Mettre en Place COBIT 2019 pour Améliorer le Système de Gouvernance des SI en Entreprise

Sommaire

1. Introduction : COBIT 2019 et l'Importance de la Gouvernance I&T
2. Le Cadre COBIT 2019 : Publications Clés et Structure
3. Objectifs de Gouvernance et de Management : Le Cœur du Modèle
4. Les Composants du Système de Gouvernance
   • Processus
   • Structures organisationnelles
   • Éléments et flux d’information
   • Aptitudes et compétences (People, Skills, Competencies)
   • Culture, éthique et comportement
   • Politiques et procédures
   • Services, infrastructure et applications
5. Adapter le Système de Gouvernance : Facteurs de Conception
6. Le Cycle de Vie de l'Implémentation COBIT 2019
   • Défis et facteurs de succès
   • Phases du cycle de vie du changement
   • Construire sur l'existant
7. Relation avec d'Autres Référentiels et Normes
8. Avantages de l'Utilisation de COBIT 2019
9. Exemples d'Application tirés des Sources
10. Conclusion : Vers une Gouvernance I&T Efficace et Adaptée

1. Introduction : COBIT 2019 et l'Importance de la Gouvernance I&T

Dans le contexte actuel de transformation numérique, l'information et la technologie (I&T) sont devenues cruciales pour le soutien, la durabilité et la croissance des entreprises. La gouvernance de l'information numérique fait face à des défis majeurs, tels que l'essor de l'IA, la cybersécurité, les contraintes budgétaires et la responsabilité numérique. Les cybermenaces représentent un risque considérable et omniprésent pour les systèmes et réseaux. Les directeurs des systèmes d'information (DSI) voient leur rôle évoluer, devant piloter l'innovation tout en sécurisant des infrastructures de plus en plus complexes. Face à ces enjeux, une gouvernance efficace de l'information et de la technologie est indispensable.

COBIT (Control Objectives for Information and Related Technologies) est un cadre de référence créé par ISACA pour la gouvernance et le management de l'information et de la technologie. COBIT 2019 est la dernière version de ce cadre, attendue depuis la publication de COBIT 5 en 2012. Il constitue un cadre généralement accepté pour la gouvernance de l'I&T. Cette nouvelle version couvre l'ensemble de l'entreprise, c'est-à-dire toute la technologie et le traitement de l'information qu'une entreprise utilise pour atteindre ses objectifs. L'I&T d'entreprise n'est pas limitée au département IT, mais l'inclut certainement. COBIT 2019 est conçu pour aider les organisations à aligner les stratégies informatiques sur les objectifs commerciaux, assurer la création de valeur, la gestion des risques et l'optimisation des ressources. Il s'agit du cadre de gestion et de gouvernance de l'information et de la technologie (I & T) le plus complet.

2. Le Cadre COBIT 2019 : Publications Clés et Structure

COBIT 2019 est basé sur quatre publications clés. La première, "Framework: Introduction and Methodology", décrit la structure du cadre global. La deuxième, "Framework: Governance and Management Objectives", décrit en détail le modèle de base et ses 40 objectifs de gouvernance et de management. Ces deux premières publications sont disponibles gratuitement au téléchargement sur le site de l'ISACA.

Les deux publications suivantes sont le "COBIT 2019 Design Guide" et le "COBIT 2019 Implementation Guide". Ces guides sont gratuits pour les membres ISACA. Le "Design Guide" explique comment utiliser COBIT de manière pratique, offrant des informations prescriptives sur la façon de personnaliser un système de gouvernance aux circonstances et au contexte uniques de l'entreprise. Il définit et liste divers facteurs de conception et décrit leur impact potentiel sur la mise en place d'un système de gouvernance. Le "Implementation Guide" est une version actualisée du guide de mise en œuvre de COBIT 5, prenant une approche similaire mais intégrant la nouvelle terminologie et les concepts de COBIT 2019, y compris les facteurs de conception. Combinés, ces guides permettent une mise en œuvre plus pratique et sur mesure.

