsquoindividus

74

76 Proceacutedures de seacutecuriteacute concernant le personnel

75


76


77 78


COBIT 41 COBIT 3e

eacutedition 81 Systegraveme de gestion de la qualiteacute

112 113 114

82 Standards informatiques et pratiques qualiteacute

115 116 117 118 19 1110 1116 1117 1119

83 Standards de deacuteveloppement et drsquoacquisition

115 116 117

84 Orientation client Nouveau 85 Ameacutelioration continue Nouveau 86 Mesure surveillance et revue qualiteacute

1118

PO9 Eacutevaluer et geacuterer les risques 91 Reacutefeacuterentiel de gestion des risque informatiques

91 94 98

92 Eacutetablissement du contexte du risque

91 94

93 Identification des eacuteveacutenements

93 94

94 Eacutevaluation des risques 91 92 94 95 Reacuteponse aux risques 95 96 97 96 Maintenance et surveillance drsquoun plan drsquoaction vis-agrave-vis des risques

Nouveau

PO10 Geacuterer des projets 101 Cadre de gestion de programme

Nouveau

102 Cadre de gestion de projet 101 103 Approche de la gestion de projets

Nouveau

104 Implication des parties prenantes

102

105 Eacutenonceacute du peacuterimegravetre du projet

104

106 Deacutemarrage drsquoune phase du projet

105 106

107 Plan de projet inteacutegreacute 107 108 Ressources du projet 103 109 Gestion des risques des projets

1010

1010 Plan qualiteacute du projet 108 1011 Controcircle des changements du projet

Nouveau

1012 Planification des meacutethodes dassurance

109

1013 Meacutetrique reporting et surveillance de la performance du projet

Nouveau

1014 Clocircture du projet 1013 (partiel)


ANNEXE V COBIT 41 COBIT 3e

eacutedition AI1 Trouver des solutions informatiques 11 Deacutefinition et actualisation des exigences meacutetiers techniques et fonctionnelles

11 19 110 111 112

12 Rapport danalyse des risques 18 19 110 13 Eacutetudes de faisabiliteacute et formulation drsquoalternatives

13 17 112

14 Deacutecision et approbation concernant les exigences et la faisabiliteacute

Nouveau

AI2 Acqueacuterir des applications et en assurer la maintenance 21 Conception geacuteneacuterale 21 22 22 Conception deacutetailleacutee 22 24 25

26 27 28 29 210 211 213 217

23 Controcircle applicatif et auditabiliteacute

212 214

24 Seacutecuriteacute et disponibiliteacute des applications

212

25 Configuration et impleacutementation des logiciels applicatifs acquis

Nouveau

26 Mises agrave jour majeures des systegravemes existants

22

27 Deacuteveloppement dapplications Nouveau 28Assurance qualiteacute des logiciels 215 29 Gestion des exigences des applications

Nouveau

210 Maintenance des applications

Nouveau

COBIT 41 COBIT 3e

eacutedition AI3 Acqueacuterir une infrastructure technique et en assurer la maintenance 31 Plan drsquoacquisition drsquoune infrastructure technique

PO34 118 31 33 34

32 Protection et disponibiliteacute des ressources de lrsquoinfrastructure

118 31 33 34 37

33 Maintenance de lrsquoinfrastructure

118 31 33 34 35 37

34 Environnement de test de faisabiliteacute

Nouveau

AI4 Faciliter le fonctionnement et lrsquoutilisation 41 Planification pour rendre les solutions exploitables

41

42 Transfert de la connaissance au secteur meacutetier

PO1111 42

43 Transfert des connaissances aux utilisateurs finaux

PO1111 216 44

44 Transfert des connaissances vers le personnel drsquoexploitation et du support

PO1111 216 43 44

AI5 Acqueacuterir des ressources informatiques 51 Controcircle des achats 12 13 14

113 114 52 Gestion des contrats fournisseurs

DS23 DS25

53 Seacutelection des fournisseurs 14 DS24 54 Acquisition de ressources informatiques

115 116 117 118

AI6 Geacuterer les changements 61 Standards et proceacutedures de changement

36 61

COBIT 41 COBIT 3e

eacutedition 62 Eacutevaluation de lrsquoimpact choix des prioriteacutes et autorisation

62

63 Modifications durgence DS10 64 64 Suivi et compte-rendu des changements

61

65 Clocircture et documentation des changements

65

AI7 Installer et valider les solutions et les modifications 71 Formation PO1011

PO1012 51 72 Programme de test PO1011

PO1112 PO1113 PO1114 PO1115 53 56

73 Plan drsquoimpleacutementation 36 53 74 Environnement de tests PO1112

PO1113 PO1114 PO1115 215 57

75 Conversion des systegravemes et des donneacutees

54 55

76 Test des modifications 52 57 58 510 511

77 Tests de recette deacutefinitive 59 78 Transfert en production 512 79 Revue post-deacutemarrage 513 514

COBIT 41 COBIT 3e

eacutedition DS1 Deacutefinir et geacuterer les niveaux de services 11 Reacutefeacuterentiel pour la gestion des niveaux de services

11 13

12 Deacutefinition des services Nouveau 13 Contrats de services 12 14 Contrats drsquoexploitation Nouveau 15 Surveillance et comptesshyrendus des niveaux de services atteints

14

16 Revue des conventions de service et des contrats

15 16

DS 2 Geacuterer les services tiers 21 Identification des relations avec tous les fournisseurs

21

22 Gestion des relations fournisseurs

22

23 Gestion du risque fournisseurs PO1110 26 27

24 Surveillance des performances fournisseurs

28

DS3 Geacuterer la performance et la capaciteacute 31 Planification de la performance et de la capaciteacute

AI52 31 34

32 Performance et capaciteacute actuelles

37

33 Performance et capaciteacute futures

35 36

34 Disponibiliteacute des ressources informatiques

32 38 39

35 Surveillance et comptes rendus

33

DS4 Assurer un service continu 41 Reacutefeacuterentiel de continuiteacute informatique

41 42

COBIT 41 COBIT 3e

eacutedition 42 Plans de continuiteacute informatique

43


44 410

44 Maintenance du plan de continuiteacute des SI

45

45 Tests du plan de continuiteacute des SI

46

46 Formation au plan de continuiteacute des SI

47

47 Diffusion du plan de continuiteacute des SI

48

48 Restauration et redeacutemarrage des services informatiques

49 411

49 Stockage de sauvegardes hors site

412 1125

410 Revue apregraves redeacutemarrage 413 DS5 Assurer la seacutecuriteacute des systegravemes 51 Gestion de la seacutecuriteacute informatique

51 512

52 Plan de seacutecuriteacute informatique Nouveau 53 Gestion des identiteacutes 52 53 59

514 AI66 54 Gestion des comptes utilisateurs

54 55 56 513 104

55 Tests de seacutecuriteacute vigilance et surveillance

56 57 510

56 Deacutefinition des incidents de seacutecuriteacute

511

57 Protection de la technologie de seacutecuriteacute

517


518

COBIT 41 COBIT 3e

eacutedition 59 Preacutevention deacutetection et neutralisation des logiciels malveillants

519

510 Seacutecuriteacute des reacuteseaux 520 511 Eacutechange de donneacutees sensibles

515 516 1129 138

DS6 Identifier et imputer les coucircts 61 Deacutefinition des services 61 62 Comptabiliteacute de lrsquoinformatique

63

63 Modegravele de coucircts et facturation

62

64 Maintenance du modegravele de coucircts

63

DS7 Instruire et former les utilisateurs 71 Identification des besoins en savoir et en formation

71

72 Fourniture de formation et drsquoenseignement

72

73 Eacutevaluation de la formation reccedilue

Nouveau

DS8 Geacuterer le service drsquoassistance client et les incidents 81 Servie drsquoassistance client 81 82 Enregistrement des demandes des clients

82 103

83 Escalade des incidents 82 83 105

84 Clocircture des incidents 82 85 Analyse des tendances 81 DS9 Geacuterer la configuration 91 Reacutefeacuterentiel de configuration et configuration de base

91 92 98

92 Identification et maintenance des eacuteleacutements de configuration

97 98


COBIT41 COBIT 41 COBIT 3e

eacutedition 93 Revue drsquointeacutegriteacute des 93 94 95 configurations DS10 Geacuterer les problegravemes 101 Identification et 85 101 classification des problegravemes 105 102 Suivi et reacutesolution des Nouveau problegravemes 103 Clocircture des problegravemes 84 101 104 Inteacutegration des modifications de la gestion des configurations et de la gestion des problegravemes

Nouveau 101

DS11 Geacuterer les donneacutees 111 Exigences meacutetiers pour la gestion des donneacutees

Nouveau

COBIT 41 COBIT 3e

eacutedition 112 Dispositifs de stockage et de conservation

1112 1119 1120 1126 1130

113 Systegraveme de gestion de la meacutediathegraveque

1121 1122 1125

114 Mise au rebut 1118 1124 115 Sauvegarde et restauration

AI214 1123

116 Exigences seacutecuriteacute pour la gestion des donneacutees

1116 1117 1127

DS 12 Geacuterer lrsquoenvironnement physique 121 Seacutelection du site et agencement

121 122 124

122 Mesures de seacutecuriteacute physique

121 122

COBIT 41 COBIT 3e

eacutedition 123 Accegraves physique 104 123 124 Protection contre les 125 risques lieacutes agrave lenvironnement 125 Gestion des installations 124 126 mateacuterielles 129 DS 13 Geacuterer lrsquoexploitation 131 Proceacutedures et instructions 131 132 drsquoexploitation 135 136 132 Planification des travaux 133 134 133 Surveillance de Nouveau lrsquoinfrastructure informatique 134 Documents sensibles et 521 137 dispositifs de sortie 135 Maintenance preacuteventive AI32 du mateacuteriel

COBIT 41 COBIT 3e

eacutedition SE1 Surveiller et eacutevaluer la performance des SI 11 Approche de la surveillance 10 12 Deacutefinition et collationnement des donneacutees de surveillance

11 13

13 Meacutethode de surveillance Nouveau 14 Eacutevaluation de la performance

12

15 Comptes-rendus destineacutes au CA et agrave la DG

14

16 Actions correctives Nouveau SE2 Surveiller et eacutevaluer le controcircle interne 21 Surveillance du reacutefeacuterentiel de controcircle interne

20

22 Revue geacuteneacuterale 21 23

COBIT 41 COBIT 3e

eacutedition 23 Anomalies deacutetecteacutees par le controcircle

Nouveau

24 Auto-eacutevaluation du controcircle 24 25 Assurance de controcircle interne

Nouveau

26 Controcircle interne des tiers 36 27 Actions correctives Nouveau SE3 Garantir la conformiteacute aux obligations externes 31 Identification des obligations externes de conformiteacute lois regraveglements et contrats

PO81 PO83 PO84 PO85 PO86 DS124

32 Optimisation de la reacuteponse aux obligations externes

PO82

COBIT 41 COBIT 3e

eacutedition 33 Eacutevaluation de la conformiteacute aux obligations

Nouveau

34 Assurance positive de la conformiteacute

Nouveau

35 inteacutegration des rapports Nouveau SE4 Mettre en place une gouvernance des SI 41 Mise en place drsquoun cadre de gouvernance des SI

Nouveau

42 Alignement strateacutegique Nouveau 43 Apport de valeur Nouveau 44 Gestion des ressources Nouveau 45 Gestion des risques Nouveau 46 Mesure de la performance Nouveau 47 Assurance indeacutependante Nouveau


ANNEXE VI

APPROCHE RECHERCHE ET DEacuteVELOPPEMENT

AN

NE

XE

VI

A

PPR

OC

HE

RE

CH

amp D

EacuteV

ANNEXE VI

ANNEXE VI minus APPROCHE RECHERCHE ET DEacuteVELOPPEMENT

Le deacuteveloppement du contenu du reacutefeacuterentiel COBIT est superviseacute par le Comiteacute de Pilotage COBIT constitueacute de repreacutesentants internationaux drsquoentreprises drsquouniversiteacutes du gouvernement et de professionnels de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute Des groupes de travail internationaux ont eacuteteacute mis en place dans le but de reacuteviser dans une perspective dassurance qualiteacute les versions intermeacutediaires du travail fait en recherche et deacuteveloppement Le IT Governance Institute (ITGI) a superviseacute lensemble du projet

Eacuteditions preacuteceacutedentes de COBIT

Deacutefinis dans le Cadre de Reacutefeacuterence COBIT de la premiegravere eacutedition lapplication des standards internationaux des principes directeurs et des meilleures pratiques mises agrave jour par les recherches ont conduit au deacuteveloppement des objectifs de controcircle Le Guide dAudit a ensuite eacuteteacute conccedilu pour veacuterifier si ces objectifs de controcircle eacutetaient correctement mis en œuvre Pour la 1egravere et la 2egraveme eacutedition la recherche a porteacute entre autres sur le collationnement et lanalyse de sources internationales et a eacuteteacute meneacutee agrave bien par des eacutequipes europeacuteennes (Free University of Amsterdam) ameacutericaines (California Polytechnic University) et australiennes (University of New South Wales) Les chercheurs ont eacuteteacute chargeacutes de la compilation de la reacutevision de leacutevaluation et de lincorporation adeacutequate des standards internationaux dans les domaines des techniques des codes de conduite de la qualiteacute des audits et des pratiques et exigences des entreprises pour ce qui concerne le Cadre de Reacutefeacuterence et les objectifs de controcircles individuels Apregraves collationnement et analyse on a demandeacute aux chercheurs dexaminer chaque domaine et chaque processus en deacutetail et soit de suggeacuterer des modifications des objectifs de controcircle soit den proposer de nouveaux pour chaque processus consideacutereacute La synthegravese des reacutesultats a eacuteteacute reacutealiseacutee par le Comiteacute de Pilotage COBIT

