Mettre en Œuvre la Gouvernance du Système d’Information avec COBIT 2019 : Un Guide Pas à Pas

By /

Dans un paysage numérique en stante évolution, la gouvernance de l’information et de la technologie (I&T) est devenue un élémet crucial pour le succès et la durabilité des entreprises. Le rôle des Directions des Systèmes d’Information (DSI) a considérablement évolué, passant de la simple gestion d’infrastructures techniques à celle de partenaire stratégique essentiel pour piloter l’innovation et sécuriser des environnements de plus en plus complexes. C’est dans ce contexte que le cadre COBIT 2019, développé par l’ISACA, offre une solution complète et flexible pour optimiser la gouvernance des SI.

(In a constantly evolving digital landscape, information and technology (I&T) governance has become a crucial element for enterprise success and sustainability. The role of Information System Departments (DSI/CIOs) has evolved significantly, moving from simply managing technical infrastructures to being an essential strategic partner for driving innovation and securing increasingly complex environments. It is in this context that the COBIT 2019 framework, developed by ISACA, offers a comprehensive and flexible solution for optimizing IS governance.)

Qu’est-ce que COBIT 2019 ?

(What is COBIT 2019?)

COBIT, qui signifie “Control Objectives for Information and Related Technologies” (Objectifs de Contrôle pour l’Information et les Technologies Associées), est un cadre de référence mondialement reconnu pour la gouvernance et la gestion de l’I&T. COBIT 2019 est la dernière évolution du cadre, s’appuyant sur plus de 25 ans de développements et intégrant de nouvelles perspectives scientifiques et pratiques. Il adopte une approche holistique de la gouvernance, allant bien au-delà des fonctions traditionnelles du département informatique pour englober toute la technologie et le traitement de l’information qu’une entreprise utilise pour atteindre ses objectifs.

(COBIT, which stands for “Control Objectives for Information and Related Technologies,” is a globally recognized framework for the governance and management of I&T. COBIT 2019 is the latest evolution of the framework, building on over 25 years of developments and incorporating new scientific insights and practices. It adopts a holistic governance approach, extending far beyond traditional IT department functions to encompass all technology and information processing an enterprise uses to achieve its goals.)

COBIT 2019 clarifie ce qu’il est et ce qu’il n’est pas : (COBIT 2019 clarifies what it is and what it is not:)

  • Il ne s’agit pas d’une description complète de l’environnement informatique d’une entreprise, ni d’un cadre pour organiser les processus métier, ni d’un cadre technique pour gérer toutes les technologies. (It is not a full description of an enterprise’s entire IT environment, nor a framework for organizing business processes, nor a technical framework for managing all technology.)
  • Il définit les composants nécessaires pour construire et soutenir un système de gouvernance, notamment les processus, les structures organisationnelles, les politiques et procédures, les flux d’informations, la culture et les comportements, les compétences, ainsi que les services, les infrastructures et les applications. Ces composants étaient auparavant appelés “facilitateurs” (enablers) dans COBIT 5. (It defines the components needed to build and sustain a governance system, including processes, organizational structures, policies and procedures, information flows, culture and behaviors, skills, and services, infrastructure, and applications. These components were previously called “enablers” in COBIT 5.)
  • Il introduit des facteurs de conception et des domaines d’intervention (focus areas) qui permettent une adoption flexible et une solution de gouvernance sur mesure, adaptée aux besoins uniques de l’entreprise. Les domaines d’intervention incluent la cybersécurité, la transformation numérique, le cloud computing, la protection des données et le DevOps. (It introduces design factors and focus areas that allow for flexible adoption and a tailored governance solution, fitted to the enterprise’s unique needs. Focus areas include cybersecurity, digital transformation, cloud computing, data privacy, and DevOps.)
  • Le cadre COBIT 2019 est structuré autour de 40 objectifs de gouvernance et de gestion. Ces objectifs sont répartis en cinq domaines : Évaluer, Diriger et Surveiller (EDM) pour la gouvernance, et Aligner, Planifier et Organiser (APO), Construire, Acquérir et Mettre en Œuvre (BAI), Fournir, Servir et Soutenir (DSS), ainsi que Surveiller, Évaluer et Estimer (MEA) pour la gestion. (The COBIT 2019 framework is structured around 40 governance and management objectives. These objectives are organized into five domains: Evaluate, Direct and Monitor (EDM) for governance, and Align, Plan and Organize (APO), Build, Acquire and Implement (BAI), Deliver, Service and Support (DSS), and Monitor, Evaluate and Assess (MEA) for management.)
  • Il inclut un système de gestion de la performance qui utilise des mesures de maturité et de capacité, alignées sur l’approche CMMI. (It includes a performance management system that uses maturity and capability measurements, aligned with the CMMI approach.)