L'une des améliorations de COBIT 2019 est sa flexibilité et son ouverture accrues. Un modèle de type "open source" est envisagé pour permettre à la communauté mondiale de contribuer aux futures mises à jour.

3. Objectifs de Gouvernance et de Management : Le Cœur du Modèle

Les objectifs de gouvernance et de management, au nombre de 40 (contre 37 processus dans COBIT 5), constituent le noyau de COBIT 2019. Ils sont décrits en détail dans la publication "Framework: Governance and Management Objectives". Chaque objectif inclut sa description, son but, sa connexion avec les objectifs d'entreprise et d'alignement, ainsi que des exemples de métriques.

Un exemple d'objectif est APO13 – Managed security. Un autre est APO01 – Design the management system for enterprise I&T. Chaque objectif de gouvernance et de management, ou processus, est clairement décrit à l'aide des composants de gouvernance.

La "cascade d'objectifs" est une méthode utilisée pour identifier les objectifs de gouvernance et de management des TI applicables à une entreprise.

4. Les Composants du Système de Gouvernance

Pour atteindre leurs objectifs de gouvernance et de management, les entreprises doivent mettre en place un système de gouvernance reposant sur un certain nombre de composants. Ces composants sont des facteurs qui, individuellement et collectivement, contribuent au bon fonctionnement du système de gouvernance de l’entreprise sur l’I&T. Dans COBIT 5, ils étaient appelés facilitateurs ("enablers"). Bien que ce concept de facilitateurs était apprécié, il était difficile à mettre en œuvre. Les composants sont désormais un élément clé du référentiel COBIT 2019, basé sur leur lien avec les objectifs de gouvernance et de management.

COBIT définit les composants pour construire et maintenir un système de gouvernance :

• Processus : C'est grâce au processus que chaque objectif de gouvernance ou de management est atteint. Le composant "Processus" inclut un ensemble de pratiques de management, des exemples de métriques et d'activités, ainsi que des conseils connexes. Chaque activité correspond désormais à un niveau d’aptitude, basé sur une approche inspirée de CMMI. Des référentiels de bonnes pratiques connexes apparaissent pour chacun des composants de gouvernance, pas seulement au niveau du processus comme dans COBIT 5.
• Structures organisationnelles : Ce composant fournit des indications sur les rôles et les structures organisationnelles. COBIT 2019 suggère uniquement des rôles d’autorité (Accountability) et de responsabilité (Responsibility). Les rôles consultés (Consulted) et informés (Informed) de COBIT 5 ne figurent plus dans les nouveaux guides car ils dépendent beaucoup du contexte et des priorités de l'organisation. Les entreprises doivent examiner et mettre à jour les rôles et structures organisationnelles en fonction de leur contexte. Le modèle présente, pour chaque objectif, les structures organisationnelles clés et leur niveau de participation (Accountable, Responsible, Consulted, Informed).
• Éléments et flux d’information : Ce composant fournit des indications sur les flux d’information et les éléments liés aux pratiques du processus. Chaque pratique comprend des entrées et des sorties, avec l’indication de l’origine et de la destination. L'information elle-même est également un composant.
• Aptitudes et compétences (People, Skills and Competencies) : Ce composant identifie les aptitudes et les compétences requises. Il fournit des conseils liés aux compétences, souvent avec des références détaillées à des cadres comme Skills Framework for the Information Age (SFIA) ou e-Competence Framework (e-CF).
• Culture, éthique et comportement : Ce composant essentiel identifie les comportements et les aspects culturels des personnes impliquées dans l’atteinte de l’objectif. Il inclut les éléments culturels clés, parfois avec des références à des normes.
• Politiques et procédures : Ce composant fournit des conseils sur les politiques et procédures pertinentes. Par exemple, il peut suggérer une politique de mesure de la performance basée sur le tableau de bord prospectif (balanced scorecard).
• Services, infrastructure et applications : Ce composant identifie les services tiers, les types d’infrastructures et les catégories d’applications pouvant soutenir la réalisation d’un objectif. Les instructions sont génériques. Ce composant inclut également les références aux outils de support pertinents.

