Utilisateur:INFO EB9/Brouillon

La gouvernance des technologies de l'information ^[1]^[2] est un concept utilisé depuis les années 90 pendant la période du scandale d’ENRON. Selon IT Governance Institute( ITGI ), la gouvernance du système d’information est une responsabilité du conseil d'administration et de la direction exécutive, c'est une partie intégrante de gouvernance d'entreprise qui concerne la direction, la structure organisationnelle et les processus qui assurent le maintient de l'organisation du système d'information.

La gouvernance du SI[modifier | modifier le code]

La gouvernance des technologies de l'information ^[1]^[2] est un concept utilisé depuis les années 90 pendant la période du scandale d’ENRON. Selon IT Governance Institute( ITGI ), la gouvernance du système d’information est une responsabilité du conseil d'administration et de la direction exécutive, c'est une partie intégrante de gouvernance d'entreprise qui concerne la direction, la structure organisationnelle et les processus qui assurent le maintient de l'organisation du système d'information.

Le but primaire de la gouvernance du système d'information est d'assurer que les investissements dans le système d'information produisent une valeur commerciale et atténuent les risques qui y sont associés. Ceci peut être fait en mettant en œuvre une structure organisationnelle avec des rôles bien définis, pour la responsabilité d'informations, des processus commerciaux, des applications et l'infrastructure.

La gouvernance du SI devrait être vue comme moyen de création de la valeur qui entre dans la Stratégie de Gouvernement d'entreprise globale de l'organisation et pas comme une discipline toute seule. En prenant cette approche, toutes les parties prenantes seraient exigées pour participer au processus de prise de décisions. Cela crée un partage d’acceptation de la responsabilité pour la critique systèmes et assure que les décisions associées sont prises et pilotées par l’entreprise et non l'inverse.

Les référentiels de gouvernance du SI[modifier | modifier le code]

CobiT[modifier | modifier le code]

CobiT^[3] est une boîte à outils pour le développement, la mise en œuvre, le contrôle et l’amélioration de la gouvernance des technologies de l'information (TI ) et des pratiques de gestion. Il se positionne à la fois comme un référentiel de contrôle, d’audit et un référentiel de gouvernance. Sur le plan de la gouvernance, il se place en alignement avec les métiers et la stratégie de l’entreprise. Il a été publié par IT Governance Institute( ITIG ) et l’association d’audit et de contrôle du technologies de l'information (ISACA).

CobiT permet de :

Améliorer l’efficacité des systèmes d’informations.
Aider à comprendre les besoins de l’entreprise.
Mettre en place des pratiques pour répondre aux besoins de l'entreprise de manière la plus efficace possible.
Assurer l'alignement des affaires et des systèmes d’information.
Aider les cadres à comprendre et à gérer les investissements informatiques tout au long de leur cycle de vie.

CobiT soutient la gouvernance des systèmes d’informatique en fournissant un cadre pour s’assurer que:

Le système d’information est aligné avec l'entreprise.
Le système d’information permet à l'entreprise de maximiser les avantages.

Les ressources informatiques sont utilisés de manière responsable.

Les risques informatiques sont gérés de façon appropriée.

Les avantages de la mise en œuvre de CobiT sont les suivants:

Un langage commun pour les dirigeants, les encadrants et les professionnels de l'informatique.
Une meilleure compréhension de la façon dont l'entreprise et l’informatique peuvent travailler ensemble pour une livraison réussite.
Amélioration de l'efficacité et de l'optimisation des coûts.
Réduction du risque opérationnel.

Développement claire de la politique.
Audit plus efficace et réussi.

ITIL[modifier | modifier le code]

ITIL (The Information Technology Infrastructure Library) est une méthode pour gérer les systèmes d’informations comme un service au sein de l’entreprise, Il se concentre sur l'utilisateur final plutôt que sur la technologie .

ITIL a été développé par l’OGC pour le gouvernement britannique,Son approche se base sur le « quoi faire » plutôt que sur le « comment faire ».

