Pages

samedi 18 octobre 2014

COBIT 5 en français. Un progrès significatif vers la Gouvernance des Système d’Information

Bonne nouvelle : le référentiel d’audit informatique COBIT 5 est disponible en français. Celle-ci a été réalisée par le chapitre ISACA Québec. On se rappellera que cette nouvelle version du référentiel de l’informatique est sortie en avril 2012. Il a donc fallu près de 2 ans et demi pour qu’elle soit traduit en français. Jusqu’alors, ceux qui ne sont pas à l’aise avec la version anglaise continuaient d’utiliser la version 4.1. Ce texte est disponible en cliquant sur : COBIT EN FRANÇAIS.
Il est gratuit pour les membres de l’AFAI et de l’ISACA à jour de leur cotisation et il est payant pour les autres. Plus précisément le premier volume est gratuit pour tous et le deuxième volume, décrivant le détail des bonnes pratiques, coûte 50 $ en format PDF pour ceux qui ne sont pas membre. Le document peut être acheté sur support papier pour 95 $ (40 $ pour le premier volume et 55 $ pour le second). Pour les adhérents les deux volumes papiers coûtent 70 $.

Que dit COBIT 5 ?

A l’origine Cobit est un outil de travail pour les auditeurs informatiques. Il a remplacé un ouvrage qui s’appelait jadis « Control Objectives » qui était une compilation de check-lists d’audit permettant de dégager un certain nombre de bonnes pratiques et de points de contrôle. Cobit a pris sa suite en améliorant et en enrichissant son contenu. De version en version Cobit a permis de dégager un ensemble de règles de gestion efficace de la gouvernance informatique. Depuis la sortie de Cobit 4 en 2007 différents travaux ont été effectués en parallèle par l’ISACA notamment le référentiel VAL IT, pour valeur crée par l’informatique, publié en 2006 puis en 2008 pour la deuxième version et de Risk IT, pour gérer les risques liés à l’informatique, publié en 2009. La version COBIT 5 a intégré VAL IT et Risk IT.
COBIT 5 identifie 37 processus. Ce sont des ensembles organisés de pratiques et d’activités permettant d’atteindre des résultats des objectifs généraux liées aux technologies informatiques.
Ils sont regroupés en cinq domaines :
  •        Evaluer, Diriger et Surveiller : EDS. Ce domaine comprend 5 processus. Il permet de s’assurer du respect des grandes règles de gouvernance.
  •        Aligner, Planifier et Organiser : APO. Ce domaine comprend 13 processus. Ce sont les bases de la gestion de l’informatique.
  •        Bâtir, Acquérir et Implanter : BAI. Ce domaine comprend 10 processus. Le but de ce domaine est d’améliorer les processus de définition et de mise en place des applications informatiques.
  •    Livrer, Servir et Soutenir : LSS. Ce domaine comprend 6 processus. L’objectif est de perfectionner le fonctionnement de l’exploitation informatique.
  •        Surveiller, Evaluer et Mesurer : SEM. Ce domaine comprend 3 processus. Il détail les bases du contrôle des systèmes d’information dont le contrôle interne. 


Comme on le voit COBIT 5 couvre presque tous les aspects de l’informatique. Par rapport aux versions antérieures de Cobit la part de la gestion des programmes et des projets est accrue alors que la gestion de l’exploitation est alléger.