Le projet de la 3egraveme eacutedition de COBIT a consisteacute agrave eacutelaborer le Guide de Management et agrave actualiser la 2egraveme eacutedition en fonction de reacutefeacuterences internationales soit reacuteviseacutees soit nouvelles De plus le Cadre de Reacutefeacuterence COBIT a eacuteteacute reacuteviseacute et enrichi pour permettre un meilleur controcircle de gestion pour introduire la gestion de performance et pour deacutevelopper davantage la gouvernance des SI Pour fournir au management une application du Cadre de Reacutefeacuterence et lui permettre ainsi de faire des choix pour la mise en place de controcircles et pour ameacuteliorer ses systegravemes informatiques ainsi que pour mesurer les performances le Guide de Management inclut des Modegraveles de Maturiteacute des Facteurs Cleacutes de Succegraves des Indicateurs Cleacutes dObjectif et des Indicateurs Cleacutes de Performance tous lieacutes aux Objectifs de Controcircle

Le Guide de Management a requis un panel mondial de 40 experts du monde universitaire gouvernemental et des professions de la gouvernance de lrsquoassurance du controcircle et de la seacutecuriteacute informatiques Ces experts se sont reacuteunis en un atelier animeacute par des professionnels du travail de groupe qui utilisaient des principes de deacuteveloppement deacutefinis par le Comiteacute de Pilotage de COBIT Latelier a eacuteteacute activement soutenu par le Gartner Group et par PricewaterhouseCoopers qui ont non seulement fourni le leadership intellectuel mais ont aussi envoyeacute plusieurs de leurs experts en controcircle gestion de la performance et seacutecuriteacute de linformation Les reacutesultats de cet atelier furent les eacutebauches des modegraveles de maturiteacute des facteurs cleacutes de succegraves des indicateurs cleacutes dobjectifs et des indicateurs cleacutes de performances pour chacun des 34 processus de COBIT Lassurance qualiteacute des premiegraveres livraisons fut conduite par le Comiteacute de Pilotage de COBIT et les reacutesultats ont eacuteteacute proposeacutes pour consultation sur le site Internet de lISACA Le Guide de Management a eacuteteacute constitueacute pour offrir un nouvel ensemble doutils orienteacutes management susceptibles de sinteacutegrer de faccedilon coheacuterente au Cadre de Reacutefeacuterence

Lactualisation des Objectifs de Controcircle de la 3e eacutedition de COBIT baseacutee sur de nouvelles reacutefeacuterences et des reacutefeacuterences internationales reacuteviseacutees a eacuteteacute conduite par des membres des Chapitres de lISACA sous la direction de membres du Comiteacute de Pilotage de COBIT Lintention neacutetait pas de reacutealiser une analyse globale de tous les mateacuteriaux ni un nouveau deacuteveloppement des Objectifs de Controcircle mais de fournir un processus dactualisation increacutementiel Les reacutesultats du deacuteveloppement du Guide de Management furent alors utiliseacutes pour reacuteviser le Cadre de Reacutefeacuterence COBIT particuliegraverement les consideacuterations buts et exposeacutes des facteurs favorisants pour les objectifs de controcircle geacuteneacuteraux La version originale en anglais de COBIT 3e eacutedition a eacuteteacute publieacutee en juillet 2000 la version en franccedilais en 2002

Derniegraveres activiteacutes de mise agrave jour du projet

Dans son effort pour faire eacutevoluer en permanence le corpus de connaissances de COBIT le Comiteacute de Pilotage a organiseacute un travail de recherche ces deux derniegraveres anneacutees sur plusieurs aspects de COBIT Ces projets de recherche concernent des composantes des Objectifs de Controcircle et du Guide de Management Ci-dessous la liste de certains domaines speacutecifiquement concerneacutes

Recherche sur les Objectifs de Controcircle

bull Alignement de bas en haut de la gouvernance des SI COBIT bull Alignement de haut en bas de la gouvernance des SI COBIT bull COBIT et les autres standards deacutetailleacutes correspondances entre COBIT ITIL CMM COSO PMBOK ISF Normes de bonnes pratiques pour la

seacutecuriteacute de lrsquoinformation et ISO 27000 pour permettre lrsquoharmonisation du langage des deacutefinitions et des concepts avec ces standards


COBIT41

Recherche sur le Guide de Management

bull Analyse causale des relations ICO-ICP bull Revue de la qualiteacute des ICOICPFacteurs Cleacutes de Succegraves drsquoapregraves lrsquoanalyse causale des relations ICO-ICP en reacutepartissant les FCS entre

ldquoce que vous avez besoin drsquoobtenir des autresrdquo et ldquoce que vous avez besoin de faire vous-mecircmerdquo bull Analyse deacutetailleacutee des concepts de meacutetriques Deacuteveloppement deacutetailleacute avec des experts pour ameacuteliorer les concepts de meacutetriques en

construisant un scheacutema en cascade de meacutetriques ldquoprocessus-informatique-meacutetiersrdquo et en deacutefinissant des critegraveres de qualiteacute pour les meacutetriques

bull Eacutetablissement de liens entre objectifs meacutetiers objectifs informatiques et processus informatiques Recherche approfondie dans huit professions diffeacuterentes conduisant agrave une perception plus deacutetailleacutee de la faccedilon dont les processus COBIT favorisent la reacutealisation drsquoobjectifs informatiques speacutecifiques et par extension drsquoobjectifs meacutetiers puis geacuteneacuteralisation des reacutesultats

bull Revue du contenu du modegravele de maturiteacute Garantie de coheacuterence et de qualiteacute des niveaux de maturiteacute dans chaque processus et entre les divers processus avec de meilleures deacutefinitions des attributs du modegravele de maturiteacute

Le Comiteacute de Pilotage COBIT a eacuteteacute agrave lrsquoorigine de tous ces projets il les a superviseacutes tandis que la gestion et le suivi au jour le jour eacutetaient pris en charge par une eacutequipe constitueacutee de quelques-uns des principaux responsables de COBIT Lrsquoavancement de la plupart des projets de recherche mentionneacutes a fait lourdement appel aux compeacutetences et au beacuteneacutevolat de membres de lrsquoISACA drsquoutilisateurs de COBIT de conseillers experts et drsquouniversitaires Des groupes de deacuteveloppement locaux ont eacuteteacute constitueacutes agrave Bruxelles Londres Chicago Canberra Cape Town Washington DC et Copenhague ougrave de 5 agrave 10 utilisateurs de COBIT se reacuteunissaient en moyenne deux ou trois fois par an pour travailler sur des recherches particuliegraveres ou agrave des tacircches de reacutevision assigneacutees par les principaux responsables de COBIT De plus certains projets de recherche particuliers ont eacuteteacute assigneacutes agrave des eacutecoles de commercegestion comme lrsquoAntwerp Management School (DAMS) et lrsquoUniversity of Hawaii

Les reacutesultats de ces efforts de recherche et le retour drsquoinformation apporteacute par les utilisateurs de COBIT au fil des ans et des difficulteacutes rencontreacutees agrave lrsquooccasion du deacuteveloppement de nouveaux produits comme les pratiques de controcircle ont eacuteteacute inteacutegreacutes au projet principal de COBIT pour mettre agrave jour et ameacuteliorer les Objectifs de Controcircle le Guide de Management et le Cadre de Reacutefeacuterence COBIT Deux laboratoires de deacuteveloppement majeurs comportant chacun plus de 40 experts de la gouvernance des SI du management et du controcircle (patrons consultants universitaires et auditeurs) du monde entier ont eacuteteacute organiseacutes pour passer en revue et mettre profondeacutement agrave jour les contenus des Objectifs de Controcircle et du Guide de Management Drsquoautres groupes plus petits ont travailleacute pour affiner et finaliser la production importante de ces instances majeures

La version quasi deacutefinitive a eacuteteacute soumise agrave un processus de reacutevision complet par une eacutequipe drsquoenviron 100 personnes Lrsquoabondante moisson de commentaires a eacuteteacute analyseacutee au cours drsquoun dernier atelier de reacutevision du Comiteacute de Pilotage COBIT

Les reacutesultats de ces ateliers ont eacuteteacute mis en forme par le Comiteacute de Pilotage COBIT par les principaux responsables de COBIT et par lrsquoITGI pour reacutediger les nouveaux documents COBIT qursquoon trouve dans ce volume Lrsquoexistence de COBIT Onlinereg teacutemoigne du fait que la technologie existe deacutesormais pour tenir plus facilement agrave jour le contenu essentiel de COBIT et cette ressource sera utiliseacutee comme reacutefeacuterentiel maicirctre du contenu de COBIT Il sera tenu agrave jour par les informations apporteacutees par la base utilisateurs ainsi que par des revues du contenu de certains domaines speacutecifiques Des publications peacuteriodiques (documents papier et eacutelectroniques) permettront de se reacutefeacuterer hors ligne au contenu de COBIT


Annexe VII

GLOSSAIRE

AN

NE

XE

VII

G

LO

SSA

IRE

ANNEXE VII ANNEXE VII minus GLOSSAIRE

Les termes anglais figurent entre parenthegraveses et en italique agrave la fin de chaque rubrique

Activiteacute ndash Principales actions entreprises pour activer le processus COBIT (Activity)

Analyse causale ndash Processus de diagnostic permettant de remonter agrave lrsquoorigine drsquoun eacuteveacutenement et qui peut ecirctre utiliseacute pour apprendre des conseacutequences typiquement des erreurs et des problegravemes (Root cause analysis)

Approbateur ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne ou au groupe qui a lrsquoautoriteacute pour approuver ou accepter la reacutealisation drsquoune activiteacute (Accountable)

Architecture drsquoentreprise ndash Description de lrsquoarchitecture fonctionnelle des composants fondamentaux des systegravemes meacutetiers ou un des eacuteleacutements de ces systegravemes (par ex technologie) des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture)

Architecture informatique de lrsquoentreprise ndash Description de lrsquoarchitecture technique des composants fondamentaux des systegravemes meacutetiers des relations entre eux et de la faccedilon dont ils soutiennent les objectifs de lrsquoentreprise (Enterprise architecture for IT)

Architecture de lrsquoinformation ndash Une des composantes de lrsquoarchitecture des SI (avec lrsquoarchitecture fonctionnelle et lrsquoarchitecture technique) Voir Architecture des SI (Information architecture)

Architecture des SI ndash Cadre de reacutefeacuterence inteacutegreacute pour faire eacutevoluer ou tenir agrave jour les technologies existantes et en acqueacuterir de nouvelles pour atteindre les objectifs strateacutegiques et les objectifs meacutetiers (IT architecture)

Authentification ndash Action de veacuterifier lrsquoidentiteacute drsquoun utilisateur et son droit agrave acceacuteder agrave lrsquoinformation numeacuteriseacutee Elle a pour but de proteacuteger les systegravemes contre des tentatives drsquointrusion frauduleuses (Authentication)

Bonnes pratiques ndash Activiteacute ou processus qui a fait ses preuves et est appliqueacute avec succegraves par de nombreuses entreprises (Best practice)

Cadre (reacutefeacuterentiel) de controcircle ndash Ensemble de controcircles fondamentaux destineacute agrave aider les proprieacutetaires de processus meacutetiers agrave srsquoacquiter de leur responsabiliteacute de preacutevenir les pertes financiegraveres ou drsquoinformation pour lrsquoentreprise (Control framework)

Capaciteacute ndash Le fait de disposer des caracteacuteristiques neacutecessaires pour fonctionner etou accomplir les tacircches preacutevues (Capability)

CE ndash Contrat drsquoExploitation Accord interne sur la fourniture de services relatif agrave la fourniture de services par lrsquoinformatique (OLA Operational Level Agreement)

Charte drsquoAudit ndash Document deacutefinissant le but lrsquoautoriteacute et la responsabiliteacute de lrsquoactiviteacute drsquoaudit interne approuveacutee par le CA (Audit charter)

Client ndash Personne ou entiteacute interne ou externe destinataire de services informatiques de lrsquoentreprise (Customer)

Comiteacute informatique strateacutegique ndash Comiteacute constitueacute au niveau du CA pour faire en sorte que les administrateurs srsquoimpliquent dans les questionsdeacutecisions majeures qui concernent lrsquoinformatique Le comiteacute est principalement responsable de la gestion des portefeuilles drsquoinvestissements de services et drsquoautres ressources informatiques Le comiteacute est le proprieacutetaire de ces portefeuilles (IT strategy committee)

Consulteacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes dont lrsquoavis sur une activiteacute est rechercheacute (communication montante et descendante) (Consulted)

Continuiteacute ndash Preacutevention reacuteduction des interruptions et restauration du service On peut aussi utiliser dans ce contexte les expressions ldquoplan de reprise drsquoactiviteacuterdquo ldquoplan de restauration apregraves sinistrerdquo et ldquoplan de secoursrdquo elles srsquointeacuteressent toutes agrave la restauration de la continuiteacute (Continuity)

Controcircle drsquoaccegraves ndash Processus qui limite et controcircle lrsquoaccegraves aux ressources drsquoun systegraveme informatique controcircle logique ou physique conccedilu pour proteacuteger contre un accegraves ou une utilisation non autoriseacutes (Access control)

Controcircle applicatif ndash Ensemble de controcircles inteacutegreacutes agrave des solutions automatiseacutees (applications) (Application control)

Controcircle de deacutetection ndash Controcircle utiliseacute pour identifier des eacuteveacutenements (indeacutesirables ou pas) des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils ont un impact mateacuteriel sur un processus ou sur un produit final (Detective control)