La description détaillée de chaque composant pertinent pour chaque objectif de gouvernance et de management est incluse dans la publication "Governance and Management Objectives".

5. Adapter le Système de Gouvernance : Facteurs de Conception

COBIT 2019 met fortement l'accent sur la personnalisation ("tailoring"). Les entreprises ont des circonstances et des contextes uniques qui influencent la conception de leur système de gouvernance. C'est là qu'interviennent les "facteurs de conception". Le "COBIT 2019 Design Guide" définit ces facteurs de conception et fournit un workflow pour créer un design "right-sized" (dimensionné correctement) pour le système de gouvernance. L'introduction des facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l'entreprise. Ils ont un impact potentiel sur l'implémentation.

6. Le Cycle de Vie de l'Implémentation COBIT 2019

La mise en place d'une solution de gouvernance I&T est un parcours qui doit être géré comme un programme. Le "COBIT 2019 Implementation Guide" fournit un guide pour ce parcours.

Défis et facteurs de succès

L'implémentation de la gouvernance peut échouer si les défis ne sont pas gérés correctement. Pour réussir, les programmes de gouvernance doivent être sponsorisés par la direction exécutive, correctement dimensionnés et avoir des objectifs réalisables. L'approche recommandée implique d'habiliter les parties prenantes métier et IT à s'approprier les décisions de gouvernance et de management. Le guide couvre les défis et les facteurs de succès de l'implémentation.

Phases du cycle de vie du changement

Le guide d'implémentation aborde également le changement organisationnel et comportemental lié à l'EGIT (Enterprise Governance of I&T). Il présente un cycle de vie pour l'activation du changement, divisé en phases:

• Phase 1 - Stimuler le désir de transformer.
• Phase 2 - Assembler l'équipe d'implémentation.
• Phase 3 - Articuler la vision.
• Phase 4 - Habiliter les agents de changement et identifier les gains rapides ("quick wins").
• Phase 5 - Activer les opérations et l'utilisation.
• Phase 6 - Intégrer les nouvelles approches ("embedding").
• Phase 7 - Maintenir l'élan.

Le programme est considéré comme terminé lorsqu'il génère des bénéfices mesurables et devient intégré dans l'activité commerciale courante.

Construire sur l'existant

Déterminer le point de départ est crucial. La plupart des organisations ont déjà des structures ou processus EGIT en place. L'objectif est de s'appuyer sur ces approches existantes plutôt que de créer quelque chose de entièrement nouveau. Toute amélioration antérieure réalisée à l'aide de COBIT 5 ou d'autres normes peut être améliorée par COBIT 2019 dans le cadre d'une amélioration continue. Le guide permet aux utilisateurs de personnaliser les directives COBIT pour leur contexte spécifique.

7. Relation avec d'Autres Référentiels et Normes

COBIT 2019 est conçu pour s'aligner avec d'autres normes, cadres et meilleures pratiques. Il fournit des références détaillées aux normes, référentiels et exigences de conformité applicables pour chaque élément de gouvernance. Ces références se trouvent au niveau de chaque composant, différant de COBIT 5 où elles s'appliquaient uniquement au niveau du processus.