Organisation des domaines et des processus de COBIT 5

Chaque processus se décompose en un certain nombre de « pratiques de gestion » que les auditeurs appellent des objectifs de contrôles. En fait ce sont des bonnes pratiques. Au total il y a 210 pratiques de gestion.
Ainsi le processus BAI 01 : « Gérer les programmes et les projets » comprend 14 pratiques de gestion dont par exemple la 8ème :
BAI01.08 Planifier les projets.
Établir et maintenir un plan de projet intégré formel et approuvé (couvrant les ressources des unités d’affaires et des Technologies Informatique) pour guider la réalisation et le contrôle du projet tout au long de la vie de celui-ci. La portée des projets devrait être clairement définie et en lien avec l’établissement ou l’amélioration des capacités d’affaires.
Ce texte est un peu compliqué mais ce qu’il dit est très simple. Il est nécessaire d’établir un plan de projet intégré. Le terme n’est pas usuel. C’est plus qu’une note de cadrage couvrant une étape du processus car il concerne l’ensemble du projet. C’est quelque chose entre le Plan de Management de Projet (PMP), le Plan de Développement de projet (PDP) et le Plan de Développement de Logiciel (PDL). Mais ce n’est pas pour autant un Plan d’Assurance Qualité (PAQ).
Cette pratique de gestion met en évidence trois points importants :
·       Le plan de projet intégré couvre l’ensemble du projet de son origine à sa fin (« tout au long de la vie du projet »).
·       Le projet prend en compte « toutes les ressources des unités d’affaires », c’est-à-dire en prenant en compte la maîtrise d’ouvrage, les utilisateurs, l’encadrement et pas seulement les seules ressources de la fonction informatique.
·       Ce document est approuvé par l’ensemble des parties prenantes.
Pour en savoir plus je ne peux que vous conseiller de lire le document de présentation : COBITEN FRANÇAIS et en sélectionnant : COBIT 5 French.

Et la gouvernance ?

En fait COBIT 5 est une philosophie du management. L’objectif est de couvrir l’ensemble de l’activité de l’entreprise et en particulier l’informatique. Il cherche à dégager des principes de la gouvernance et en dégager des processus et des bonnes pratiques à faire appliquer.
Il définit la gouvernance de manière intéressante (page 25 du 1er volume de COBIT 5) : « COBIT 5 traite de la gouvernance ainsi que de la gestion de bout en bout de l’information et des technologies connexes de l’entreprise. Cela signifie que COBIT 5 :
       Intègre la gouvernance des TI dans la gouvernance d’entreprise. Autrement dit, le système de gouvernance des TI proposé par COBIT 5 s’intègre parfaitement à tout système de gouvernance. COBIT 5 est aligné sur les derniers développements en matière de gouvernance.
       Couvre toutes les fonctions et les processus nécessaires pour gouverner et gérer l’information et les technologies liées à l’entreprise, quel que soit l’endroit où cette information est traitée. Compte tenu de l’étendue de sa portée, COBIT 5 aborde tous les services pertinents fournis par les TI et les processus d’affaires, internes comme externes. »
Ce texte est un peu long mais il permet de dégager deux idées fondamentales :
·       La gouvernance informatique est une partie de la gouvernance d’entreprise.
·       Elle concerne toutes les fonctions et les processus de l’entreprise.
C’est intéressant car c’est une évolution significative de l’approche antérieure de la gouvernance des Technologies Informatiques et son évolution vers la gouvernance des Système d’Information.

