Cadres de référence en matière de Gouvernance des SI PDF

Summary

Cette présentation porte sur les cadres de référence en matière de Gouvernance des Systèmes d'Information. Elle aborde les cinq domaines de la gouvernance et l'alignement stratégique.

Full Transcript

15/10/2024

Chapitre
2 Cadres de référence en matière de Gouvernance des SI

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Introduction aux SI
40

Orienter
Aligner les SI avec les
objectifs de l'organisation

Gouvernance Evaluer
Assurer une utilisation
des systèmes efficace et efficiente des
ressources informatiques
d’information

Surveiller
Minimiser les risques
et garantir la
conformité

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 40
 15/10/2024

Gouvernance d'Entreprise des Technologies de
l'Information
 Le contexte de la gouvernance d'entreprise des SI comprend :
 Gouvernance d'entreprise des TI : la gouvernance des TI ne doit pas être laissée
aux IT, mais doit être régie au niveau de l'entreprise.
 Alignement métier/TI : s'assurer que les objectifs, les stratégies et les priorités sont
équilibrés entre les parties prenantes, les besoins de l'entreprise et les IT.
 Création de valeur : assurer la présentation de services, l'optimisation des risques
et l'optimisation des ressources.

Gouvernance Alignement Création de
d’entreprise métier/TI valeur
des TI

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 41

Les cinq domaines de la gouvernance
42

 Les cinq domaines de la gouvernance des SI:
 Alignement stratégique
 Apport de valeur

 Gestion des risques

 Gestion des ressources

 Mesure de la performance

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 42
 15/10/2024

Les cinq domaines de la gouvernance
43

1. Alignement 2. Apport de 3. Gestion des 4. Gestion des 5. Mesure de la
Stratégique : Valeur : Risques : Ressources : Performance :
Assurer Optimiser les Sensibilisation Optimisation Suivi de la
l'alignement coûts et des cadres aux des ressources stratégie, des
des plans démontrer la risques. informatiques projets, et des
informatiques valeur des SI. Transparence et vitales performances.
avec les plans Garantir que attribution des (applications, Utilisation de
métiers. l'informatique responsabilités personnes). tableaux de
Valider et apporte les dans la gestion Gestion bord équilibrés
maintenir les bénéfices des risques. efficace des pour traduire la
propositions de attendus. connaissances stratégie en
valeur ajoutée et de actions
de l'infrastructure. mesurables.
l'informatique.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 43

L’alignement stratégique
 Alignement : mettre en cohérence la stratégie du SI avec celle de l’entreprise
 Conditions de l’alignement :
 Compréhension et intégration de la stratégie de l’entreprise
 Prise en compte des contraintes et des opportunités de l’informatique dans la stratégie de l’entreprise

 Stratégie des SI : définir un système cible, les priorités, les étapes et les moyens nécessaires
pour l’atteindre
 Stratégie d’entreprise : choisir les domaines d’activité dans lesquels l’entreprise entend être
présente et allouer des ressources de façon à ce qu’elle s’y maintienne et s’y développe. Elle
se décline à deux niveaux :
– Au niveau groupe pour déterminer les domaines d’activité
– Au niveau concurrent et dans chacun de ces domaines d’activité

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 44
 15/10/2024

Système d’information et stratégie : démarche d’alignement

1. Les éléments déclencheurs :
– L’alerte
– La culture projet
– L’arbitrage entre projets
– L’analyse post-projet
– La sensibilisation des personnes
– Les démarches d’accompagnement
– L’évolution des compétences
2. Les méthodes :
– Business System Planning (BSP) d’IBM
– Information System Planning (ISP) de J. Martin

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 45

Système d’information et stratégie : les raisons du non-alignement

 Absence de stratégie claire de l’entreprise ou perception inexacte de la stratégie de
l’entreprise
 Absence de stratégie du SI
 Non prise en compte du SI et du potentiel des TI dans la formulation de la stratégie
 Découpage fonctionnel de l’organisation privilégiant la spécialisation au détriment
de la coordination
 Absence de dialogue entre les métiers, la direction générale et la direction des
systèmes d’information
 Pluralité des centres de décision concernant le SI
 Absence de « proactivité » de la fonction SI
 Conflits ou incompréhensions entre les directions
 Changement brutal de stratégie ou de périmètre de l’entreprise.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 46
 15/10/2024

Les arguments pour l’alignement
 Création de valeur : le SI est un actif valorisé de l’entreprise
 Niveau de dépense : examen de la pertinence des dépenses au regard des besoins des métiers
 Efficacité de la dépense : accroître la performance des dépenses
 Transformation de l’entreprise : réflexion sur la stratégie, les structures et les processus de l’entreprise
 Agilité du SI : le SI conserve une inertie. L’urbanisation et l’alignement permettent une meilleure
adéquation aux besoins
 Avantage concurrentiel : le SI est un levier pour obtenir cet avantage concurrentiel
 Boursier : La qualité du SI est intégré dans l’évaluation de l’entreprise par les analystes financiers