Depuis son lancement en 2011, ITIL V3 est devenue un standard mûr, flexible et complet de la gouvernance du système d’information qui est :

intégré avec la gouvernance d'entreprise.
agile et flexible pour des défis que l’entreprise peut rencontrer.
Fournit aux dirigeants des moyens pour contrôler et gérer la performance des systèmes d’informations.

ISO/CEI 27002[modifier | modifier le code]

L'objectif de la norme ISO/CEI 27002 est de fournir des informations aux parties responsables de la mise en œuvre de la sécurité de l'information au sein d'une organisation. Il peut être considéré comme une pratique exemplaire pour développer et maintenir des normes et des pratiques de gestion de la sécurité au sein d'une organisation pour améliorer la fiabilité de l'information sur la sécurité dans les relations inter organisationnelles. Il définit 133 contrôles de sécurité des stratégies, de moins de 11 grandes rubriques. La norme souligne l'importance de la gestion des risques et il est clair qu'il ne faut pas mettre en œuvre toutes les lignes directrices indiqué, seulement ceux qui sont pertinents.

Les principes directeurs de la norme ISO/CEI 27002^[4] sont les points de départ pour la mise en œuvre de la sécurité de l'information. Ils comptent sur soit des exigences légales ou les meilleures pratiques généralement acceptées.

Les mesures fondées sur les exigences légales comprennent:

La protection et la non-divulgation des données personnelles.

La protection de l'information interne.

La protection des droits de propriété intellectuelle.

Les meilleures pratiques mentionnées dans la norme comprennent:

La politique de sécurité de l'information.

Attribution de la responsabilité pour la sécurité de l'information.

Problème escalade.

la gestion de la continuité des affaires.

Lorsque la mise en œuvre d'un système de gestion de la sécurité de l'information, plusieurs facteurs critiques de succès devraient être envisagées:

La politique de sécurité, ses objectifs et ses activités devrait refléter les objectifs d'affaires.

La mise en œuvre doit tenir compte des aspects culturels de l'organisation.

Connaissance approfondie des exigences de sécurité, l'évaluation des risques et gestion des risques devrait être requise.

Un marketing efficace de la sécurité devrait cibler l'ensemble du personnel, y compris les membres de la direction.

La politique de sécurité et les mesures de sécurité doivent être communiquées à des tiers sous contrat.

Les utilisateurs doivent être formés de manière adéquate.

Un système complet et équilibré pour la mesure de la performance, qui soutient l'amélioration continue en donnant des évaluations, devraient être disponibles.

Après la présentation des informations d'introduction (portée, les termes et définitions), un cadre pour le développement d'un SMSI spécifiques à l'organisation devrait être présenté. Un tel système devrait être composé d'au moins les parties suivantes:

Politique de sécurité.
La sécurité organisationnelle.
Classification et de contrôle actif.
La sécurité du personnel.
La sécurité physique et environnementale.
La gestion des communications et des opérations.
Contrôle d'accès.
Le développement de systèmes et d'entretien.
La gestion de la continuité des affaires.
Conformité.

Val IT[modifier | modifier le code]

L'un des cinq principaux domaines de la gouvernance des systèmes d’information est un framework qui met l'accent sur la création de valeur. Val IT^[5]^[6] veille à ce que les investissements informatiques sont géré par leur cycle de vie complet.

Val IT est:

Une collection complète des pratiques et des techniques de gestion éprouvées pour l'investissement dans le changement et l'innovation du systèmes informatique de l’entreprise.

Un Framework et des publications de soutien portant sur la gouvernance d’investissements sur les systèmes d’information des entreprises.

Val IT permet de:

Favoriser le partenariat entre elle et le reste de l'entreprise.
Aider le conseil d'administration et la haute direction dans la compréhension et l'exécution de leurs rôles liés aux investissements informatiques.
Aider les entreprises à prendre de meilleures décisions sur l'endroit où investir dans les changements opérationnels.
Fournit un langage commun pour les dirigeants, la gestion d'entreprise et les professionnels de l'informatique pour assurer que les investissement sur les technologies de l'information sont en ligne avec la stratégie d'entreprise.