On peut mentionner des relations avec plusieurs autres cadres et normes :

• ISO/IEC 27001 (Gestion de la sécurité de l'information) et ISO/IEC 38500 (Gouvernance des TI) sont explicitement mentionnées comme pouvant être mappées à COBIT 2019 pour développer une stratégie de gouvernance.
• ITIL (Information Technology Infrastructure Library) est référencé, par exemple, en relation avec la gestion du catalogue de services (APO09.02).
• Le Balanced Scorecard (BSC) est mentionné comme un système de mesure de la performance qui traduit la stratégie en action, prenant en compte des éléments intangibles comme la satisfaction client, l'efficacité des processus, etc., et est lié à la politique de mesure de la performance dans COBIT.
• Le cadre CMMI (Capability Maturity Model Integration) a inspiré l'approche de l'analyse de la capacité des processus dans COBIT 2019, où chaque activité est assignée à un niveau de capacité.
• Des cadres de compétences comme SFIA et e-CF sont référencés pour le composant "People, Skills and Competencies".
• COSO Enterprise Risk Management est référencé en relation avec les structures organisationnelles.
• Le NIST Special Publication 800-53 est référencé pour le management des projets (BAI11).

8. Avantages de l'Utilisation de COBIT 2019

L'utilisation de COBIT 2019 offre plusieurs avantages pour les entreprises :

• Alignement stratégique et création de valeur : Il aide à aligner les stratégies I&T sur les objectifs commerciaux et à réaliser des bénéfices.
• Gestion des risques et optimisation des ressources : Il soutient la gestion des risques liés à l'I&T et l'utilisation optimale des ressources.
• Approche complète et intégrée : COBIT 2019 est le cadre le plus complet pour la gouvernance et la gestion de l'I&T. Il couvre tous les composants nécessaires à un système de gouvernance efficace.
• Flexibilité et adaptation sur mesure : Grâce aux facteurs de conception et au Design Guide, COBIT 2019 permet de créer un système de gouvernance adapté aux besoins spécifiques de l'entreprise. Cela le rend plus pertinent dans le temps.
• Amélioration continue : Le cadre supporte l'amélioration continue du système de gouvernance.
• Cadre généralement accepté : Il continue de s'affirmer comme un cadre de référence reconnu.

9. Exemples d'Application 

On peut mentionner des cas d'utilisation et des applications de COBIT 2019 :

• Une recherche a étudié l'implémentation de COBIT 2019 chez PT. Pelindo TPK Bitung pour améliorer la gouvernance des TI, indiquant un succès significatif avec l'atteinte d'un niveau de capacité 3. L'étude a utilisé le COBIT 2019 Design Toolkit.
• COBIT est présenté comme une solution robuste et adaptable pour une gouvernance et une gestion efficaces des systèmes d'Intelligence Artificielle (IA).
• Le Design Guide offre des recommandations de workflows pour la création d'un système de gouvernance "right-sized".
• L'Implementation Guide vise à fournir un guide pour éviter les pièges et tirer parti des meilleures pratiques.

Ces exemples montrent que COBIT 2019 est appliqué dans divers contextes pour structurer et améliorer la gouvernance de l'I&T.

10. Conclusion : Vers une Gouvernance I&T Efficace et Adaptée

COBIT 2019 est un cadre robuste et complet pour la gouvernance et le management de l'information et de la technologie dans toute l'entreprise. Il fournit une structure claire basée sur 40 objectifs de gouvernance et de management et sept composants clés. Sa force réside dans sa capacité à être adapté au contexte unique de chaque entreprise grâce à l'utilisation des facteurs de conception et aux directives fournies dans le Design Guide. L'Implementation Guide offre une feuille de route pour la mise en œuvre, abordant le cycle de vie du changement et encourageant à bâtir sur les structures EGIT existantes.

En se concentrant sur les objectifs applicables identifiés via la cascade d'objectifs et en mettant en œuvre les composants correspondants, les entreprises peuvent améliorer significativement leur système de gouvernance I&T. L'approche de COBIT 2019, plus prescriptive, et son alignement mis à jour avec d'autres normes en font un outil puissant pour relever les défis de la transformation numérique et assurer une gouvernance efficace, sécurisée et créatrice de valeur. La mise en œuvre nécessite une compréhension du contexte de l'entreprise et un certain niveau d'expérience, mais les guides officiels d'ISACA sont conçus pour accompagner les professionnels dans ce parcours.

---