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 47

Introduction à la gouvernance des SI
48

Objectifs :

 Comprendre les enjeux et l’importance stratégique des technologies
de l’information (TI)
 Assister l’entreprise dans la vérification qu’elle peut maintenir son
activité
 Mettre en place les stratégies nécessaires pour développer les TI
 Apporter l’assurance que les attentes vis-à-vis des SI sont satisfaites
 Apporter l’assurance que les risques informatiques sont traités

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 48
 15/10/2024

Référentiels de gouvernance des SI
49

COBIT
Gouvernance du SI

Sécurité
CMMI ISO 27001
ITIL

Qualité - ISO 9001
Gestion de Projets PMI

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 49

Quelques référentiels de gouvernance des SI
50

 CobiT : Control Objectives for Information and Technologies :
cadre plus global qui couvre la gouvernance et la gestion des SI dans leur ensemble.
 CMMI : Capability Maturity Model Integration :
Référentiel d'évaluation de la capacité à gérer et terminer un projet correctement, proposant nombre de
bonnes pratiques liées à la gestion, au développement et à la maintenance d'applications et de systèmes.
 ITIL : IT Information Library :
Cadre de référence couvrant les meilleures pratiques en matière de management des services
informatiques.
 ISO 27001 : norme internationale décrivant les bonnes pratiques à suivre dans le cadre de la création d'un
système de gestion de la sécurité de l'information.
 ISO 9001 : Une norme international de management de la qualité.
 Gestion de Projets – PMI : Planifier, organiser et superviser les ressources pour atteindre des objectifs
spécifiques dans un temps imparti, avec des contraintes de coût et de qualité.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 50
 15/10/2024

51 COBIT
Control Objectives for Information and Technologies

Les informations présentées dans cette section sont basées sur la documentation
officielle disponible sur le site de l'ISACA (www.isaca.org/cobit). Les concepts,
définitions et principes de COBIT utilisés sont la propriété intellectuelle de l'ISACA. Ce
contenu est fourni à des fins éducatives et informatives uniquement, dans le cadre de
ce cours sur la gouvernance des systèmes d'information.

COBIT - Introduction
52

 L'ISACA (Information Systems Audit and Control Association) constituée en
1969
 Créée par un petit groupe de personnes qui ont reconnu la nécessité d'une
source centralisée d'informations et de conseils dans le domaine croissant de
l'audit des contrôles des systèmes informatiques,
 Aujourd'hui, la base de l'ISACA, forte de plus de 165 000 membres dans le
monde, se caractérise par sa diversité. Ces professionnels vivent et
travaillent dans plus de 180 pays et occupent une variété de postes
professionnels liés à l'informatique dans les disciplines de l'audit SI/IT, du
risque, de la sécurité et de la gouvernance, ainsi que des postes
d'enseignants, de consultants et de régulateurs.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 52
 15/10/2024

L’histoire de COBIT

COBIT 2019
2018

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 53

COBIT
54

 Qu'est-ce que COBIT ?
 COBIT signifie (Control Objectives for Information and Related Technology)
 COBIT est un cadre créé par l'ISACA pour la gouvernance et la gestion des technologies
de l'information.
 Il a été conçu pour être un outil d'aide aux gestionnaires et permet de combler le fossé
crucial entre les problèmes techniques, les risques commerciaux et les exigences de
contrôle.
 COBIT est une ligne directrice entièrement reconnue qui peut être appliquée à toute
organisation dans n'importe quel secteur.
 Dans l'ensemble, COBIT garantit la qualité, le contrôle et la fiabilité des systèmes
d'information dans une organisation, ce qui est également l'aspect le plus important de
toute entreprise moderne.
 COBIT 2019 est la 6e version de COBIT, lancée fin 2018 pour répondre aux nouvelles
tendances, technologies et besoins de sécurité.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 54
 15/10/2024

Gouvernance d'Entreprise des Technologies de
55
l'Information
 Ce que fait COBIT :
 COBIT définit les composants permettant de construire et de maintenir un système
de gouvernance : processus, structures organisationnelles, politiques et procédures,
flux d'informations, culture et comportements, compétences et infrastructure.
 COBIT définit les facteurs de conception que l'entreprise doit prendre en compte
pour créer un système de gouvernance le mieux adapté.
 COBIT aborde les questions de gouvernance en regroupant les composants de
gouvernance pertinents en objectifs de gouvernance et de gestion qui peuvent être
gérés selon les niveaux de capacité requis.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 55