COBIT41 Controcircles geacuteneacuteraux informatiques ndash Controcircles autres que les controcircles applicatifs relatifs agrave lrsquoenvironnement informatique de deacuteveloppement de maintenance et drsquoexploitation des applications utiliseacute par toutes les applications Les objectifs des controcircles geacuteneacuteraux sont de srsquoassurer drsquoun deacuteveloppement et drsquoune impleacutementation corrects des applications de lrsquointeacutegriteacute des programmes des donneacutees et des traitements Comme les controcircles applicatifs les controcircles geacuteneacuteraux sont soit manuels soit programmeacutes Ils integravegrent agrave titre drsquoexemples lrsquoeacutelaboration et la mise en oeuvre de la strateacutegie informatique de la politique de seacutecuriteacute des SI de lrsquoorganisation des eacutequipes informatiques pour assurer la seacuteparation des tacircches du plan de secours et de reprise drsquoactiviteacute (General computer control)

Controcircle interne ndash Politiques proceacutedures pratiques et structures organisationnelles conccedilues pour fournir une assurance raisonnable que les objectifs meacutetiers seront atteints et que les eacuteveacutenements indeacutesirables seront preacutevenus ou deacutetecteacutes et corrigeacutes (Internal control)

Controcircle preacuteventif ndash Controcircle interne utiliseacute pour preacutevenir des eacuteveacutenements des erreurs et drsquoautres circonstances dont une entreprise pense qursquoils peuvent avoir un impact mateacuteriel neacutegatif sur un processus ou sur un produit final (Preventive control)

Controcircle programmeacute ndash Ensemble de controcircles inteacutegreacutes aux solutions automatiseacutees (applications) (Automated application control)

COSO ndash Committee of Sponsoring Organisations of the Treadway Commission Son rapport de 1992 intituleacute Reacutefeacuterentiel inteacutegreacute de controcircle interne est une norme de gouvernance drsquoentreprise reconnue internationalement Voir wwwcosoorg

Coucirct total de possession ndash En informatique comprend le coucirct initial des serveurs et logiciels les mises agrave jour du materiel et du logiciel la maintenance le support technique la formation certaines activiteacutes assures par les utilisateurs (TCO - Total Cost of Ownership)

CS - Contrat ou convention de services ndash Accord de preacutefeacuterence documenteacute entre un fournisseur de services et le clientutilisateur qui deacutefinit les niveaux convenus pour un service et la faccedilon dont ils sont mesureacutes (SLA Service level agreement)

Cycle de vie de deacuteveloppement des systegravemes ndash Phases successives du deacuteveloppement ou de lrsquoacquisition drsquoun systegraveme logiciel Typiquement comprend eacutetude de faisabiliteacute eacutetude des besoins deacutefinition des besoins conception deacutetailleacutee programmation tests mise en place et revue apregraves mise en œuvre Ne comprend ni la deacutelivrance du service ni les beacuteneacutefices attendus de la reacutealisation des activiteacutes (SDLC Systems development life cycle)

DF ndash Directeur financier le premier responsable de la gestion des risques financiers drsquoune entreprise (CFO)

DG ndash Directeur geacuteneacuteral le rang le plus eacuteleveacute dans une entreprise (CEO)

Dictionnaire de donneacutees ndash Base de donneacutees renfermant nom type valeurs min et max source et autorisation drsquoaccegraves pour chaque donneacutee de la base Elle indique eacutegalement quel programme applicatif utilise cette donneacutee de faccedilon agrave ce que lorsqursquoon envisage de manipuler une donneacutee on puisse geacuteneacuterer une liste des programmes concerneacutes Le dictionnaire de donneacutees est soit un systegraveme drsquoinformation autonome utiliseacute agrave des fins de gestion et de documentation soit un gestionnaire drsquoexploitation de base de donneacutees (Data dictionary)

Domaine ndash Pour COBIT regroupement drsquoobjectifs de controcircle en eacutetapes logiques dans le cycle de vie des actifs de lrsquoinformatique (Planifier et Organiser Acqueacuterir et Impleacutementer Deacutelivrer et Supporter Surveiller et Evaluer (Domain)

DSI ou DIndash Directeur des Systegravemes drsquoInformation ou Directeur Informatique le responsable de lrsquoinformatique drsquoune entreprise Le DSI assure parfois le rocircle de Responsable de la Connaissance (Chief Knowledge Officer - CKO) qui distribue la connaissance et pas seulement lrsquoinformation Voir eacutegalement Directeur des Technologies (CIO)

DTndash Directeur des Technologies a en charge les aspects techniques de lrsquoentreprise Le titre de DT est souvent synonyme de DSI (CTO)

Eacuteleacutement de configuration ndash Composant drsquoune infrastructure ou un eacuteleacutement comme une demande de modification associeacute agrave une infrastructure qui est (ou doit ecirctre) sous le controcircle de la gestion de la configuration Ces eacuteleacutements peuvent diffeacuterer largement en complexiteacute taille et type allant drsquoun systegraveme complet (mateacuteriel logiciel et documentation) agrave un simple module ou agrave un composant mateacuteriel mineur (Configuration item)

Entreprise ndash Groupe de personnes travaillant ensemble dans un but commun typiquement dans le contexte drsquoune organisation drsquoune socieacuteteacute drsquoune agence gouvernementale drsquoune association ou drsquoune fondation (Enterprise)

FCS ndash Facteur Cleacute de Succegraves correspond pour le management aux aspects ou aux actions les plus importantes pour reacuteussir agrave mettre sous controcircle ses processus informatiques (CSF)

Fournisseur de services ndash Entiteacute externe qui fournit des services agrave lrsquoentreprise (Service provider)

Gestion de la configuration ndash Controcircle des modifications apporteacutees agrave un ensemble drsquoeacuteleacutements de configuration au cours du cycle de vie drsquoun systegraveme (Configuration management)

Gestion de la performance ndash En informatique capaciteacute agrave geacuterer tout type de mesure y compris celles qui concernent les employeacutes les eacutequipes les processus les opeacuterations et les finances Ce terme eacutevoque des controcircles en boucle et un suivi reacutegulier des mesures (Performance management)


ANNEXE VII Gouvernance de lrsquoentreprise ndash Ensemble des responsabiliteacutes et pratiques assureacutees par le conseil drsquoadministration et la direction geacuteneacuterale dont le but est de fixer la strateacutegie srsquoassurer que les objectifs sont atteints que les risques sont geacutereacutes correctement et de veacuterifier que les ressources de lrsquoentreprise sont utiliseacutees agrave bon escient (Enterprise governance)

Guide ndash Description drsquoune maniegravere particuliegravere drsquoaccomplir quelque chose moins rigide qursquoune proceacutedure (Guideline)

ICO ndash Indicateur Cleacute drsquoObjectif indicateurs qui informent le management a posteriori si un processus informatique a reacutepondu aux exigences metier Il srsquoexprime habituellement en termes de critegraveres lieacutes agrave lrsquoinformation (KGI -Key Goal Indicator)

ICP ndash Indicateur Cleacute de Performance indicateurs qui deacuteterminent agrave quel point la performance du processus infomatique lui donne des chances drsquoatteindre lrsquoobjectif Ce sont des indicateurs essentiels pour savoir si un objectif a des chances drsquoecirctre atteint ou non et de bons indicateurs des capaciteacutes des pratiques et des compeacutetences Ils mesurent les objectifs de lrsquoactiviteacute agrave savoir les actions que le proprieacutetaire du processus doit entreprendre pour que la performance du processus soit bonne (KPI - Key Performance Indicator)

Incident informatique ndash Tout eacuteveacutenement qui ne fait pas partie du fonctionnement normal drsquoun service et qui cause ou peut causer une interruption ou une reacuteduction de la qualiteacute de ce service (IT Incident deacutefinition conforme agrave lrsquoIT Infrastructure Library ITIL)

Inducteurs de performance ndash Mesures consideacutereacutees comme les inducteurs des indicateurs a posteriori Ils peuvent ecirctre mesureacutes avant la manifestation du reacutesultat et correspondent agrave des indicateurs a priori Il y a une relation preacutesupposeacutee entre les deux qui suggegravere qursquoune meilleure performance drsquoun indicateur a priori induit une meilleure performance de lrsquoindicateur a posteriori On les deacutesigne aussi ICP (Iindicateur Cleacute de Performance) et on les utilise pour mesurer si les objectifs ont des chances drsquoecirctre atteints (Performance drivers)

Informeacute ndash Dans le tableau RACI fait reacutefeacuterence aux personnes qui sont tenues au courant du progregraves drsquoune activiteacute (communication descendante) (Informed)

ISO 17799 ndash Norme internationale de deacutefinition des controcircles de confidentialiteacute inteacutegriteacute et disponibiliteacute de lrsquoinformation

ISO 27001 ndash Management de la seacutecuriteacute de lrsquoinformation - Guide drsquoutilisation remplace la norme BS7799-2 Fournit les bases de lrsquoaudit externe de certification et est harmoniseacutee avec les autres normes de gestion telles que ISOIEC 9001 2000 et ISO 14001

ISO 9001 2000 ndash Code de bonnes pratiques pour la gestion de la qualiteacute ISO 90012000 speacutecifie les exigences drsquoun systegraveme de gestion de la qualiteacute pour toute organisation qui a besoin de deacutemontrer sa capaciteacute agrave fournir reacuteguliegraverement des produits ou des services conformes agrave des objectifs particulier de qualiteacute

ITIL ndash IT Infrastructure Library de lrsquoUK Office of Government Commerce (OGC) Ensemble de guides de management et de principes de fonctionnement des services informatiques

Maturiteacute ndash Au niveau meacutetier indique le degreacute de fiabiliteacute ou de deacutependance drsquoun processus auquel le meacutetier peut se fier pour atteindre les objectifs souhaiteacutes (Maturity)

Mesure ou indicateur ndash Norme drsquoeacutevaluation et de communication drsquoun reacutesultat obtenu par rapport agrave reacutesultat attendu Les mesures ou indicateurs sont en regravegle geacuteneacuterale quantitatives et srsquoexpriment en nombre devise (uniteacute moneacutetaire) pourcentage etc mais peuvent aussi srsquoexprimer de faccedilon qualitative comme par exemple un niveau de satisfaction client Rendre compte et surveiller les mesures ou indicateurs aide lrsquoentreprise agrave jauger la mise en œuvre reacuteelle de sa strateacutegie (Measure)

Mesures de reacutesultats ndash Mesures des conseacutequences drsquoactions prises souvent deacutesigneacutees par indicateurs a posteriori Elles srsquointeacuteressent souvent aux reacutesultats obtenus agrave lrsquoissue drsquoune peacuteriode de temps deacutetermineacute et caracteacuterise une performance historique On les deacutesigne eacutegalement ICO (Indicateur Cleacute drsquoObjectif) et on les utilise pour indiquer si les objectifs ont eacuteteacute atteints Elles ne peuvent ecirctre mesureacutees qursquoapregraves le reacutesultat et pour cette raison sont appeleacutees indicateurs a posteriori (Outcome measures)

Meacutetrique ndash Instrument de mesure speacutecifique drsquoeacutevaluation quantitative et peacuteriodique de la performance Une meacutetrique complegravete preacutecise lrsquouniteacute utiliseacutee la freacutequence la cible agrave atteindre la proceacutedure de mesure et la proceacutedure drsquointerpreacutetation du reacutesultat (Metric)

Modegravele de Maturiteacute de la Capaciteacute (MMC) ndash Le Modegravele de maturiteacute de la capaciteacute des logiciels du Software Engineering Institute (SEI) est un modegravele utiliseacute par de nombreuses organisations pour identifier les meilleures pratiques utiles pour eacutevaluer et ameacuteliorer la maturiteacute de leurs processus de deacuteveloppement de logiciels (CMM)

Objectif de controcircle ndash Exposeacute du reacutesultat deacutesireacute ou du but agrave atteindre par la mise en œuvre de proceacutedures de controcircle pour un processus donneacute (Control Objective)

Organisation ndash Faccedilon dont une entreprise est structureacutee (Organisation)

Performance ndash En informatique mise en place effective ou exeacutecution drsquoun processus (Performance)

Plan drsquoinfrastructure technologique ndash Plan pour les technologies les ressources humaines et les installations qui permet le traitement et lrsquoutilisation des applications actuelles et agrave venir (Technology infrastructure plan)


COBIT41 Plan strateacutegique informatique ndash Plan agrave long terme c-agrave-d 3 agrave 5 ans dans lequel les directions meacutetiers et informatique coopegraverent pour deacutecrire comment les ressources informatique contribueront aux objectifs strateacutegiques de lrsquoentreprise (IT strategic plan)

Plan tactique informatique ndash Plan agrave moyen terme c-agrave-d 6 agrave 18 mois qui convertit les orientations du plan strateacutegique informatique en initiatives requises et en exigences en ressources et qui preacutecise comment les ressources et les beacuteneacutefices seront surveilleacutes et geacutereacutes (IT tactical plan)

PMBOK ndash Project Management Body of Knowledge standard de gestion de projets deacuteveloppeacute par le Project Management Institute (PMI)

PMO ndash Chef du bureau projet responsable de la mise en œuvre de dispositions deacutefinies pour aider agrave la gestion des projets et faire progresser la gestion de projet (Project management officer)

Politique ndash En geacuteneacuteral document qui deacutecrit un principe geacuteneacuteral ou des actions agrave entreprendre sur lesquelles on srsquoest accordeacute Le but drsquoune politique est drsquoinfluencer et de guider la prise de deacutecision actuelle et future pour qursquoelle soit conforme agrave la philosophie aux objectifs et aux plans strateacutegiques eacutetablis par les eacutequipes deacutecisionnaires de lrsquoentreprise Outre leur contenu les politiques doivent exposer les conseacutequences drsquoactions qui ne srsquoy conforment pas les moyens pour traites les anomalies et la faccedilon dont la conformiteacute sera veacuterifieacutee et mesureacutee (Policy)