Les avantages de la mise en œuvre de Val IT comprennent:

ROI (Retour sur investissement) accru pour les projets.
La génération de la valeur d’entreprise.
La gestion des investissements informatiques à travers leur cycle de vie complet.
Augmentation de la valeur des investissements dans la technologie, conduisant à la croissance des entreprises.
Réduction des coûts résultant de l'insuffisance des investissements.
Meilleures décisions sont prises sur l'endroit où investir dans le changement opérationnel.

Risk IT[modifier | modifier le code]

Risk IT^[5]^[6] est un ensemble de principes directeurs et le premier cadre pour aider les entreprises à identifier, gouverner et gérer efficacement les risques informatiques.

Risk IT est :

Un Framework fondé sur un ensemble de principes directeurs pour une gestion efficace des risques informatiques.
un Framework qui permet l'intégration des risques informatiques avec des structures globales de risque et de conformité au sein de l'entreprise.

Les avantages comprennent:

Un profil complet des risques afin de mieux comprendre les risques et ressources de l'entreprise utilisés de manière appropriée.

Une meilleure compréhension des rôles et des responsabilités en matière de gestion des risques informatiques.

Alignement avec ERM (Entreprise Risk Management).

Une meilleure vue de risques liés aux systèmes d’information et ses implications financières.

Moins de surprises opérationnelles et des échecs.

Une plus grande confiance des parties prenantes et des préoccupations réglementaires réduites.

CobiT et autres référentiels[modifier | modifier le code]

CobiT et ITIL[modifier | modifier le code]

CobiT et ITIL sont les deux référentiels majeurs de IT Gouvernance. Dans le milieu professionnel, Ils couvrent respectivement environ 30% à 40% des domaines liés à la gouvernance informatique.

Les référentiels comme CobiT et ITIL sont conçus pour répondre à des enjeux très spécifiques, et plus particulièrement le management des services de support ou les processus de délivrance d’informations, mais ne peuvent pas à eux seuls couvrir l’ensemble de la démarche de gouvernance informatique au sein d’une structure.

Les raisons de leur succès :

Efficace depuis plusieurs années.
Dispose d’outils de livraison simples et efficaces avec les services informatiques.
Bon marketing par leurs acteurs et sont pratiquement les seuls référentiels en terme de programmes de formation et de certification.

ITIL, fournit beaucoup de conseils détaillés sur la mise en œuvre du processus, mais du point de vue de la gouvernance il est assez faible. D'autre part, CobiT est très fort au niveau de la gouvernance, mais ne fournit pas beaucoup de détail de la mise en œuvre du processus.

L’adoption de ces deux framework va homogénéiser, fiabiliser et rendre plus rapide les services technologiques afin d’accroître ses revenus.

CobiT et ISO[modifier | modifier le code]

Le Framework CobiT adapté aux Directions Générales, offre aux sponsors et aux responsables informatiques, des éléments pour contrôler et gérer la gouvernance, ainsi qu'une base pour la conception de la planification de la sécurité de l'information.

ISO 27002^[7], offre les meilleures pratiques aux responsables de la sécurité de l'information :

Des éléments nécessaires pour gérer la sécurité.
Des lignes directrices pour structurer les objectifs de planification et de contrôle de la sécurité de l'information.
Des contrôles nécessaires pour mettre en œuvre la sécurité dans l'organisation.
Des actions clés pour minimiser les risques qui mettent en péril la sécurité de l'information .

La norme ISO 27002 et CobiT fournissent les éléments nécessaires à l'élaboration d'une planification de la sécurité de l'information, non seulement pour être facilement ajustable aux meilleures pratiques professionnelles, mais aussi au stratégie d'organisation pour permettre de:

Comprendre l'informatique et les exigences de sécurité, dans la conception de ces politiques et procédures
La mise en œuvre et les contrôles d'exploitation pour gérer les risques ^[8]^[9]^[10]

CobiT et Val IT[modifier | modifier le code]

Val IT est un Framework complet, couvrant la gouvernance de valeur, la gestion de portefeuille et les processus de gestion des investissements et des activités. Il est étroitement aligné avec et complète CobiT , mais apporte une valeur à part entière aux entreprises. Alors que CobiT assure le fonctionnement le plus efficace possible afin de maximiser les avantages de l'investissement dans la technologie.