Gouvernance d'Entreprise des Technologies de
56
l'Information
 Selon Cobit, « la gouvernance des systèmes d’information est de la responsabilité
des dirigeants et du conseil d’administration, elle est constituée des structures et
processus de commandement et de fonctionnement qui conduisent l’informatique de
l’entreprise à soutenir les stratégies et les objectifs de l’entreprise, et à lui
permettre de les élargir ».
 Donc Cobit définit la gouvernance des T.I. comme un dispositif, incluant la définition
de structures organisationnelles, la mise en oeuvre de processus et une fonction de
direction, qui garantissent que les technologies de l’information choisies et utilisées
dans l’entreprise apportent un soutien à la stratégie, et même une extension des
objectifs stratégiques.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 56
 15/10/2024

Les composants de Cobit
Executive Summary There is a method…

Framework The method is…

Control Objectives Minimum controls are…

Audit Guidelines Here is how you audit…

Implementation Toolset Here is how you implement…

Management Guidelines Here is how you measure…

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 57

Les principes de COBIT
COBIT® 2019 a été développé sur la base de deux ensembles de principes :
Principes décrivant les exigences fondamentales d'un système de gouvernance pour les TI
Principes d'un cadre de gouvernance (framework) qui peuvent être utilisé pour créer un système de gouvernance.

Les six principes d’un système de gouvernance sont : Les trois principes d’un cadre de gouvernance (Framework)
sont les suivants :

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 58
 15/10/2024

Les six principes d'un système de gouvernance
1. Fournir de la valeur aux parties prenantes
 Chaque entreprise a besoin d'un système de gouvernance pour satisfaire les
besoins des parties prenantes et générer de la valeur à partir de l'utilisation des
technologies de l'information et des communications. La valeur reflète un équilibre
entre les avantages, les risques et les ressources. Les entreprises ont besoin d'une
stratégie et d'un système de gouvernance exploitables pour réaliser cette valeur.
2. Approche holistique
 Un système de gouvernance pour les technologies de l'information et des
communications d'entreprise est construit à partir d'un certain nombre de
composants qui peuvent être de différents types et qui fonctionnent ensemble de
manière holistique.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 59

Les six principes d'un système de gouvernance
3. Système de gouvernance dynamique
 Chaque fois qu'un ou plusieurs facteurs de conception sont modifiés (par
exemple, un changement de stratégie ou de technologie), l'impact de ces
changements sur le système de gouvernance de l’entreprise doit être pris en
compte. Une vision dynamique conduira à un système de gouvernance
viable et à l'épreuve du temps.
4. Gouvernance distincte de la gestion
 Un système de gouvernance doit clairement faire la distinction entre les
activités et structures de gouvernance et de gestion.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 60
 15/10/2024

Les six principes d'un système de gouvernance
5. Adapté aux besoins de l'entreprise
 Un système de gouvernance doit être personnalisé en fonction des besoins
de l'entreprise. Il doit également utiliser un ensemble de facteurs de
conception comme paramètres pour personnaliser et hiérarchiser les
composants du système de gouvernance.
6. Système de gouvernance de bout en bout
Un système de gouvernance doit couvrir l'entreprise de bout en bout. Il doit se
concentrer non seulement sur la fonction informatique, mais sur toutes les
technologies et tous les traitements d'informations que l'entreprise met en place
pour atteindre ses objectifs, quel que soit son emplacement dans l'entreprise.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 61

Les trois principes d'un cadre de gouvernance
1. Basé sur un modèle conceptuel
Un cadre de gouvernance doit être basé sur un modèle conceptuel. Ce modèle conceptuel
doit identifier les composants clés et les relations entre les composants, afin de maximiser la
cohérence et de permettre l'automatisation.
2. Ouvert et flexible
Un cadre de gouvernance doit être ouvert et flexible. Il doit permettre l'ajout de nouveaux
contenus et la capacité de traiter de nouveaux problèmes de la manière la plus flexible
possible, tout en préservant l'intégrité et la cohérence.
3. Alignement sur les principales normes
COBIT 2019 a mis à jour et développé les normes, cadres, et modèles applicables et
pertinents qui peuvent faire partie de l'écosystème de gouvernance. Par conséquent, un
cadre de gouvernance doit s'aligner sur ces domaines pertinents.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 62
 15/10/2024

La gouvernance et le Management dans COBIT

EDM

(DSS) (MEA)

Zones clés de gouvernance et de gestion dans COBIT 5

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 63

La gouvernance et le Management dans COBIT
Gouvernance
responsabilité du CA
Veiller à ce que les besoins, les conditions et les options des parties prenantes soient
évalués afin de déterminer des objectifs d'entreprise équilibrés et convenus.
La direction est définie par la priorisation et la prise de décision.
Veille à ce que les performances et la conformité soient surveillées par rapport aux
objectifs convenus.