Portefeuille ndash Groupe de programmes de projets de services ou drsquoactifs seacutelectionneacutes geacutereacutes et surveilleacutes pour optimiser le beacuteneacutefice pour les meacutetiers (Portfolio)

Pratique de controcircle ndash Meacutecanisme de controcircle cleacute qui aide agrave atteindre les objectifs de controcircle gracircce agrave lrsquoutilisation responsable des ressources agrave la bonne gestion des risques et agrave lrsquoalignement des SI sur les meacutetiers (Control practice)

Pratiques cleacutes de management ndash Pratiques de gestion neacutecessaires agrave la bonne exeacutecution des processus des meacutetiers (Key management practices)

PRINCE2 ndashProjects in a Controlled Environment deacuteveloppeacute par lrsquoOGC Meacutethode de gestion de projets qui srsquointeacuteresse agrave la gestion au controcircle et agrave lrsquoorganisation drsquoun projet

Problegraveme ndash En informatique cause agrave la base drsquoun ou plusieurs incidents (Problem)

Proceacutedure ndash Document deacutecrivant et preacutecisant les eacutetapes agrave suivre pour reacutealiser une activiteacute Les proceacutedures font partie des processus (Procedure)

Processus ndash En geacuteneacuteral ensemble de proceacutedures influenceacutees par les politiques et par les standards de lrsquoentreprise il prend ses donneacutees (entreacutees) agrave diffeacuterentes sources y compris agrave drsquoautres processus il traite les entreacutees et produit pour ses clients des sorties qui peuvent ecirctre drsquoautres processus Les processus ont de claires raisons ldquomeacutetiersrdquo drsquoexister ils sont doteacutes de proprieacutetaires responsables en dernier ressort de rocircles et de responsabiliteacutes pour leur exeacutecution et de moyens pour mesurer leur performance (Process)

Processus meacutetier ndash Voir processus (Business process)

Programme ndash Regroupement structureacute de projets interdeacutependants qui comporte lrsquoensemble des activiteacutes requises (agrave la fois neacutecessaires et suffisantes) pour atteindre un reacutesultat meacutetier clairement speacutecifieacute et qui impliquent les meacutetiers certains processus certaines personnes et certains moyens informatiques et organisationnels (Programme)

Programme applicatif application ndash Programme qui traite les donneacutees meacutetiers au travers drsquoactiviteacutes telles que la saisie ou lrsquoentreacutee de donneacutees la mise agrave jour ou la requecircte Il se distingue des programmes systegraveme comme le systegraveme drsquoexploitation ou le programme de controcircle du reacuteseau et des programmes utilitaires comme copier ou trier (Application program)

Projet ndash Ensemble drsquoactiviteacutes structureacutees axeacutees sur la fourniture agrave lrsquoentreprise drsquoune capaciteacute deacutefinie (neacutecessaire mais pas suffisante pour atteindre un reacutesultat meacutetier donneacute) et doteacutees drsquoun planning et drsquoun budget convenus (Project)

Proprieacutetaires de donneacutees ndash Personnes en geacuteneacuteral responsables ou chefs de services qui ont la responsabiliteacute de lrsquointeacutegriteacute de lrsquoexactitude et de lrsquoutilisation des donneacutees informatiseacutees (Data owners)

SGQ ndash Systegraveme de Gestion de la Qualiteacute Systegraveme qui preacutecise les politiques et les proceacutedures neacutecessaires pour ameacuteliorer et controcircler les divers processus qui conduiront finalement agrave une ameacutelioration de la performance des meacutetiers (Quality Management System)

Reacutefeacuterentiel ndash Voir Cadre (reacutefeacuterentiel) de controcircle (Framework)

Reacutesilience ou Reacutesistance aux pannes ndash Dans lrsquoentreprise capaciteacute drsquoun systegraveme ou drsquoun reacuteseau agrave se reacutetablir automatiquement apregraves toute perturbation en geacuteneacuteral avec le minimum drsquoeffets identifiables (Resilience)

Responsable ndash Dans le tableau RACI fait reacutefeacuterence agrave la personne qui doit srsquoassurer que les activiteacutes sont reacutealiseacutees correctement (Responsible)


ANNEXE VII Risque ndash Dans lrsquoentreprise potentialiteacute drsquoune menace donneacutee agrave exploiter les points faibles drsquoun actif ou drsquoun groupe drsquoactifs pour provoquer des pertes etou des dommages agrave ces actifs Il se mesure en geacuteneacuteral par une combinaison de conseacutequences et de probabiliteacutes drsquooccurrence (Risk)

Scheacutema de classification des donneacutees ndash Scheacutema geacuteneacuteral de classement des donneacutees de lrsquoentreprise selon des facteurs comme la criticiteacute la sensibiliteacute et la proprieacuteteacute (Data classification scheme)

Seacuteparation des tacircches ndash Controcircle interne de base qui preacutevient et deacutetecte les erreurs et les irreacutegulariteacutes de seacuteparation des individus en attribuant agrave des personnes diffeacuterentes la responsabiliteacute drsquoinitier et drsquoenregistrer les traitements et celle de veiller sur les actifs Communeacutement pratiqueacutee dans les grandes DSI afin que personne ne puisse introduire un code malveillant ou frauduleux sans deacutetection (Segregationseparation of duties)

Service drsquoassistance (client) ndash Le seul point de contact entre lrsquoinformatique et les utilisateurs de services informatiques (Service desk)

Standard ou Norme ndash Pratique meacutetier ou produit informatique qui constitue une pratique accepteacutee confirmeacutee par lrsquoentreprise ou par lrsquoeacutequipe de direction des SI Les standards ou normes peuvent ecirctre mis en place pour soutenir une politique ou un processus ou comme reacuteponse agrave un besoin opeacuterationnel Comme les politiques les standards ou normes doivent comporter une description de la maniegravere dont on deacutetectera la non conformiteacute (Standard)

SI ou Informatique ndash Systegraveme drsquoinformation Informatique voire Technologies de lrsquoinformation Integravegre le mateacuteriel le logiciel les reacuteseaux et toute les autres installations neacutecessaires agrave lrsquoentreacutee au stockage au traitement agrave la transmission et agrave la sortie des donneacutees sous toutes leurs formes (IT)

Tableau de bord ndash Outil qui permet de repreacutesenter les attentes drsquoune entreprise agrave chaque niveau et de veacuterifier en permanence la situation de la performance par rapport agrave la cible viseacutee (Dashboard)

Tableau de bord des investissements informatiques ndash Outil de mesure des attentes de lrsquoentreprise et de surveillance continue des reacutesultats par rapport aux objectifs des deacutepenses et des retours sur investissements des projets agrave composantes informatiques en termes de valeur pour les meacutetiers (IT investment dashboard)

Tableau de bord eacutequilibreacute ndash Meacutethode pour mesurer les actions drsquoune entreprise en rapport avec sa vision et ses strateacutegies en donnant au management un aperccedilu rapide et complet de la performance de son activiteacute professionnelle Crsquoest un outil de gestion qui cherche agrave mesurer lrsquoactiviteacute de lrsquoentreprise selon les perspectives suivantes financiegravere client meacutetier et acquisition de connaissances (Robert S Kaplan and David Norton 1992) (Balanced scorecard)

Tableau RACI ndash identifie qui est Responsable Approuve est Consulteacute etou Informeacute au sein de lrsquoentreprise (RACI chart)

Tests comparatifs ndash Processus utiliseacute en management particuliegraverement en management strateacutegique au cours duquel les entreprises eacutevaluent divers aspects de leurs processus meacutetiers par rapport aux meilleures pratiques constateacutees en geacuteneacuteral dans leur propre branche (Benchmarking)

Utilisateur informatique ndash Personne qui utilise lrsquoinformatique pour reacutealiser ou atteindre un objectif meacutetier (IT User)


COBIT41



ANNEXE VIII COBIT ET PRODUITS DE LA FAMILLE COBIT

AN

NE

XE

VII

I

PRO

DU

ITS

CO

BIT

ANNEXE VIII

ANNEXE VIII minus COBIT ET PRODUITS DE LA FAMILLE COBIT Le reacutefeacuterentiel COBIT dans sa version 4 et suivantes comprend bull Le cadre de reacutefeacuterence - explique comment COBIT structure les objectifs de la gouvernance des SI les objectifs de controcircle et les bonnes pratiques

par domaine informatique et par processus et les relie aux exigences meacutetiers bull La description des processus - comprend 34 processus informatiques couvrant toutes les domaines de responsabiliteacute de lrsquoinformatique de A agrave Z bull Les objectifs de controcircle - deacutecrivent sous forme de bonnes pratiques geacuteneacuteriques les objectifs de gestion des processus informatiques bull Le guide de management - propose des outils pour aider agrave reacutepartir les responsabiliteacutes mesurer la performance tester par comparaison la capaciteacute et

agrave trouver des reacuteponses aux insuffisances dans ce domaine bull Les modegraveles de maturiteacute - apportent diffeacuterents profils de processus par la description de diffeacuterents eacutetats possibles actuels et futurs

Depuis sa creacuteation le contenu de base de COBIT nrsquoa cesseacute drsquoeacutevoluer au fil des ans et le nombre de produits deacuteriveacutes de COBIT nrsquoa cesseacute drsquoaugmenter Les publications deacuteriveacutees de COBIT sont aujourdrsquohui les suivantes bull Conseils aux dirigeants dentreprises pour la gouvernance des SI 2e eacutedition - ce document aide les dirigeants agrave comprendre limportance de la

gouvernance des SI quels sont ses enjeux et quel est leur rocircle dans sa mise en œuvre bull COBIT Online - permet de personnaliser COBIT afin de lrsquoadapter agrave son entreprise drsquoenregistrer et de modifier les versions agrave volonteacute Les services

en ligne comprennent la reacutealisation drsquoeacutetudes en temps reacuteel une foire aux questions des tests comparatifs et un forum permettant de poser des questions et de partager des expeacuteriences

bull Pratiques de controcircle COBIT Recommandations pour atteindre les objectifs de controcircle et reacuteussir la gouvernance des SI 2egraveme eacutedition shyrecommandations pour limiter les risques et accroicirctre la valeur gracircce agrave la mise en oeuvre drsquoobjectifs de controcircle et indications pour les mettre en place Il est vivement recommandeacute drsquoutiliser les Pratiques de controcircle COBIT avec le Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition

bull Guide dAssurance informatique Utilisation de COBIT - fournit des conseils sur la faccedilon dutiliser COBIT pour favoriser diffeacuterentes activiteacutes dassurance ainsi que des propositions de proceacutedures deacutevaluation pour tous les processus informatiques et les objectifs de controcircle de COBIT Il remplace le Guide drsquoAudit pour lrsquoaudit ou lrsquoauto-eacutevaluation des objectifs de controcircle de de COBIT 41

bull Objectifs de controcircle informatiques pour Sarbanes-Oxley rocircle de lrsquoinformatique dans la conception et la mise en place du controcircle interne des rapports financiers 2egraveme Eacutedition - fournit un guide pour assurer la conformiteacute agrave la loi de lrsquoenvironnement informatique en srsquoappuyant sur les objectifs de controcircle COBIT

bull Guide de mise en place de la gouvernance informatique Utilisation de COBIT et Val IT 2egraveme Eacutedition - fournit une feuille de route geacuteneacuterique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT ainsi qursquoun ensemble drsquooutils associeacutes

bull COBIT Quickstart 2egraveme Eacutedition - fournit une base de controcircle pour les PMI-PME et peut servir drsquoeacutetape preacuteliminaire pour une grande entreprise bull COBIT Base pour la seacutecuriteacute 2egraveme Eacutedition - se focalise sur les eacutetapes fondamentales de mise en œuvre de la seacutecuriteacute des SI de lrsquoentreprise bull COBIT Mappings actuellement disponibles agrave lrsquoadresse suivante wwwisacaorgdownloads

minus Aligning COBIT ITIL and ISO 17799 for Business Benefit minus COBIT Mapping Overview of International IT Guidance 2nd Edition minus COBIT Mapping Mapping de ISOIEC 177992000 avec COBIT 2nd Edition minus COBIT Mapping Mapping de PMBOK avec COBIT 40 minus COBIT Mapping Mapping de SEIrsquos CMM for Software avec COBIT 40 minus COBIT Mapping Mapping de ITIL avec COBIT 40 minus COBIT Mapping Mapping de PRINCE2 avec COBIT 40

bull Gouvernance de la seacutecuriteacute des SI recommandations aux dirigeants drsquoentreprise 2egraveme Eacutedition - preacutesente la seacutecuriteacute des SI en termes meacutetiers et renferme des outils et des techniques pour aider agrave deacutecouvrir les problegravemes de seacutecuriteacute

VAL IT est le terme geacuteneacuteral retenu pour preacutesenter les publications ainsi que les produits et activiteacutes agrave venir se reacutefeacuterant au reacutefeacuterentiel VAL IT

Les publications actuelles de la famille VAL IT sont bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - le cadre de reacutefeacuterence VAL IT explique comment une entreprise peut

tirer la meilleure valeur possible de ses investissements informatiques Il est baseacute sur COBIT et est structureacute en minus Trois processus - gouvernance de la valeur gestion de portefeuille et gestion de lrsquoinvestissement minus Des pratiques cleacutes de management des SI - les principes de gestion fondamentaux qui facilitent lrsquoatteinte drsquoun but ou du reacutesultat souhaiteacute drsquoune

activiteacute particuliegravere Ils appuient les processus de VAL IT et jouent agrave peu pregraves le mecircme rocircle que les objectifs de controcircle de COBIT bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoanalyse de rentabilisation se focalise sur un eacuteleacutement cleacute du processus

de gestion de lrsquoinvestissement bull Valeur dans lrsquoenterprise gouvenance des investissements informatiques - lrsquoeacutetude de cas ING deacutecrit comment une grande entreprise du secteur

financier gegravere un portefeuille drsquoinvestissements informatiques dans le contexte VAL IT