Des éléments de gouvernance

Cependant COBIT 5 a du mal à dégager une approche de la gouvernance SI complète car elle l’approche par l’informatique. Or, on ne le dira jamais assez IT n’est pas SI. Ce sont deux univers différents même s’ils ont des points communs. Résultat : COBIT 5 ne voit qu’une partie de la gouvernance SI, celle en relation avec IT. Or le concept de gouvernance des SI est plus large.
Avant d’aller plus loin analysons ce que dit COBIT 5 en matière de gouvernance. Il y a d’abord deux processus très important fixant la logique de la gouvernance :
       EDS 01 : « Assurer la définition et l’entretien d’un cadre de gouvernance »
       EDS 05 : « Assurer aux parties prenantes la transparence »
Il y a ensuite cinq processus concernant le positionnement de la démarche IT dans le cadre de l’entreprise :
       APO 01 : « Gérer le cadre de gestion des TI. »
       APO 02 : « Gérer la stratégie »
       APO 03 : « Gérer l’architecture d’entreprise »
       APO 04 : « Gérer l’innovation »
       APO 05 : « Gérer le portefeuille »
C’est très intéressant mais c’est une approche des TI et pas une démarche orientée vers les SI.
Ensuite COBIT 5 s’intéresse aux changements. C’est en effet un moment délicat : après le projet il faut arriver à mettre en marche l’application et la faire fonctionner. Il repose sur trois processus importants :
       BAI 05 : « Gérer le changement organisationnel »
       BAI 06 : « Gérer les changements »
       BAI 07 : « Gérer l’acceptation du changement et de la transition »
Enfin il ne faut pas oublier le contrôle interne avec le processus : 
       SEM 02 : « Surveiller, évaluer et mesurer le système de contrôles internes »
Comme on le voit COBIT 5 marque une évolution significative du référentiel vers la gouvernance des SI avec au total 11 processus sur 37. C’est pas mal. Malgré cela le document reste globalement très orienté vers les technologies informatiques. Il ignore les principaux domaines de la gouvernance des Systèmes d’Information notamment :
-       La conception des systèmes d'information :
Un système d'information, quel qu'il soit, est bâti sur une conception d'ensemble. La qualité de cette démarche détermine en bonne partie l'efficacité du système d'information.
-       Le fonctionnement des systèmes d'information :
Il est important de s’assurer que le système d'information fonctionne de manière régulière et efficace. Il faut s’assurer qu’il est performant et sécurisé. Un responsable doit gérer et piloter chaque système d’information.
-       Le pilotage des systèmes d'information :
Les modifications du système d'information se font dans la durée. Il est pour cela nécessaire de piloter ces opérations. La perte de contrôle de ce processus se traduit par une dégradation significative du système d’information.
-       L'évolution des systèmes d'information
Les changements apportés au système d'information nécessitent une réflexion de type stratégique, une démarche planifiée et un contrôle des opérations effectuées.
Ces quatre domaines sont le cœur de la gouvernance des systèmes d’information. Comme on le voit COBIT ne couvre qu’une partie de la Gouvernance SI.

Revenir aux concepts de base

En fait pour avoir une approche plus complète de la gouvernance des systèmes d’information il faut avoir une approche globale comme le précise le "Manifeste de la Gouvernancedes Systèmes d’information" du Club Européen de la Gouvernance de Système d’Information (http://www.cegsi.eu) en rappelant qu’il s’agit : « de trouver et de déterminer des solutions pertinentes permettant d'aligner le management et le contrôle de l'information (comprenant toutes les ressources consommées tout au long de la chaîne économique pendant les opérations de la production, du stockage et de la distribution) avec l'organisation et ses processus, qui doivent être cohérentes et alignées avec l'émergence de la principale ressource de nos jours, l'information. » C’est un document clé pour aborder la gouvernance des systèmes d’information. 
De même dans le document « La Gouvernance des systèmes d’information.Pourquoi ? » rédigé par le Club Européen de la Gouvernance de Système d’Information il est précisé que : « les investissements dans les systèmes d’information doivent être orientés vers les objectifs et les buts choisis par la direction générale de l'entreprise. Ce sont des investissements à moyen et à long terme dont les effets sont lents à se manifester, qui se traduisent par des changements des modèles organisationnels existants, une évolution des compétences nécessaires et souvent ceci change la manière habituelle de faire des affaires. Finalement, cela se traduit par des changements importants de la culture des organisations. Ainsi, au-delà des préoccupations relatives à la compétitivité, qui est une contrainte à court terme, s’ajoutent les préoccupations de viabilité et de pérennité des organisations. Il est pour cela nécessaire de se projeter dans le moyen et le long terme de façon à ce que les impacts et les conséquences sur la longue période soient pris en compte. C'est le rôle et la responsabilité des directions générales. Finalement, en constate que la gouvernance des systèmes d'information est un ensemble d’activités hautement spécialisées, liées à des décisions stratégiques relatives aux systèmes d’information et à sa prise en compte dans la gouvernance de l’entreprise. ». 
Comme on le voit COBIT 5 est une première étape vers la gouvernance des systèmes d’information mais il reste encore une certaine distance avant d’arriver à une approche complète du domaine.