Management / Gestion
Responsabilité des vice-présidents, cadres et PDG
Planifie les activités
Élabore les activités
Exécute les activités
Surveille les activités définie par l'organe de gouvernance, afin d'atteindre les objectifs
de l'entreprise

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 64
 15/10/2024

COBIT

 Part du principe que l'informatique doit fournir les
informations dont l'entreprise a besoin pour atteindre  Evaluer, Diriger et Surveiller
ses objectifs.  Planification et organisation
 Favorise la concentration et la propriété des processus  Acquisition et mise en place
 Divise l'informatique en 40 processus appartenant à  Fourniture du service et support
cinq domaines et fournit un objectif de contrôle de
haut niveau pour chacun  Surveillance

 Examine les besoins fiduciaires, de qualité et de
sécurité des entreprises. - L'efficacité (résultats/objectifs),
- L'efficience (résultats/ressources),
 Fournit sept critères d'information qui peuvent être
- La confidentialité,
utilisés pour définir de manière générique ce que
l'entreprise attend de l'informatique - L'intégrité,
- La disponibilité,
 Soutenu par un ensemble de 318 objectifs de contrôle
détaillés - La conformité,
- La fiabilité.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 65

Critères d’information
Traite des informations pertinentes
pour les processus métier ainsi Concerne les informations
EFFECTIVENESS que de leurs livraison en temps AVAILABILITY disponibles lorsque cela est requis
opportun et d’une manière par le processus métier, à l’heure
cohérente et correcte. et à l'avenir.

Concerne la fourniture Il s’agit de veiller au respect des
EFFICIENCY d'informations grâce à une COMPLIANCE lois, des règlements et des
utilisation optimale des accords contractuels.
ressources

Concerne la protection des Concerne la fourniture
RELIABILITY OF d'informations appropriées au
CONFIDENTIALITY informations sensibles contre
toute divulgation non autorisée INFORMATION personnel de l'organisation

Concerne l'exactitude et
l'exhaustivité des informations ainsi
INTEGRITY que leurs validité conformément
aux valeurs et aux attentes de
l'entreprise

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 66
 15/10/2024

COBIT : Cartographie – Exemple de représentation
 Représentation des
processus, des objectifs et
des ressources.
 L'impact du processus sur
les critères d'information
peut être Primaire,
Secondaire, ou vide.
 Le lien entre les processus
et les ressources ne mesure
pas le niveau d'utilisation,
mais le niveau de
management de la
ressource par le processus
COBIT.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Le cube Cobit
68

En synthèse, les ressources
informatiques sont gérées par
des processus informatiques pour
atteindre des objectifs
informatiques qui répondent aux
exigences métiers.

Le cube COBIT

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 68
 15/10/2024

COBIT : Les acteurs concernés

Les principaux acteurs concernés par le Cobit sont :
 Les auditeurs
 Les responsables des SI
 La Direction Générale
 Les Directions métiers

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025
 15/10/2024

Le COBIT

Le COBIT décompose tout système informatique en

 40 processus répartis en
 5 domaines fonctionnels permettant de couvrir
 ~ 318 objectifs.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

COBIT : Les 5 Domaines
 Gouvernance:
 Evaluer, Diriger, Surveiller (EDM) (5 processus) : assure que la gouvernance des technologies de
l'information (TI) est bien alignée avec les objectifs stratégiques de l'entreprise.
 Management:
 Alignement, Planification et organisation (APO) (14 processus) :
Comment utiliser les technologies afin que l'entreprise atteigne ses objectifs ?
 Acquisition et mise en place (BAI) (11 processus) :
Comment définir, acquérir et mettre en œuvre des technologies en adéquation avec les objectifs
de l’entreprise ?
 Fourniture du service et support (DSS) (6 processus) :
Comment garantir l'efficacité des systèmes technologiques en action ?
 Surveillance (MEA) (4 processus) :
Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise
dans une perspective stratégique ?

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 72
 15/10/2024

73

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Évaluer, Diriger et Surveiller - Evaluate, Direct, and
74
Monitor (EDM)
 le niveau le plus stratégique de la gouvernance des systèmes
d'information (SI).

 Il concerne les responsabilités des dirigeants et des instances de
gouvernance (conseil d'administration, direction) pour s'assurer que les
investissements IT, les risques et la performance sont alignés avec les
objectifs globaux de l'entreprise.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 74
 15/10/2024

Alignement, Planification et organisation – Align, Plan and
Organize (APO)

 Ce domaine couvre la stratégie et la tactique et concerne l'identification
de la manière dont les TI peuvent le mieux contribuer à la réalisation des
objectifs de l'entreprise.