Visiter les sites wwwisacaorgcobit ou wwwisacaorgvalit pour avoir connaissance des informations les plus agrave jour et les plus complegravetes sur COBIT et VAL IT les produits deacuteriveacutes les eacutetudes de cas les programmes de formation les lettres drsquoinformation et toute autre information particuliegravere sur ces reacutefeacuterentiels En France consulter le site de lrsquoAFAI wwwafaifr


COBIT41



COBIT41 LIT Governance Institute LIT Governance Institute (ITGI wwwitgiorg) a eacuteteacute creacuteeacute en 1998 pour faire progresser la reacuteflexion et les standards internationaux qui se rapportent agrave la gestion et au controcircle des systegravemes drsquoinformation (SI) dans les entreprises Une gouvernance efficace des SI doit permettre de srsquoassurer que celles-ci vont dans le sens des objectifs de lentreprise qursquoelles permettent drsquooptimiser les investissements informatiques et de geacuterer comme il convient les risques et les opportuniteacutes lieacutes agrave leur existence LrsquoIT Governance Institute met agrave la disposition des dirigeants drsquoentreprises et des conseils drsquoadministration des travaux de recherche originaux des ressources en ligne et des eacutetudes de cas pour les aider agrave faire face agrave leurs responsabiliteacutes dans le domaine de la gouvernance des SI

Avertissement LrsquoIT Governance Institute (le laquo Proprieacutetaire raquo) a conccedilu et reacutedigeacute ce document intituleacute COBIT reg V 41 (lrsquo laquo Œuvre raquo) essentiellement comme une ressource peacutedagogique pour les directeurs de lrsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle Le Proprieacutetaire ne garantit pas que lrsquoutilisation drsquoune partie quelconque de lrsquoŒuvre produira de faccedilon certaine un reacutesultat positif On ne doit pas consideacuterer agrave priori que lrsquoŒuvre contient toutes les informations les proceacutedures et les tests neacutecessaires ni qursquoelle exclut le recours agrave drsquoautres informations proceacutedures ou tests qui visent raisonnablement agrave produire des reacutesultats semblables Pour deacuteterminer si une information une proceacutedure ou un test speacutecifique est approprieacute les directeurs des systegravemes drsquoinformation les directions geacuteneacuterales les professionnels de la gestion des SI et du controcircle doivent appliquer leur propre jugement aux circonstances particuliegraveres qui se preacutesentent dans leurs environnements informationnels et technologiques speacutecifiques

Droits de proprieacuteteacute Diffusion et Copyright copy 2007 IT Governance Institute Tous droits reacuteserveacutes Il est interdit dutiliser copier reproduire modifier diffuser preacutesenter archiver ou transmettre par quelque moyen que ce soit (eacutelectronique meacutecanique photocopie enregistrement ou autre) une partie quelconque de cette publication sans lautorisation eacutecrite preacutealable de lrsquoIT Governance Institute La reproduction de passages de cette publication pour un usage exclusivement interne et non commercial ou dans un but peacutedagogique est autoriseacutee sous reacuteserve que la source soit mentionneacutee avec preacutecision Aucun autre droit et aucune autre autorisation ne sont accordeacutes pour cette œuvre

IT Governance Institute AFAI 3701 Algonquin Road Suite 1010 Association Franccedilaise de lAudit et du Conseil Informatiques Rolling Meadows IL 60008 Eacutetats-Unis 171 bis avenue Charles de Gaulle Teacutel +18475907491 92200 NEUILLY sur SEINE (France) Fax +18472531443 Teacutel 33 (0)1 40 88 10 44 E-mailinfoitgiorg E-Mail afaiafaifr Sites Internet wwwitgiorg Site Internet wwwafaifr ISBN 1-933284-72-2 ISBN 2-915007-09-8


COBIT41






REMERCIEMENTS



COBIT41



COBIT41

REMERCIEMENTS



COBIT41











SYNTHEgraveSE 5















SY

NT

HEgrave

SE

SYNTHEgraveSE

SYNTHEgraveSE

SYNTHEgraveSE














ndash

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT D

E

VALEURA

LIGNEMENT

STRATEGIQUE

Tableaux de bord


Tests comparatifs


ndash






Indicateurs

Mesures

Echelles

Tableaux de bord


Tests comparatifs





Indicateurs

Mesures

Echelles










GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE






Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management


Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

ndash













rsquo- -

rsquo

rsquo

rsquo











i


rsquo- -

rsquo

rsquo

rsquo











i

rsquo- -

rsquo

rsquo

rsquo

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI













i


Guide de management















et des approbations





la conception










et des approbations





la conception





ndash




et des approbations

eeeffffffeeecccttt










la conception






mmmeeesss








pppooouuurrrlllaaa


pppooouuurrr


sssuuulllttt

aaattt


fffooorrrmmm

aaannnccceee








CA

DR

E D

E

REacute

FEacuteR

EN

CE



La mission de COBIT




Pourquoi


















COBIT


ndash

COBIT41 Qui





Quoi















quireacutepondent

aux

pourfournir



dans





COBIT

qui reacutepondent

aux

pour fournir



dans




impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques


de l entreprise

Tableaude bord

informatique



impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques


de l entreprise

Tableaude bord

informatique


impliquent

influencentexigent





ont besoin


font tourner


Applications





Applications

Informations

ndash rsquo rsquo










impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques



Tableau de bord

informatique






1






Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes







Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

ndash



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter




Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter

ndash


















Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes










Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter














Normes

Standards

Objectifs

Comparer Processus





Normes

Standards

Objectifs

AAGGIIRR


Comparer Processus


























Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter





Exigencesde

fonctionnement

Exigencesde

controcircle




Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter





Exigencesde

fonctionnement

Exigencesde

controcircle



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



ndash



Exigences de

fonctionnement

Exigences de

controcircle




Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter
























ndash rsquo

ndash

COBIT41

0

01

02

03

04

05

06

07



0

01

02

03

04

05

06

07












000 111 222 333 444 555











ndash

ndash













QUOI (controcircle)

100

4

3

2

1

5

0



informatique



















ndash

CA

DR

E D

E R

EacuteFEacute

RE

NC

E

copy 2008 A

FAI T


wafaifr

1

2

3

4

5









igu

re 15 T

ableau

des attrib

uts d

e matu

riteacute

































21








non autoriseacutes



des tiers



de l entreprise










des tiers



de l entreprise

ndash rsquo






non autoriseacutes






non autoriseacutes







non autoriseacutes






non autoriseacutes







ndash










non autoriseacutes





non autoriseacutes















des tiers









non autoriseacutes




















non autoriseacutes



pour l entreprise








pour l entreprise

ndash




autoriseacute














Ameacuteliorer e

t reacutealigner


rsquo

rsquo

rsquo

rsquo rsquo

rsquo

rsquo rsquo

ndash










non autoriseacutes









iiinnnddduuuiiittt

iiinnnddduuuiiittt

iiinnnddduuuiiittt








autoriseacute





















Ameacuteliorer e

t reacutealigner







Informatique

Ob

ject

ifs


Meacutet

riq

ues


drsquoinformation



Description

des processus






App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes


rsquo


Informatique

Ob

ject

ifs


Meacutet

riq

ues



iinndduuiitt

iinndduuiitt





d information



Description

des processus






App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes



ndash

Fiabiliteacute

Efficac

iteacute

Efficience

Confidentia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es

DOMAINES

ACTIVITEacuteS

PROCESSUS



Efficac

iteacute

Efficience

Confiden

DOMAINES


aattiiqquueess

PROCESSUS

Fiabiliteacutetia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es















ndash



Gestiondes risques

Apportde valeur




ndash

bullbullbullbull
































bull Efficience



Efficaciteacutebull

COBIT

OBJECTIFS METIERS











































COBIT







































COBIT

OBJECTIFS METIERS














ndash









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE







nom du processus









EEffffiiccaa

cciitteacuteeacute

IInntteacuteeacute


CCoonnffiidd

eennttiiaa

lliitteacuteeacute


DDiissppoonn

iibbiilliitt

eacuteeacute

CCoonnffoo


FFiiaabb



nnss

PPeerrssoonnnneess


nnss

IInnffrraassttrr

uuccttuurreess





GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE











informatiques)







Annexes





PL

AN

IFIE

R E

T

OR

GA

NIS

ER









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE










Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S









des meacutetiers





SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT














DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PS PS
















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees











I C A C C I C C R


C C I A C R C I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP














informatique



SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees











Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs





induit mesure



Meacutetriq

ues


Processus







0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S












Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP










SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures




























DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Tous


C C C A C C C R C I






DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP S

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees














Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

P S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S

















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees








Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs




induit

induit

Meacutetriq

ues




Processus








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures















DSI





ents


Bureau projet





De Entreacutees




DS7



C A C C C R C


A R R R R R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS


















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs





induit mesure



Meacutetriq

ues


Processus







0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

SS PP P S S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

SS PP P S S


















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI











Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

PP





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fi

abilit

eacute

PP
















projet

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


























DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees







Tableau RACI








Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit



Processus


Activiteacutes



Meacutetriq

ues







0 Inexistante quand















AC

QU

EacuteR

IR E

T

IMPL

EacuteM

EN

TE

R









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet



it


GUIDE DE MANAGEMENT










Tableau RACI









Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





deacutefinit

Informatique

Objectifs


mesure indu

ii

ndu t

Meacutetriq

ues


deacutefinit

Processus




Activiteacutes


mesure mesure






0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE













Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI






C C C A C R C




Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees













DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit



Meacutetriq

ues


Processus


Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S S














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE



Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet



Service formation


ent


DSI





ents


Bureau projet



Service formation


ent

Service formation


ent


GUIDE DE MANAGEMENT











DS7









DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Equipe

dedeacuteploiem

ent

Tableau RACI

Activiteacutes



Objectifs




induit

induit

Meacutetriq

ues




Processus








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE













Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT









I C A I I I R C





Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SPP










Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SPP













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT












A I R C R C C C






DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit



Processus


Activiteacutes




Meacutetriq

ues







0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS







Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures
















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT










Tableau RACI




A R




Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes

















DEacute

LIV

RE

R E

T

SUPP

OR

TE

R









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS









Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE




Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet



Chef de service


DSI





ents


Bureau projet



Chef de service


GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI









Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Chefde

service



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees













Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit



Processus


Activiteacutes




Meacutetriq

ues







0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CS


Tableau RACI


A R C C C C






I I AR I I I I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P S P





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S P
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures

