Val IT aide les entreprises à prendre de meilleures décisions sur l'endroit où investir, faire en sorte que l'investissement est conforme à la stratégie d'entreprise. ^[5]^[9]

CobiT et Risk IT[modifier | modifier le code]

Risk IT est un Framework, couvrant la gouvernance des risques, des processus d'évaluation, d'intervention et d'activités. Alors que CobiT fournit un ensemble de contrôles destinés à atténuer les risques informatiques dans les processus informatiques.

Risk IT fournit un cadre pour les entreprises à identifier, gouverner et gérer les risques liés aux SI. Les entreprises peuvent utiliser Risk IT pour améliorer la gestion des risques. Et ceux qui ont adopté (ou envisagent d'adopter) CobiT comme leur cadre de gouvernance informatique auront la possibilité de combiner les deux pour être particulièrement utile.^[5]^[9]

Quick Scan de CobiT[modifier | modifier le code]

ASK Conseil est à l’origine de l’outil Quick Scan de CobiT, celui-ci permet aux entreprise d’optimiser leur démarche de progrès vers une bonne gouvernance de leur SI, dans le but d’apporter des améliorations et de générer des gains rapides.

Quick Scan permet d’obtenir :

un état des lieux.
une analyse.
des recommandations et des plan d’actions.

Quick Scan s’intéresse au pilotage stratégique et aux contrôles des :

processus du domaine Planifier et Organiser (PO).
processus du domaines Surveiller et Évaluer (SE).

Références[modifier | modifier le code]

↑ ^{a et b} Frédéric Georgel, IT Gouvernance : Maîtrise d’un système d’information, Paris, Dunod, 2005, 200 p. (ISBN 2100083120)
↑ ^{a et b} Frédéric Georgel, IT Gouvernance : Management stratégique d'un système d'information, Paris, Dunod, 2009, 304 p. (ISBN 9782100525744)
↑ Dominique Moisand, Fabrice Garnier de Labareyre, CobiT : Pour une meilleure gouvernance des systèmes d'information, Paris, Eyrolles, 2009
↑ (en) « Introduction To ISO 27002 (ISO27002) »
↑ ^{a b c et d} (en) « isaca »
↑ ^{a et b} Claire Noirault, ITIL [version 3] : Les meilleurs pratiques de gestion d’un Service Informatique, eni éditions
↑ « ISO/IEC 27002:2013 »
↑ Comparison between COBIT, ITIL and ISO 27001 http://beefchunk.com/documentation/security-management/comparison_between_COBIT_ITIL_and_ISO_27001.pdf
↑ ^{a b et c} « Afai-isaca »
↑ ITIL or COBIT or something else? Which should organizations choose? http://blog.freshservice.com/itil-cobit/

[:3-1] {a et b} Frédéric Georgel, IT Gouvernance : Maîtrise d’un système d’information, Paris, Dunod, 2005, 200 p. (ISBN 2100083120)

[:4-2] {a et b} Frédéric Georgel, IT Gouvernance : Management stratégique d'un système d'information, Paris, Dunod, 2009, 304 p. (ISBN 9782100525744)

[3] Dominique Moisand, Fabrice Garnier de Labareyre, CobiT : Pour une meilleure gouvernance des systèmes d'information, Paris, Eyrolles, 2009

[4] (en) « Introduction To ISO 27002 (ISO27002) »

[:0-5] {a b c et d} (en) « isaca »

[:1-6] {a et b} Claire Noirault, ITIL [version 3] : Les meilleurs pratiques de gestion d’un Service Informatique, eni éditions

[7] « ISO/IEC 27002:2013 »

[8] Comparison between COBIT, ITIL and ISO 27001 http://beefchunk.com/documentation/security-management/comparison_between_COBIT_ITIL_and_ISO_27001.pdf

[:2-9] {a b et c} « Afai-isaca »

[10] ITIL or COBIT or something else? Which should organizations choose? http://blog.freshservice.com/itil-cobit/

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]