 En outre, la réalisation de la vision stratégique doit être planifiée,
communiquée et gérée selon différentes perspectives.

 Enfin, une organisation adéquate ainsi qu'une infrastructure
technologique doivent être mises en place.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 75

Acquisition et mise en place - Build, Acquire and Implement
(BAI)

 Pour mettre en œuvre la stratégie informatique, des solutions
informatiques doivent être identifiées, développées ou acquises, ainsi
que mises en œuvre et intégrées au processus métier.

 De plus, les modifications et la maintenance des systèmes existants sont
couvertes par ce domaine afin de garantir la continuité du cycle de vie
de ces systèmes.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 76
 15/10/2024

Fourniture du service et support - Delivery, Service and
Support (DSS)
 Ce domaine concerne la fourniture effective des services requis, qui vont
des opérations traditionnelles aux aspects de sécurité et de continuité en
passant par la formation.

 Afin de fournir des services, les processus de support nécessaires doivent
être mis en place.

 Ce domaine comprend le traitement effectif des données par les
systèmes d'application, souvent classés sous contrôles d'application.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 77

Surveillance - Monitor, Evaluate and Assess (MEA)

 Tous les processus informatiques doivent être régulièrement
évalués au fil du temps pour en vérifier la qualité et la
conformité aux exigences de contrôle.

 Ce domaine concerne donc la surveillance par la direction du
processus de contrôle de l'organisation et l'assurance
indépendante fournie par l'audit interne et externe ou obtenue
auprès de sources alternatives.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 78
 15/10/2024

79

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Évaluer, Diriger et Surveiller
80

 Le domaine évaluation et surveillance (5 processus) concerne les responsabilités des instances de
gouvernance pour s'assurer que les investissements IT, les risques et la performance sont alignés avec
les objectifs globaux de l'entreprise. Ces processus sont :
 1. EDM01 - Assurer la gouvernance de la gestion de l’IT : se concentre sur l'établissement d'un cadre
de gouvernance pour l'IT. Il s'agit de définir et d'aligner les objectifs de gouvernance IT avec les
objectifs stratégiques de l'entreprise et de mettre en place des processus pour surveiller la
performance IT.
 2. EDM02 - Assurer la réalisation des bénéfices : Ce processus veille à ce que les investissements IT
apportent une valeur ajoutée à l'entreprise. Il s'agit de s'assurer que les projets IT, les ressources, et les
services fournissent les bénéfices attendus et qu'ils contribuent aux objectifs de l'organisation.
 3. EDM03 - Assurer l'optimisation des risques : Ce processus est axé sur la gestion des risques liés
aux systèmes d'information. Il s'agit d'assurer que les risques IT sont identifiés, évalués, et traités de
manière efficace en fonction de la tolérance au risque de l'organisation.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 80
 15/10/2024

Évaluer, Diriger et Surveiller
81

 4. EDM04 - Assurer l'optimisation des ressources : Ce processus vise à garantir que les ressources IT
(humaines, financières, et matérielles) sont utilisées de manière optimale pour soutenir les objectifs
stratégiques de l'entreprise. Il couvre la gestion des capacités, des compétences et de la répartition
des ressources.
 5. EDM05 - Assurer la transparence des parties prenantes : Ce processus est conçu pour garantir
que toutes les parties prenantes de l'organisation ont une visibilité claire sur les performances IT, les
risques et la valeur apportée. Cela inclut la communication régulière et transparente des décisions et
des performances IT aux parties prenantes internes et externes.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 81

Planification et Organisation (APO)
 Le domaine Planification et Organisation (14 processus) répond aux préoccupations stratégiques et
tactiques d’alignement : il s’agit d’identifier des orientations et de faire des choix, après avoir évalué
les risques, les contraintes et les opportunités. Ces processus sont :
. APO01 - Gérer le cadre de gestion de l’IT : Ce processus définit un cadre de gouvernance et de
gestion aligné sur la stratégie globale de l'organisation, en tenant compte des meilleures pratiques et
des exigences réglementaires.
 2. APO02 - Gérer la stratégie : Il s'agit de développer et de maintenir une stratégie IT qui soit
alignée avec la stratégie d'entreprise et qui réponde aux besoins actuels et futurs.
 3. APO03 - Gérer l'architecture d'entreprise : Ce processus concerne le développement et la gestion
d'une architecture IT alignée avec la stratégie de l'entreprise, en intégrant toutes les couches de
l'organisation (processus, données, applications, infrastructures).
 4. APO04 - Gérer l'innovation : Encourage l'innovation et l'amélioration continue au sein des services
IT pour répondre aux besoins changeants de l'entreprise et pour tirer parti des nouvelles technologies.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 82
 15/10/2024