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees





DS1 CS et CE


DS1 DS2


Tableau RACI






I AR R R R I







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit



Meacutetriq

ues


Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees





DS1 CE


DS7


Tableau RACI







A C C R R C


Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees




DS1 CS et CE



C C A C C C C R C


C A C C C R C



Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S












formation

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures










DSI





ents


Bureau projet



Service formation


DSI





ents


Bureau projet



Service formation


GUIDE DE MANAGEMENT


De Entreacutees



DS1 CE










DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















PP

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE







Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures

Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures












DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees




DS1 CS et CE













Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















P S S S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S S S













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures










DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees




AI6






Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit


induit mesure



Meacutetriq

ues


Activiteacutes







0 Inexistante quand





















P P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees





DS8







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CE







A C R I C



Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues





Processus








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS













preacuteventive

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CS et CE



DS11



Tableau RACI

Activiteacutes


AR I







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand















SUR

VE

ILL

ER

ET

EacuteV

AL

UE

R









PP SS S SS

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees
















Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures














DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA

it


GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA

Tableau RACI

Activiteacutes



Objectifs


induinduit



Activiteacutes





Meacutetriq

ues







0 Inexistante quand













GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI









P S




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S
















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees



PO4 SE4


SE1

Tableau RACI


AR C I I I C I R



AR C C C C C C R


AR C C C C C R


Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand













GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

GESTION DES

RISQUES

ALIGNEMENT

STRATEGIQUE









PP SSS S S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SSS S S
















SecondairePrimaire


MESURE DE LA

PERFORMANCE

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


GOUVERNANCE

DES SI

GESTION DES

RISQUES

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures














DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees







PO5


Tableau RACI



A R I I R C






Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand













AN

NE

XE

I

OB

JEC

TIF

S

ANNEXE I











AN

NE

XE

I

copy 2008 A

FAI T


wafaifr





Conformiteacute

Disponibiliteacute



Efficience

Efficaci teacute


2221

27

20

26

19

26

24

22

28

18

23

24

20

15

21

11

13

17

22

25

10

12

11

13

20

6

11

28

14

18

23

24

16

5

8

4

7

8

19

13

5

8

11

24

2

2

3

5

10

1

7

2

6

7

2

2

1

7

5

9


















1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17


Perspectiveclient

Perspectiveinterne


169


NN

EX

E I

copy 2008 A

FAI T


wafaifr


Fiabiliteacute

Conformiteacute

Disponibiliteacute



Efficience

Efficaci teacute


S

S

S

S

S

S

S

S

S

S

S

P

S

S

S

S

S

S

S

S

S

P

S

S

S

S

P

S

S

P

S

S

P

P

P

P

S

S

P

S

S

S

P

S

S

P

P

P

S

S

S

P

S

S

P

S

P

P

S

P

P

P

S

P

P

P

P

P

P

P

P

S

S

P

P

P

S

S

S

P

P

P

P

P

P

P

P

P

P

P

S

P

P

P

P

P

S

S

P

P

S

P

P

P

P

S

P

P

P

SE1DS3DS1

DS13

AI7

DS10

SE3

SE2

AI6

DS8

SE1

DS13

AI1

SE4

DS7

DS6

DS8

SE2

DS9

DS10

DS12

PO10

SE1

DS2

AI3

DS2

DS7

DS12

DS7

AI7

DS12

DS5

DS12

DS13

SE4

SE3

PO4

PO10

DS1

PO7

AI6

AI5

AI7

DS1

AI7

DS9

DS3

AI6

SE2

DS11

DS5

DS4

DS4

DS8

SE3

SE1

PO2

PO4

AI4

DS11

PO4

AI2

AI2

AI5

AI5

AI4

PO6

AI4

DS5

AI3

AI4

DS10

DS5

AI7

AI7

AI6

DS4

DS6

PO10

DS5

SE2

DS6

PO1

PO1

PO8

PO2

PO2

AI1

PO3

AI3

PO7

DS2

PO2

PO5

PO6

PO9

PO3

PO8

PO9

PO9

PO6

PO6

PO6

PO6

DS3

PO5

PO8

AI6

DS11

PO5





























1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

170

COBIT41



copy 2008 A

FAI T


wafaifr


Reacutea

gir

au

x ex

igen

ces

meacutet

ier

en a

cco

rd a

vec

la s

trat

eacutegie

meacutet

ier

Reacutea

gir

au

x ex

igen

ces

de

la g

ou

vern

ance

en

acco

rd a

vec

les

ori

enta

tio

ns

du

CA

Srsquoa

ssu

rer

de

la s

atis

fact

ion

des

uti

lisat

eurs

fin

aux

agrave lrsquoeacute

gar

d d

eso

ffre

s et

des

niv

eau

x d

e se

rvic

es

Op

tim

iser

lrsquou

tilis

atio

n d

e lrsquoi

nfo

rmat

ion

Do

nn

er d

e lrsquoa

gili

teacute agrave

lrsquoin

form

atiq

ue

Deacutet

erm

iner

co

mm

ent

trad

uir

e le

s ex

igen

ces

meacutet

ier

de

fon

ctio

nn

emen

t et

de

con

trocirc

le e

n so

luti

on

s au

tom

atis

eacutees

effi

cace

s et

eff

icie

nte

s

Acq

ueacuter

ir e

t m

ain

ten

ir f

on

ctio

nn

els

des

sys

tegravem

es a

pp

licat

ifs

inteacute

greacute

s et

sta

nd

ard

iseacutes

Acq

ueacuter

ir e

t m

ain

ten

ir o

peacuter

atio

nn

elle

un

e in

fras

tru

ctu

rein

form

atiq

ue

inteacute

greacute

e et

sta

nd

ard

iseacutee

Se

pro

cure

r et

co

nse

rver

les

co

mp

eacuteten

ces

neacutec

essa

ires

agrave l

am

ise

en œ

uvr

e d

e la

str

ateacuteg

ie i

nfo

rmat

iqu

e

Srsquoa

ssu

rer

de

la s

atis

fact

ion

reacuteci

pro

qu

e d

ans

les

rela

tio

ns

avec

les

tier

s

Inteacute

gre

r p

rog

ress

ivem

ent

des

so

luti

on

s in

form

atiq

ues

au

xp

roce

ssu

s m

eacutetie

r

Srsquoa

ssu

rer

de

la t

ran

spar

ence

et

la b

on

ne

com

preacute

hen

sio

n d

esco

ucircts

beacuten

eacutefic

es s

trat

eacutegie

po

litiq

ues

et

niv

eau

x d

e se

rvic

esd

es S

I

Srsquoa

ssu

rer

drsquou

ne

bo

nn

e u

tilis

atio

n et

des

bo

nn

es p

erfo

rman

ces

des

ap

plic

atio

ns

et d

es s

olu

tio

ns

info

rmat

iqu

es

Pro

teacuteg

er t

ou

s le

s ac

tifs

in

form

atiq

ues

et

en ecirc

tre

com

pta

ble

Op

tim

iser

lrsquoin

fras

tru

ctu

re l

es r

esso

urc

es e

t le

s ca

pac

iteacutes

info

rm a

tiq

ues

Reacuted

uir

e le

no

mb

re d

e d

eacutefau

ts e

t d

e re

trai

tem

ents

to

uch

ant

lafo

urn

itu

re d

e so

luti

on

s et

de

serv

ices

Pro

teacuteg

er l

rsquoatt

ein

te d

es o

bje

ctif

s in

form

atiq

ues

Mo

ntr

er c

lair

emen

t le

s co

nseacute

qu

ence

s p

ou

r lrsquoe

ntr

epri

se d

esri

squ

es l

ieacutes

aux

ob

ject

ifs

et a

ux

ress

ou

rces

in

form

atiq

ues

Srsquoa

ssu

rer

qu

e li

nfo

rmat

ion

crit

iqu

e et

co

nfi

den

tiel

le n

rsquoest

pas

acce

ssib

le agrave

ceu

x qu

i ne

do

iven

t p

as y

acc

eacuteder

Srsquoa

ssu

rer

qu

e le

s tr

ansa

ctio

ns

meacutet

ier

auto

mat

iseacutee

s et

les

eacutech

ang

es d

rsquoinfo

rmat

ion

s so

nt

fiab

les

Srsquoa

ssu

rer

qu

e le

s se

rvic

es e

t lrsquoi

nfr

astr

uct

ure

in

form

atiq

ue

peu

ven

t reacute

sist

ers

e reacute

tab

lir c

on

ven

able

men

t en

cas

de

pan

ne

du

e agrave

un

e er

reu

r agrave

un

e at

taq

ue

deacutel

ibeacuter

eacutee o

u agrave

un

sin

istr

e

Srsquoa

ssu

rer

qu

rsquoun

inci

den

t o

u u

ne

mo

dif

icat

ion

dan

s la

fo

urn

itu

red

rsquoun

serv

ice

info

rmat

iqu

e n

rsquoait

qu

rsquoun

imp

act

min

imu

m s

ur

lrsquoact

ivit

eacute

Srsquoa

ssu

rer

qu

e le

s se

rvic

es i

nfo

rmat

iqu

es s

on

t d

isp

on

ible

s d

ans

les

con

dit

ion

s re

qu

ises

Am

eacutelio

rer

la r

enta

bili

teacute d

e lrsquoi

nfo

rmat

iqu

e et

sa

con

trib

uti

on

agrave la

pro

fita

bili

teacute d

e lrsquoe

ntr

epri

se

Liv

rer

les

pro

jets

en

tem

ps

et d

ans

les

limit

es b

ud

geacutet

aire

s en

resp

ecta

nt

les

stan

dar

ds

de

qu

alit

eacute

Mai

nte

nir

lrsquoin

teacuteg

riteacute

de

lrsquoin

form

atio

n et

de

lrsquoin

fras

tru

ctu

re d

etr

aite

m e

nt

Ass

ure

r la

co

nfo

rmit

eacute d

e lrsquoi

nfo

rmat

iqu

e au

x lo

is e

t regrave

gle

men

ts

Srsquoa

ssu

rer

qu

e lrsquoi

nfo

rmat

iqu

e fa

it p

reu

ve d

rsquoun

e q

ual

iteacute

dese

rvic

e ef

fici

ente

en

mat

iegravere

de

coucirc

ts d

rsquoam

eacutelio

rati

on

con

tin

ue

et d

e ca

pac

iteacute

agrave srsquo

adap

ter

agrave d

es c

han

gem

ents

fu

turs

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28



































AN

NE

XE

I

172

ANNEXE II




AN

NE

XE

II

RE

LA

TIO

NS

PRO

CE

SSU

S

AN

NE

XE

II R

EL

AT

ION

S DE

S PR

OC

ESS

US IN

FOR

MA

TIQ

UE

S AV

EC

L

ES D

OM

AIN

ES D

E L

A G

OU

VE

RN

AN

CE

DE

S SI L

E C

OSO

LE

S RE

SSO

UR

CE

S INF

OR

MA

TIQ

UE

S CO

BIT

E

T L

ES C

RIT

EgraveR

ES D

rsquoINFO

RM

AT

ION

CO

BIT

IMPO

RTA

NCE


Alignem


Apport de valeur

Gestion des

ressources

Gestion des risques

Mesures de la

performance

Environnement de

controcircle


Activiteacutes de

controcircle

Information et

communication

Surveillance

Applications

Informations

Infrastructures

Personnes

Efficaciteacute

Efficience


Inteacutegriteacute

Disponibiliteacute

Conform

iteacute

Fiabiliteacute











PO1

PO2

PO3

PO4

PO 5

PO6

PO7

PO8

PO9

PO10

H P S S P S S P S


M S S P S S P S P P

B S P P P S S P P

M S P S S S P P P S

M P P P P P S

B P P S S P S P P











AI1

AI2

AI3

AI4

AI5

AI6

AI7

M P P S S P P S

M P P S P P P S S

B P P S P S S


M S P P S P S
















DS1

DS2

DS3

DS4

DS5

DS6

DS7

DS8

DS9

DS10

DS11

DS12

DS13





H P P S S P P S S S

B S P S P P P

B S P S P S P S

B S P S S P P P P

M P S P P S S S

M P S P S S P P S

H P P P P P P

B S P S P P P






SE1

SE2

SE3

SE4



H P P P S S P S



copy 2008 A

FAI T


wafaifr

173

COBIT41



ANNEXE III



AN

NE

XE

III

M

AT

UR

ITEacute

CO

NT

ROcirc

LE

S

ANNEXE III


















COBIT41



ANNEXE IV


AN

NE

XE

IV

DO

CU

ME

NT

S D

E R

EacuteFEacute

RE

NC

E

ANNEXE IV














COBIT41



ANNEXE V


AN

NE

XE

V

CO

MPA

RA

ISO

N C

OB

IT 3

CO

BIT

41




















21


21



COBIT 41 43


44


45


47


48


49


49


412


46


414


53


54


11 54 55


61


63 64 65


63 64 65


64


63 64 65


63 64 65


62


63 64 65


63 64 65


71


76


COBIT 41 77


78


78


SE31


SE32


SE31


SE31


SE31


91 92 94


94



95


95


91


102


104


108


106


1010


1012


109


1014 (partiel)