Planification et Organisation (APO)
 5. APO05 - Gérer le portefeuille : Il s'agit de gérer l'ensemble des investissements et des projets IT, en
s'assurant qu'ils sont alignés sur les objectifs stratégiques et qu'ils apportent une valeur ajoutée.
 6. APO06 - Gérer le budget et les coûts : Ce processus porte sur la gestion budgétaire et la maîtrise
des coûts des services IT, en optimisant l'utilisation des ressources financières et en garantissant un
retour sur investissement optimal.
 7. APO07 - Gérer les ressources humaines : Assurer que l'organisation dispose des bonnes
compétences en matière de gestion de l'IT, en incluant le recrutement, la formation, et la gestion des
talents.
 8. APO08 - Gérer les relations : Gérer efficacement les relations entre les parties prenantes internes
et externes, notamment entre le département IT et les autres départements de l'organisation.
 9. APO09 - Gérer les services tiers : Ce processus est consacré à la gestion des relations et des
contrats avec les fournisseurs et les partenaires externes, s'assurant qu'ils fournissent les services requis
de manière optimale.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 83

Planification et Organisation (APO)
 10. APO10 - Gérer la demande : Il s'agit de gérer la demande des services IT provenant de
l'entreprise, en garantissant que les ressources sont utilisées de manière efficace et que les priorités
sont respectées.
 11. APO11 - Gérer la qualité : Ce processus définit les exigences de qualité pour les services IT et
s'assure que ces services respectent les normes de qualité définies à travers des mécanismes de
contrôle et d'amélioration continue.
 12. APO12 - Gérer les risques : Identifier, évaluer et gérer les risques IT de manière proactive, pour
protéger les actifs IT de l'organisation et garantir la continuité des activités.
 13. APO13 - Gérer la sécurité: Développer et maintenir un cadre de gestion de la sécurité de
l'information, en s'assurant que les risques liés à la sécurité sont identifiés et gérés de manière
appropriée.
 14. APO14 - Gérer les données : Ce processus concerne la gestion des données en tant qu'actif
stratégique, incluant la gouvernance des données, leur qualité, et leur protection.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 84
 15/10/2024

Acquisition et Mise en place (BAI)
 Le domaine Acquisition et Mise en place (11 processus) correspond à la conception et au
développement/achat de solutions, y compris leur mise en œuvre opérationnelle. Ces processus sont :
 1. BAI01 - Gérer les programmes et les projets : Ce processus concerne la gestion des projets et des
programmes IT pour garantir que les investissements sont livrés dans les délais, dans les limites du
budget, et qu'ils répondent aux exigences de qualité. Cela inclut la gestion des risques liés aux projets.
 2. BAI02 - Gérer la définition des exigences : Il s'agit de capturer et de valider les besoins de
l'entreprise en matière de solutions IT, en s'assurant que les exigences sont claires, complètes et
alignées avec les objectifs stratégiques.
 3. BAI03 - Gérer l'identification et la construction de solutions : Ce processus consiste à développer
ou acquérir des solutions IT en respectant les exigences définies, en prenant en compte la conception,
le développement, l'intégration, et les tests.
 4. BAI04 - Gérer la disponibilité et la capacité :Garantir que les solutions et les services IT sont conçus
et mis en œuvre pour répondre aux exigences de disponibilité et de capacité opérationnelle, en
s'assurant qu'ils peuvent supporter les volumes d'activité prévus.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 85

Acquisition et Mise en place (BAI)
 5. BAI05 - Gérer les environnements : Ce processus concerne la gestion des environnements IT (ex.
environnements de développement, de test et de production), pour garantir que les solutions peuvent
être testées et implémentées efficacement tout en minimisant les interruptions de service.
 6. BAI06 - Gérer les changements : Il s'agit de gérer les modifications apportées aux solutions IT
(améliorations, correctifs, nouvelles fonctionnalités) de manière structurée et contrôlée, en minimisant les
risques pour l'environnement de production.
 7. BAI07 - Gérer l'acceptation et la transition des solutions : Ce processus veille à ce que les
nouvelles solutions soient correctement testées, validées et acceptées avant d'être mises en production.
Il inclut également la formation des utilisateurs finaux et la gestion de la transition vers les opérations.
 8. BAI08 - Gérer les connaissances : S'assurer que toutes les informations nécessaires au
fonctionnement efficace des systèmes IT (comme les procédures, les documents techniques, les bases de
connaissances) sont documentées, accessibles, et maintenues à jour.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 86
 15/10/2024