81


81


81 82


82 83



COBIT 41 82 83


82 83



COBIT 41 82



COBIT 41 AI72 AI74


82


82


82



11


13 51 PO14


13 51 PO14


51 53


13


13



12


11 12


11 12


11 13



54


54


54



21 22 26


21


22


22


22


22


22


22


22


23 DS115


43 44


22


31 32 33


DS135


31 32 33


31 32 33


33


61 73


32 33 DS93


41


42


76 DS31


76


76


79


79


61 64


65


79



11


13


11


15


16



COBIT 41 23


31


35


33



COBIT 41 33


32


41


41


42


43


44


45


46


47


48


43


410


51


53


53


54


54


54 55


53


55


53


57


58


59


COBIT 41 510


134


63


62 64


71


PO74


82 83 84


83


101


91


92


101 102 103 104


82 102


54 123 AI63


101 83


CA1


CA1


CA1


CA1


DS112


CA2


CA3


CA2 CA4


CA4


CA4


113


49 113


116


511


123


131


131


134




12


12


22


21


22 23


24


25 47


COBIT 41 25 47


25 47


25 47


25 26 47


25 47


25 47


COBIT 41


25 47




COBIT 41 COBIT 3e


Nouveau


17 18


11 12 13 14 16 AI12 AI13


15


Nouveau


21


22


23 24 DS58


31 33 34


Nouveau


32


Nouveau


Nouveau


41


42


43


45


46


47 48

COBIT 41 COBIT 3e


414


Nouveau


Nouveau


51 53


61


6 8


62 63 65 66 67 69 610 611



62 63 65 66 67 69 610 611


71


74


75


76


77 78


COBIT 41 COBIT 3e


112 113 114


115 116 117 118 19 1110 1116 1117 1119


115 116 117


1118


91 94 98


91 94


93 94


Nouveau


Nouveau


Nouveau


102


104


105 106


1010


Nouveau


109


Nouveau





11 19 110 111 112


13 17 112


Nouveau


26 27 28 29 210 211 213 217


212 214


212


Nouveau


22


Nouveau


Nouveau

COBIT 41 COBIT 3e


PO34 118 31 33 34


118 31 33 34 37


118 31 33 34 35 37


Nouveau


41


PO1111 42


PO1111 216 44


PO1111 216 43 44



DS23 DS25


115 116 117 118


36 61

COBIT 41 COBIT 3e


62


61


65



PO1112 PO1113 PO1114 PO1115 53 56


PO1113 PO1114 PO1115 215 57


54 55



COBIT 41 COBIT 3e


11 13


14


15 16


21


22



28


AI52 31 34


37


35 36


32 38 39


33


41 42

COBIT 41 COBIT 3e


43


44 410


45


46


47


48


49 411


412 1125


51 512



54 55 56 513 104


56 57 510


511


517


518

COBIT 41 COBIT 3e


519


515 516 1129 138


63


62


63


71


72


Nouveau


82 103



91 92 98


97 98




Nouveau 101


Nouveau

COBIT 41 COBIT 3e


1112 1119 1120 1126 1130


1121 1122 1125


AI214 1123


1116 1117 1127


121 122 124


121 122

COBIT 41 COBIT 3e


COBIT 41 COBIT 3e


11 13


12


14


20


COBIT 41 COBIT 3e


Nouveau


Nouveau




PO82

COBIT 41 COBIT 3e


Nouveau


Nouveau


Nouveau



ANNEXE VI


AN

NE

XE

VI

A

PPR

OC

HE

RE

CH

amp D

EacuteV

ANNEXE VI














COBIT41












Annexe VII

GLOSSAIRE

AN

NE

XE

VII

G

LO

SSA

IRE





































































































COBIT41




AN

NE

XE

VII

I

PRO

DU

ITS

CO

BIT

ANNEXE VIII






















COBIT41



COBIT41






REMERCIEMENTS



COBIT41



COBIT41

REMERCIEMENTS



COBIT41











SYNTHEgraveSE 5















SY

NT

HEgrave

SE

SYNTHEgraveSE

SYNTHEgraveSE

SYNTHEgraveSE














ndash

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT D

E

VALEURA

LIGNEMENT

STRATEGIQUE

Tableaux de bord


Tests comparatifs


ndash






Indicateurs

Mesures

Echelles

Tableaux de bord


Tests comparatifs





Indicateurs

Mesures

Echelles










GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE






Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management


Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI



Gu de de management

ndash













rsquo- -

rsquo

rsquo

rsquo











i


rsquo- -

rsquo

rsquo

rsquo











i

rsquo- -

rsquo

rsquo

rsquo

Comment le conseil


responsabiliteacute






gouvernance des SI


gouvernance des SI













i


Guide de management















et des approbations





la conception










et des approbations





la conception





ndash




et des approbations

eeeffffffeeecccttt










la conception






mmmeeesss








pppooouuurrrlllaaa


pppooouuurrr


sssuuulllttt

aaattt


fffooorrrmmm

aaannnccceee








CA

DR

E D

E

REacute

FEacuteR

EN

CE



La mission de COBIT




Pourquoi


















COBIT


ndash

COBIT41 Qui





Quoi















quireacutepondent

aux

pourfournir



dans





COBIT

qui reacutepondent

aux

pour fournir



dans




impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques


de l entreprise

Tableaude bord

informatique



impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques


de l entreprise

Tableaude bord

informatique


impliquent

influencentexigent





ont besoin


font tourner


Applications





Applications

Informations

ndash rsquo rsquo










impliquent

influencentexigent





ont besoin


font tourner


Applications



Strateacutegie de



Objectifs

informatiques



Tableau de bord

informatique






1






Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes







Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes

ndash



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter




Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter

ndash


















Ap

plic

atio

ns

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes










Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter














Normes

Standards

Objectifs

Comparer Processus





Normes

Standards

Objectifs

AAGGIIRR


Comparer Processus


























Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter





Exigencesde

fonctionnement

Exigencesde

controcircle




Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter





Exigencesde

fonctionnement

Exigencesde

controcircle



Acqueacuteriret

Impleacutementer

Deacutelivreret

Supporter



ndash



Exigences de

fonctionnement

Exigences de

controcircle




Acqueacuterir et

Impleacutementer

Deacutelivrer et

Supporter
























ndash rsquo

ndash

COBIT41

0

01

02

03

04

05

06

07



0

01

02

03

04

05

06

07












000 111 222 333 444 555











ndash

ndash













QUOI (controcircle)

100

4

3

2

1

5

0



informatique



















ndash

CA

DR

E D

E R

EacuteFEacute

RE

NC

E

copy 2008 A

FAI T


wafaifr

1

2

3

4

5









igu

re 15 T

ableau

des attrib

uts d

e matu

riteacute

































21








non autoriseacutes



des tiers



de l entreprise










des tiers



de l entreprise

ndash rsquo






non autoriseacutes






non autoriseacutes







non autoriseacutes






non autoriseacutes







ndash










non autoriseacutes





non autoriseacutes















des tiers









non autoriseacutes




















non autoriseacutes



pour l entreprise








pour l entreprise

ndash




autoriseacute














Ameacuteliorer e

t reacutealigner


rsquo

rsquo

rsquo

rsquo rsquo

rsquo

rsquo rsquo

ndash










non autoriseacutes









iiinnnddduuuiiittt

iiinnnddduuuiiittt

iiinnnddduuuiiittt








autoriseacute





















Ameacuteliorer e

t reacutealigner







Informatique

Ob

ject

ifs


Meacutet

riq

ues


drsquoinformation



Description

des processus






App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes


rsquo


Informatique

Ob

ject

ifs


Meacutet

riq

ues



iinndduuiitt

iinndduuiitt





d information



Description

des processus






App

licat

ion

s

Info

rmat

ion

s

Infr

astr

uct

ure

s

Per

son

nes



ndash

Fiabiliteacute

Efficac

iteacute

Efficience

Confidentia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es

DOMAINES

ACTIVITEacuteS

PROCESSUS



Efficac

iteacute

Efficience

Confiden

DOMAINES


aattiiqquueess

PROCESSUS

Fiabiliteacutetia

liteacute

Inteacutegriteacute

Disponibilit

eacute

Conformiteacute

App

licat

ions

Info

rmat

ions

Infr

astr

uctu

res

Per

sonn

es















ndash



Gestiondes risques

Apportde valeur




ndash

bullbullbullbull
































bull Efficience



Efficaciteacutebull

COBIT

OBJECTIFS METIERS











































COBIT







































COBIT

OBJECTIFS METIERS














ndash









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE







nom du processus









EEffffiiccaa

cciitteacuteeacute

IInntteacuteeacute


CCoonnffiidd

eennttiiaa

lliitteacuteeacute


DDiissppoonn

iibbiilliitt

eacuteeacute

CCoonnffoo


FFiiaabb



nnss

PPeerrssoonnnneess


nnss

IInnffrraassttrr

uuccttuurreess





GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE











informatiques)







Annexes





PL

AN

IFIE

R E

T

OR

GA

NIS

ER









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE










Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S









des meacutetiers





SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT














DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PS PS
















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees











I C A C C I C C R


C C I A C R C I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP














informatique



SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees











Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs





induit mesure



Meacutetriq

ues


Processus







0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP S












Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP










SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures




























DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Tous


C C C A C C C R C I






DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

SPP SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP S

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees














Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

P S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S

















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees








Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs




induit

induit

Meacutetriq

ues




Processus








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures















DSI





ents


Bureau projet





De Entreacutees




DS7



C A C C C R C


A R R R R R C

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS


















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs





induit mesure



Meacutetriq

ues


Processus







0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

SS PP P S S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

SS PP P S S


















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI











Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEUR

GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

PP





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fi

abilit

eacute

PP
















projet

SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


GOUVERNANCE

DES SI

ALIGNEMENT

STRATEGIQUE

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures


























DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees







Tableau RACI








Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit



Processus


Activiteacutes



Meacutetriq

ues







0 Inexistante quand















AC

QU

EacuteR

IR E

T

IMPL

EacuteM

EN

TE

R









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

P S
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet



it


GUIDE DE MANAGEMENT










Tableau RACI









Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





deacutefinit

Informatique

Objectifs


mesure indu

ii

ndu t

Meacutetriq

ues


deacutefinit

Processus




Activiteacutes


mesure mesure






0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE













Effica

citeacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibilit

eacute

Confo

rmiteacute

Fiab

iliteacute

PP SS















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI






C C C A C R C




Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees













DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit



Meacutetriq

ues


Processus


Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S S














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE



Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet



Service formation


ent


DSI





ents


Bureau projet



Service formation


ent

Service formation


ent


GUIDE DE MANAGEMENT











DS7









DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Equipe

dedeacuteploiem

ent

Tableau RACI

Activiteacutes



Objectifs




induit

induit

Meacutetriq

ues




Processus








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE













Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiabilit

eacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT









I C A I I I R C





Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit

induit

induit

Meacutetriq

ues




Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SPP










Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SPP













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT












A I R C R C C C






DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit



Processus


Activiteacutes




Meacutetriq

ues







0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









P SSS







Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P SSS














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures
















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT










Tableau RACI




A R




Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes

















DEacute

LIV

RE

R E

T

SUPP

OR

TE

R









GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS









Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE




Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet



Chef de service


DSI





ents


Bureau projet



Chef de service


GUIDE DE MANAGEMENT


De Entreacutees









Tableau RACI









Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Chefde

service



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees













Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit



Processus


Activiteacutes




Meacutetriq

ues







0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CS


Tableau RACI


A R C C C C






I I AR I I I I

Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P S P





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S P
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures

