Acquisition et Mise en place (BAI)
 9. BAI09 - Gérer les actifs informatiques
Ce processus est consacré à la gestion du cycle de vie des actifs IT (matériel, logiciels, licences, etc.), en
s'assurant que les actifs sont utilisés de manière optimale et qu'ils apportent une valeur ajoutée à
l'organisation.
 10. BAI10 - Gérer la capacité organisationnelle pour le changement
S'assurer que l'organisation est prête à accepter et à absorber les changements liés à l'introduction de
nouvelles solutions IT, en gérant les aspects humains, culturels et organisationnels du changement.
 11. BAI11 - Gérer les projets d'amélioration continue
Ce processus consiste à identifier et à mettre en œuvre des opportunités d'amélioration continue dans
les systèmes et services IT, pour garantir que les solutions IT restent alignées sur les besoins de
l'organisation.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 87

Mise à disposition et Soutien (DSS)
 Le domaine Mise à disposition et Soutien (6 processus) décrit des processus que l’on retrouve de
façon très détaillée. T.I. et Soutien T.I., c’est-à-dire le management des services et le soutien aux
utilisateurs. Ces processus sont:
 1. DSS01 - Gérer les opérations : Ce processus concerne la gestion des opérations IT quotidiennes, y
compris la planification et le suivi des activités, l'automatisation des tâches répétitives, et la gestion
proactive des événements afin de garantir une disponibilité continue des services.
 2. DSS02 - Gérer les requêtes de service et les incidents : Il s'agit de gérer les requêtes des
utilisateurs et les incidents qui peuvent survenir au sein de l'environnement IT. L'objectif est de restaurer
rapidement les services et de minimiser les impacts sur les activités de l'entreprise.
 3. DSS03 - Gérer les problèmes : Ce processus se concentre sur l'analyse et la gestion des problèmes
sous-jacents des incidents récurrents afin de trouver des solutions à long terme et éviter que les
incidents ne se reproduisent.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 88
 15/10/2024

Mise à disposition et Soutien (DSS)
 4. DSS04 - Gérer la continuité : Assurer la continuité des services IT en développant des plans de
reprise après sinistre et en testant régulièrement les mécanismes de sauvegarde, les procédures de
restauration, et les processus de continuité des opérations.
 5. DSS05 - Gérer la sécurité des services : Ce processus vise à protéger les services IT contre les
menaces internes et externes. Il couvre la gestion des contrôles de sécurité, la gestion des
vulnérabilités, et la surveillance des événements de sécurité.
 6. DSS06 - Gérer les contrôles de l'environnement physique : Garantir la sécurité physique des
installations et des équipements IT, y compris la gestion des accès aux datacenters et la protection
contre les incidents tels que les incendies, les inondations ou le sabotage.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 89

Contrôler et Évaluer (MEA)
 Le domaine Contrôler et Évaluer (4 processus) vise à vérifier régulièrement le niveau de qualité des
processus et l’atteinte de leurs objectifs. Cobit fournit un support d’audit rigoureux. Ces processus
sont10 :
 1. MEA01 - Suivre et évaluer la performance du SI : définir des indicateurs de performance du SI
(coût, rentabilité, niveau de service, alignement stratégique) et d’agir si l’on constate des dérapages.
 2. MEA02 - Suivre et évaluer le contrôle interne : définir un contrôle interne au SI puis de rendre
compte de son efficacité.
 3. MEA03 - Assurer la conformité à la réglementation : le SI doit être conforme à la réglementation
notamment dans les domaines du commerce électronique, des échanges de données, de la
confidentialité, du contrôle interne, du reporting financier, de la propriété intellectuelle, de l’hygiène et
de la sécurité, enfin des régulations spécifiques au secteur d’activité.
 4. MEA04 - Assurer la gouvernance du SI : définir les structures de l’organisation, les processus, les
pouvoirs de décision, les rôles et responsabilités de façon à pouvoir s’assurer que le SI est conforme à
la stratégie de l’entreprise.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 90
 15/10/2024

91

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025

Cascade des objectifs de cobit
92

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 92
 15/10/2024

Objectifs de l’entreprise

ISACA – COBIT 2019

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 93

Objectifs d’entreprise

Objectif Dimension BSC Objectif d’entreprise
EG02 Financial Managed business risk

COBIT fournit des exemples de mesures pour chaque objectif d'entreprise.
EG02 – Risque commercial :
Pourcentage d'objectifs et de services commerciaux critiques couverts par
l'évaluation des risques
Ratio d'incidents significatifs qui n'ont pas été identifiés dans les évaluations
des risques par rapport au nombre total d'incidents

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 94
 15/10/2024

Tableau de bord équilibré

wevalgo.com/

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 95

Cascade des objectifs de cobit
96

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 96
 15/10/2024

Objectifs d'alignement

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 97

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025
 15/10/2024

Cascade des objectifs de cobit
99

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 99

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025
 15/10/2024

Cascade des objectifs de cobit
101

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 101

Composantes COBIT d'un système de gouvernance

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 102
 15/10/2024

Focus Area – Domaine d’intérêt
103

 Un domaine d'intérêt décrit un sujet, un domaine ou un problème de
gouvernance spécifique qui peut être abordé par un ensemble
d'objectifs de gouvernance et de gestion et leurs composants.
 Parmi les exemples de domaines d'intérêt, on peut citer:
 Les petites et moyennes entreprises
 La cybersécurité