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees





DS1 CS et CE


DS1 DS2


Tableau RACI






I AR R R R I







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs



induit

induit



Meacutetriq

ues


Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS S








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures


















DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees





DS1 CE


DS7


Tableau RACI







A C C R R C


Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P














SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures











DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees




DS1 CS et CE



C C A C C C C R C


C A C C C R C



Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S












formation

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures










DSI





ents


Bureau projet



Service formation


DSI





ents


Bureau projet



Service formation


GUIDE DE MANAGEMENT


De Entreacutees



DS1 CE










DSI

Proprieacutetaire





ents


Bureau

projet



Serviceformation

Tableau RACI

Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand





















PP

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE







Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures

Applicatio

ns

Personnes

Informatio

ns

Infrastru

ctures












DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees




DS1 CS et CE













Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Activiteacutes



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















P S S S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S S S













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures










DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees




AI6






Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Tableau RACI

Activiteacutes



Objectifs


deacutefinit


deacutefinit


induit mesure



Meacutetriq

ues


Activiteacutes







0 Inexistante quand





















P P S

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P S












SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet





DSI





ents


Bureau projet





GUIDE DE MANAGEMENT


De Entreacutees





DS8







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet




Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

P P





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P P
















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures

Applicatio

ns

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CE







A C R I C



Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP













SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastru

ctures

Applications

Personnes

Informatio

ns

Infrastru

ctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues





Processus








0 Inexistante quand





















GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

PP SS








Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS













preacuteventive

SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




GUIDE DE MANAGEMENT


De Entreacutees



DS1 CS et CE



DS11



Tableau RACI

Activiteacutes


AR I







Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet





Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand















SUR

VE

ILL

ER

ET

EacuteV

AL

UE

R









PP SS S SS

GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS

















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures













DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees
















Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA Tableau RACI

Activiteacutes



Objectifs



induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand













GOUVERNANCE

DES SI

GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE









PP SS S SS





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SS S SS















SecondairePrimaire

GOUVERNANCE

DES SI


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures














DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA

it


GUIDE DE MANAGEMENT


De Entreacutees










Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA

Tableau RACI

Activiteacutes



Objectifs


induinduit



Activiteacutes





Meacutetriq

ues







0 Inexistante quand













GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI









P S




Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

P S
















SecondairePrimaire


MESURE DE LA

PERFORMANCE G

ESTION DES

RISQUES

APPORTDE

VALEUR


ALIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures












DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees



PO4 SE4


SE1

Tableau RACI


AR C I I I C I R



AR C C C C C C R


AR C C C C C R


Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes








0 Inexistante quand













GESTION DES

RESSOURCES

MESURE DE LA

PERFORMANCE

APPORT DE

VALEURA

LIGNEMENT

STRATEGIQUE

GOUVERNANCE

DES SI

GESTION DES

RISQUES

ALIGNEMENT

STRATEGIQUE









PP SSS S S





Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fiab

iliteacute

Efficac

iteacute

Inteacute

griteacute

Confid

entia

liteacute

Efficience

Dispon

ibiliteacute

Confo

rmiteacute

Fi

abilit

eacute

PP SSS S S
















SecondairePrimaire


MESURE DE LA

PERFORMANCE

APPORTDE

VALEURA

LIGNEMENT

STRATEGIQUE


GOUVERNANCE

DES SI

GESTION DES

RISQUES

Applications

Personnes

Informatio

ns

Infrastr

uctures

Applications

Personnes

Informatio

ns

Infrastr

uctures














DSI





ents


Bureau projet




DSI





ents


Bureau projet



CA


GUIDE DE MANAGEMENT


De Entreacutees







PO5


Tableau RACI



A R I I R C






Fonctions


DSI

Proprieacutetaire





ents


Bureau

projet



CA



Objectifs


induit

induit

Meacutetriq

ues




Processus


Activiteacutes









0 Inexistante quand













AN

NE

XE

I

OB

JEC

TIF

S

ANNEXE I











AN

NE

XE

I

copy 2008 A

FAI T


wafaifr





Conformiteacute

Disponibiliteacute



Efficience

Efficaci teacute


2221

27

20

26

19

26

24

22

28

18

23

24

20

15

21

11

13

17

22

25

10

12

11

13

20

6

11

28

14

18

23

24

16

5

8

4

7

8

19

13

5

8

11

24

2

2

3

5

10

1

7

2

6

7

2

2

1

7

5

9


















1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17


Perspectiveclient

Perspectiveinterne


169


NN

EX

E I

copy 2008 A

FAI T


wafaifr


Fiabiliteacute

Conformiteacute

Disponibiliteacute



Efficience

Efficaci teacute


S

S

S

S

S

S

S

S

S

S

S

P

S

S

S

S

S

S

S

S

S

P

S

S

S

S

P

S

S

P

S

S

P

P

P

P

S

S

P

S

S

S

P

S

S

P

P

P

S

S

S

P

S

S

P

S

P

P

S

P

P

P

S

P

P

P

P

P

P

P

P

S

S

P

P

P

S

S

S

P

P

P

P

P

P

P

P

P

P

P

S

P

P

P

P

P

S

S

P

P

S

P

P

P

P

S

P

P

P

SE1DS3DS1

DS13

AI7

DS10

SE3

SE2

AI6

DS8

SE1

DS13

AI1

SE4

DS7

DS6

DS8

SE2

DS9

DS10

DS12

PO10

SE1

DS2

AI3

DS2

DS7

DS12

DS7

AI7

DS12

DS5

DS12

DS13

SE4

SE3

PO4

PO10

DS1

PO7

AI6

AI5

AI7

DS1

AI7

DS9

DS3

AI6

SE2

DS11

DS5

DS4

DS4

DS8

SE3

SE1

PO2

PO4

AI4

DS11

PO4

AI2

AI2

AI5

AI5

AI4

PO6

AI4

DS5

AI3

AI4

DS10

DS5

AI7

AI7

AI6

DS4

DS6

PO10

DS5

SE2

DS6

PO1

PO1

PO8

PO2

PO2

AI1

PO3

AI3

PO7

DS2

PO2

PO5

PO6

PO9

PO3

PO8

PO9

PO9

PO6

PO6

PO6

PO6

DS3

PO5

PO8

AI6

DS11

PO5





























1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

170

COBIT41



copy 2008 A

FAI T


wafaifr


Reacutea

gir

au

x ex

igen

ces

meacutet

ier

en a

cco

rd a

vec

la s

trat

eacutegie

meacutet

ier

Reacutea

gir

au

x ex

igen

ces

de

la g

ou

vern

ance

en

acco

rd a

vec

les

ori

enta

tio

ns

du

CA

Srsquoa

ssu

rer

de

la s

atis

fact

ion

des

uti

lisat

eurs

fin

aux

agrave lrsquoeacute

gar

d d

eso

ffre

s et

des

niv

eau

x d

e se

rvic

es

Op

tim

iser

lrsquou

tilis

atio

n d

e lrsquoi

nfo

rmat

ion

Do

nn

er d

e lrsquoa

gili

teacute agrave

lrsquoin

form

atiq

ue

Deacutet

erm

iner

co

mm

ent

trad

uir

e le

s ex

igen

ces

meacutet

ier

de

fon

ctio

nn

emen

t et

de

con

trocirc

le e

n so

luti

on

s au

tom

atis

eacutees

effi

cace

s et

eff

icie

nte

s

Acq

ueacuter

ir e

t m

ain

ten

ir f

on

ctio

nn

els

des

sys

tegravem

es a

pp

licat

ifs

inteacute

greacute

s et

sta

nd

ard

iseacutes

Acq

ueacuter

ir e

t m

ain

ten

ir o

peacuter

atio

nn

elle

un

e in

fras

tru

ctu

rein

form

atiq

ue

inteacute

greacute

e et

sta

nd

ard

iseacutee

Se

pro

cure

r et

co

nse

rver

les

co

mp

eacuteten

ces

neacutec

essa

ires

agrave l

am

ise

en œ

uvr

e d

e la

str

ateacuteg

ie i

nfo

rmat

iqu

e

Srsquoa

ssu

rer

de

la s

atis

fact

ion

reacuteci

pro

qu

e d

ans

les

rela

tio

ns

avec

les

tier

s

Inteacute

gre

r p

rog

ress

ivem

ent

des

so

luti

on

s in

form

atiq

ues

au

xp

roce

ssu

s m

eacutetie

r

Srsquoa

ssu

rer

de

la t

ran

spar

ence

et

la b

on

ne

com

preacute

hen

sio

n d

esco

ucircts

beacuten

eacutefic

es s

trat

eacutegie

po

litiq

ues

et

niv

eau

x d

e se

rvic

esd

es S

I

Srsquoa

ssu

rer

drsquou

ne

bo

nn

e u

tilis

atio

n et

des

bo

nn

es p

erfo

rman

ces

des

ap

plic

atio

ns

et d

es s

olu

tio

ns

info

rmat

iqu

es

Pro

teacuteg

er t

ou

s le

s ac

tifs

in

form

atiq

ues

et

en ecirc

tre

com

pta

ble

Op

tim

iser

lrsquoin

fras

tru

ctu

re l

es r

esso

urc

es e

t le

s ca

pac

iteacutes

info

rm a

tiq

ues

Reacuted

uir

e le

no

mb

re d

e d

eacutefau

ts e

t d

e re

trai

tem

ents

to

uch

ant

lafo

urn

itu

re d

e so

luti

on

s et

de

serv

ices

Pro

teacuteg

er l

rsquoatt

ein

te d

es o

bje

ctif

s in

form

atiq

ues

Mo

ntr

er c

lair

emen

t le

s co

nseacute

qu

ence

s p

ou

r lrsquoe

ntr

epri

se d

esri

squ

es l

ieacutes

aux

ob

ject

ifs

et a

ux

ress

ou

rces

in

form

atiq

ues

Srsquoa

ssu

rer

qu

e li

nfo

rmat

ion

crit

iqu

e et

co

nfi

den

tiel

le n

rsquoest

pas

acce

ssib

le agrave

ceu

x qu

i ne

do

iven

t p

as y

acc

eacuteder

Srsquoa

ssu

rer

qu

e le

s tr

ansa

ctio

ns

meacutet

ier

auto

mat

iseacutee

s et

les

eacutech

ang

es d

rsquoinfo

rmat

ion

s so

nt

fiab

les

Srsquoa

ssu

rer

qu

e le

s se

rvic

es e

t lrsquoi

nfr

astr

uct

ure

in

form

atiq

ue

peu

ven

t reacute

sist

ers

e reacute

tab

lir c

on

ven

able

men

t en

cas

de

pan

ne

du

e agrave

un

e er

reu

r agrave

un

e at

taq

ue

deacutel

ibeacuter

eacutee o

u agrave

un

sin

istr

e

Srsquoa

ssu

rer

qu

rsquoun

inci

den

t o

u u

ne

mo

dif

icat

ion

dan

s la

fo

urn

itu

red

rsquoun

serv

ice

info

rmat

iqu

e n

rsquoait

qu

rsquoun

imp

act

min

imu

m s

ur

lrsquoact

ivit

eacute

Srsquoa

ssu

rer

qu

e le

s se

rvic

es i

nfo

rmat

iqu

es s

on

t d

isp

on

ible

s d

ans

les

con

dit

ion

s re

qu

ises

Am

eacutelio

rer

la r

enta

bili

teacute d

e lrsquoi

nfo

rmat

iqu

e et

sa

con

trib

uti

on

agrave la

pro

fita

bili

teacute d

e lrsquoe

ntr

epri

se

Liv

rer

les

pro

jets

en

tem

ps

et d

ans

les

limit

es b

ud

geacutet

aire

s en

resp

ecta

nt

les

stan

dar

ds

de

qu

alit

eacute

Mai

nte

nir

lrsquoin

teacuteg

riteacute

de

lrsquoin

form

atio

n et

de

lrsquoin

fras

tru

ctu

re d

etr

aite

m e

nt

Ass

ure

r la

co

nfo

rmit

eacute d

e lrsquoi

nfo

rmat

iqu

e au

x lo

is e

t regrave

gle

men

ts

Srsquoa

ssu

rer

qu

e lrsquoi

nfo

rmat

iqu

e fa

it p

reu

ve d

rsquoun

e q

ual

iteacute

dese

rvic

e ef

fici

ente

en

mat

iegravere

de

coucirc

ts d

rsquoam

eacutelio

rati

on

con

tin

ue

et d

e ca

pac

iteacute

agrave srsquo

adap

ter

agrave d

es c

han

gem

ents

fu

turs

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28



































AN

NE

XE

I

172

ANNEXE II




AN

NE

XE

II

RE

LA

TIO

NS

PRO

CE

SSU

S

AN

NE

XE

II R

EL

AT

ION

S DE

S PR

OC

ESS

US IN

FOR

MA

TIQ

UE

S AV

EC

L

ES D

OM

AIN

ES D

E L

A G

OU

VE

RN

AN

CE

DE

S SI L

E C

OSO

LE

S RE

SSO

UR

CE

S INF

OR

MA

TIQ

UE

S CO

BIT

E

T L

ES C

RIT

EgraveR

ES D

rsquoINFO

RM

AT

ION

CO

BIT

IMPO

RTA

NCE


Alignem


Apport de valeur

Gestion des

ressources

Gestion des risques

Mesures de la

performance

Environnement de

controcircle


Activiteacutes de

controcircle

Information et

communication

Surveillance

Applications

Informations

Infrastructures

Personnes

Efficaciteacute

Efficience


Inteacutegriteacute

Disponibiliteacute

Conform

iteacute

Fiabiliteacute











PO1

PO2

PO3

PO4

PO 5

PO6

PO7

PO8

PO9

PO10

H P S S P S S P S


M S S P S S P S P P

B S P P P S S P P

M S P S S S P P P S

M P P P P P S

B P P S S P S P P











AI1

AI2

AI3

AI4

AI5

AI6

AI7

M P P S S P P S

M P P S P P P S S

B P P S P S S


M S P P S P S
















DS1

DS2

DS3

DS4

DS5

DS6

DS7

DS8

DS9

DS10

DS11

DS12

DS13





H P P S S P P S S S

B S P S P P P

B S P S P S P S

B S P S S P P P P

M P S P P S S S

M P S P S S P P S

H P P P P P P

B S P S P P P






SE1

SE2

SE3

SE4



H P P P S S P S



copy 2008 A

FAI T


wafaifr

173

COBIT41



ANNEXE III



AN

NE

XE

III

M

AT

UR

ITEacute

CO

NT

ROcirc

LE

S

ANNEXE III


















COBIT41



ANNEXE IV


AN

NE

XE

IV

DO

CU

ME

NT

S D

E R

EacuteFEacute

RE

NC

E

ANNEXE IV














COBIT41



ANNEXE V


AN

NE

XE

V

CO

MPA

RA

ISO

N C

OB

IT 3

CO

BIT

41




















21


21



COBIT 41 43


44


45


47


48


49


49


412


46


414


53


54


11 54 55


61


63 64 65


63 64 65


64


63 64 65


63 64 65


62


63 64 65


63 64 65


71


76


COBIT 41 77


78


78


SE31


SE32


SE31


SE31


SE31


91 92 94


94



95


95


91


102


104


108


106


1010


1012


109


1014 (partiel)


81


81


81 82


82 83



COBIT 41 82 83


82 83



COBIT 41 82



COBIT 41 AI72 AI74


82


82


82



11


13 51 PO14


13 51 PO14


51 53


13


13



12


11 12


11 12


11 13



54


54


54



21 22 26


21


22


22


22


22


22


22


22


23 DS115


43 44


22


31 32 33


DS135


31 32 33


31 32 33


33


61 73


32 33 DS93


41


42


76 DS31


76


76


79


79


61 64


65


79



11


13


11


15


16



COBIT 41 23


31


35


33



COBIT 41 33


32


41


41


42


43


44


45


46


47


48


43


410


51


53


53


54


54


54 55


53


55


53


57


58


59


COBIT 41 510


134


63


62 64


71


PO74


82 83 84


83


101


91


92


101 102 103 104


82 102


54 123 AI63


101 83


CA1


CA1


CA1


CA1


DS112


CA2


CA3


CA2 CA4


CA4


CA4


113


49 113


116


511


123


131


131


134




12


12


22


21


22 23


24


25 47


COBIT 41 25 47


25 47


25 47


25 26 47


25 47


25 47


COBIT 41


25 47




COBIT 41 COBIT 3e


Nouveau


17 18


11 12 13 14 16 AI12 AI13


15


Nouveau


21


22


23 24 DS58


31 33 34


Nouveau


32


Nouveau


Nouveau


41


42


43


45


46


47 48

COBIT 41 COBIT 3e


414


Nouveau


Nouveau


51 53


61


6 8


62 63 65 66 67 69 610 611



62 63 65 66 67 69 610 611


71


74


75


76


77 78


COBIT 41 COBIT 3e


112 113 114


115 116 117 118 19 1110 1116 1117 1119


115 116 117


1118


91 94 98


91 94


93 94


Nouveau


Nouveau


Nouveau


102


104


105 106


1010


Nouveau


109


Nouveau





11 19 110 111 112


13 17 112


Nouveau


26 27 28 29 210 211 213 217


212 214


212


Nouveau


22


Nouveau


Nouveau

COBIT 41 COBIT 3e


PO34 118 31 33 34


118 31 33 34 37


118 31 33 34 35 37


Nouveau


41


PO1111 42


PO1111 216 44


PO1111 216 43 44



DS23 DS25


115 116 117 118


36 61

COBIT 41 COBIT 3e


62


61


65



PO1112 PO1113 PO1114 PO1115 53 56


PO1113 PO1114 PO1115 215 57


54 55



COBIT 41 COBIT 3e


11 13


14


15 16


21


22



28


AI52 31 34


37


35 36


32 38 39


33


41 42

COBIT 41 COBIT 3e


43


44 410


45


46


47


48


49 411


412 1125


51 512



54 55 56 513 104


56 57 510


511


517


518

COBIT 41 COBIT 3e


519


515 516 1129 138


63


62


63


71


72


Nouveau


82 103



91 92 98


97 98




Nouveau 101


Nouveau

COBIT 41 COBIT 3e


1112 1119 1120 1126 1130


1121 1122 1125


AI214 1123


1116 1117 1127


121 122 124


121 122

COBIT 41 COBIT 3e


COBIT 41 COBIT 3e


11 13


12


14


20


COBIT 41 COBIT 3e


Nouveau


Nouveau




PO82

COBIT 41 COBIT 3e


Nouveau


Nouveau


Nouveau



ANNEXE VI


AN

NE

XE

VI

A

PPR

OC

HE

RE

CH

amp D

EacuteV

ANNEXE VI














COBIT41












Annexe VII

GLOSSAIRE

AN

NE

XE

VII

G

LO

SSA

IRE





































































































COBIT41




AN

NE

XE

VII

I

PRO

DU

ITS

CO

BIT

ANNEXE VIII






















COBIT41



COBIT V41 VF - bm.com.tn · Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter...

Documents

Transcript of COBIT V41 VF - bm.com.tn · Mark Adler, CISA, CISM, CIA, CISSP, Allstate Ins. Co., USA Peter...