 La transformation digital

 Le cloud computing

 DevOps.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 103

COBIT Design Factors - Les facteurs de conception
104

Reference: COBIT® 2019 Framework: Basic Concepts: Design Factors, Figure 4.4

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 104
 15/10/2024

Stratégie de l’entreprise
105

Facteur de conception - Stratégie de l’entreprise
Archétype de la stratégie Explication
Croissance/Acquisition L'entreprise se concentre sur la croissance
(des revenus).
Innovation/Différenciation L'entreprise se concentre sur l'offre de
produits et services différents et/ou
innovants à ses clients.
Leadership en matière de coûts L'entreprise se concentre sur la minimisation
des coûts à court terme.
Service client/Stabilité L'entreprise se concentre sur la fourniture
d'un service stable et orienté client.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 105

COBIT Design Factors - Les facteurs de conception
106

Reference: COBIT® 2019 Framework: Basic Concepts: Design Factors, Figure 4.4

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 106
 15/10/2024

Impact des facteurs de conception
107

Exemple1 : Une entreprise dans laquelle le rôle
de l’IT est stratégique et crucial pour la réussite de
l'activité nécessitera une forte implication des rôles
liés à l’IT dans les structures organisationnelles, une
compréhension approfondie de l'entreprise par les
professionnels de l’IT et une concentration sur les
processus stratégiques tels que APO02 Managed
strategy et APO08 Managed
relationships.

Exemple2 : Une entreprise opérant dans un
environnement à haut risque (High threat landscape)
aura besoin de processus de sécurité hautement
performants : APO13 Managed security et DSS05
Managed security services.

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 107

Governance System Design Workflow
108

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 108
 15/10/2024

Approche de mise en œuvre de COBIT

Program management
(outer ring)
Change enablement
(middle ring)
Continual improvement life cycle
(inner ring)

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 109

Niveaux de capacité des processus
110

Reference: COBIT®2019 Framework: Introduction and Methodology, Chapter 6 Performance Management in COBIT, Figure 6.2

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 110
 15/10/2024

Niveaux de maturité des processus
111

Reference: COBIT®2019 Framework: Introduction and Methodology, Chapter 6 Performance Management in COBIT, Figure 6.2

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 111

Points clés de COBIT 2019
112

Principes Composants Domaines d'intérêt Facteurs de conception

Principes du système de Processus Petites et moyennes Stratégie d'entreprise
gouvernance : Structures entreprises Objectifs de l'entreprise
Fournir de la valeur aux parties organisationnelles Cybersécurité Profil de risque
prenantes Flux et éléments Risques Problèmes liés à l'I&T
Approche holistique d'information cloud computing (Information et Technologie)
Système de gouvernance Personnes, Transformation digital Paysage des menaces
dynamique compétences et DevOps Exigences de conformité
La gouvernance est distincte de la compétences Rôle de l'informatique (IT)
gestion Principes, politiques Modèle
Adapté aux besoins de l'entreprise et procédures d'approvisionnement pour
Système de gouvernance de bout Culture, éthique et l’IT
en bout comportement Méthodes de mise en œuvre
Principes du cadre de gouvernance : Services, de l’IT
Basé sur un modèle conceptuel infrastructures et Stratégie d'adoption des
Ouvert et flexible applications technologies
Aligné sur les grandes normes Taille de l'entreprise

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 112
 15/10/2024

COBIT - Vue d'ensemble
113

@2018 ISACA

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 113

ce qu’est COBIT et ce qu’il n’est pas
Qu’est-ce que COBIT? Qu’est-ce que COBIT n’est pas?

COBIT est un cadre de gouvernance et de COBIT 2019 ne décrit pas complètement
gestion de l'I&T l’environnement I&T d’une organisation.
COBIT définit les composants pour construire et COBIT n’est pas un cadre pour organiser les
maintenir un système de gouvernance processus métier.
COBIT identifie des facteurs de conception à COBIT n’est pas un cadre technique
prendre en compte pour créer un système de (informatique) pour gérer toutes les technologies.
gouvernance adapté à l'organisation. COBIT ne prend ni ne prescrit aucune décision
COBIT regroupe les composants de gouvernance liée à l’informatique.
pertinents dans des domaines clés
COBIT est flexible et permet d’ajouter de
nouveaux topics

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 114
 15/10/2024

Références
115

Prof. Khadija Alaoui Management et Gouvernance des SI A.U. 2024/2025 115