Publications Clés de COBIT 2019 pour la Mise en Œuvre

(Key COBIT 2019 Publications for Implementation)

ISACA a publié plusieurs guides pour faciliter l’adoption de COBIT 2019: (ISACA has published several guides to facilitate the adoption of COBIT 2019):

  • COBIT 2019 Framework: Introduction and Methodology : Décrit la structure du cadre global et les concepts clés. (COBIT 2019 Framework: Introduction and Methodology: Describes the overall framework structure and key concepts.)
  • COBIT 2019 Framework: Governance and Management Objectives : Fournit une description détaillée des 40 objectifs de gouvernance et de gestion du modèle COBIT Core, y compris leur objectif, les processus, les pratiques, les activités et les liens avec d’autres normes. (COBIT 2019 Framework: Governance and Management Objectives: Provides a detailed description of the 40 governance and management objectives of the COBIT Core Model, including their purpose, processes, practices, activities, and linkages to other standards.)
  • COBIT 2019 Design Guide : Offre des informations prescriptives sur la manière d’adapter un système de gouvernance aux circonstances uniques d’une entreprise, en définissant les facteurs de conception et leur impact potentiel. (COBIT 2019 Design Guide: Offers prescriptive how-to information for tailoring a governance system to an enterprise’s unique circumstances, defining design factors and their potential impact.)
  • COBIT 2019 Implementation Guide : Version mise à jour du guide d’implémentation de COBIT 5, intégrant les nouveaux concepts de COBIT 2019, y compris les facteurs de conception. Il est conçu pour être utilisé en combinaison avec le Design Guide.

(COBIT 2019 Implementation Guide: An updated version of the COBIT 5 Implementation Guide, incorporating the new terminology and concepts of COBIT 2019, including design factors. It is designed to be used in combination with the Design Guide.)

Mise en Œuvre Pas à Pas de la Gouvernance I&T avec COBIT 2019

(Step-by-Step Implementation of I&T Governance with COBIT 2019)

La mise en œuvre de COBIT 2019 suit une approche de cycle de vie d’amélioration continue, visant à créer une solution de gouvernance sur mesure qui s’adapte aux besoins spécifiques de chaque entreprise. Les étapes suivantes décrivent le processus recommandé :

(COBIT 2019 implementation follows a continual improvement lifecycle approach, aiming to create a tailored governance solution that fits each enterprise’s specific needs. The following steps outline the recommended process:)

Phase 1 : Comprendre les Facteurs Déclencheurs et le Contexte de l’Entreprise (Phase 1: Understand Drivers and Enterprise Context and Strategy)

  • Identifier les défis et les facteurs de succès : Cette première étape consiste à comprendre les motivations du changement. Cela inclut l’analyse de la stratégie de l’entreprise, de ses objectifs, de son profil de risque et des problèmes actuels liés à l’I&T. Le rapport de Keepit, par exemple, souligne l’importance de la gouvernance des données face à l’IA, aux nouvelles réglementations et aux cybermenaces, ce qui peut constituer un facteur déclencheur clé. (Identify challenges and success factors: This initial step involves understanding the drivers for change. It includes analyzing enterprise strategy, goals, risk profile, and current I&T-related issues. Keepit’s report, for example, highlights the importance of data governance in the face of AI, new regulations, and cyber threats, which can be a key driver.)

Phase 2 : Évaluer la Situation Actuelle et Déterminer la Portée Initiale (Phase 2: Assess Current Situation and Determine Initial Scope)

  • Évaluer l’état actuel : Il s’agit d’évaluer les pratiques de gouvernance et les processus informatiques existants. L’objectif est de s’appuyer sur les approches existantes plutôt que de créer quelque chose de nouveau. Un diagnostic gratuit du SI, tel que proposé par A.M.I, peut aider à identifier les failles et vulnérabilités. (Assess current state: This involves evaluating existing governance practices and IT processes. The goal is to build upon existing approaches rather than creating something entirely new. A free IS diagnostic, as offered by A.M.I, can help identify vulnerabilities.)
  • Définir la portée initiale : Considérez la stratégie de l’entreprise, les objectifs organisationnels et le profil de risque pour déterminer l’étendue initiale du système de gouvernance. (Determine initial scope: Consider enterprise strategy, organizational goals, and risk profile to define the initial scope of the governance system.)

Phase 3 : Définir les Objectifs et Affiner la Portée (Phase 3: Set Goals and Refine Scope)

  • Définir l’état futur souhaité : Cela implique de fixer les objectifs et les niveaux de capacité cibles pour les objectifs de gouvernance et de gestion. Les DSI en 2025 devront faire face à des défis tels que l’IA générative, la cybersécurité, le cloud hybride et la conformité, qui influenceront ces objectifs. (Define desired future state: This involves setting goals and target capability levels for governance and management objectives. CIOs in 2025 will face challenges such as generative AI, cybersecurity, hybrid cloud, and compliance, which will influence these objectives.)
  • Prendre en compte les facteurs de conception : Affiner la portée en tenant compte du paysage des menaces (APT par exemple), des exigences de conformité (DORA, RGPD), du rôle de l’IT, du modèle d’approvisionnement (sourcing model), des méthodes de mise en œuvre de l’IT, de la stratégie d’adoption de l’IT (comme le “cloud-first”), et de la taille de l’entreprise (PME vs grandes entreprises). La souveraineté numérique et la localisation des données sont également des préoccupations majeures. (Consider design factors: Refine the scope by considering the threat landscape (APT for instance), compliance requirements (DORA, GDPR), the role of IT, the sourcing model, IT implementation methods, the IT adoption strategy (such as “cloud-first”), and enterprise size (SMEs vs large enterprises). Digital sovereignty and data localization are also major concerns.)

Phase 4 : Identifier les Actions Requises et Conclure la Conception (Phase 4: Identify Required Actions and Conclude Design)

  • Déterminer les actions nécessaires : Il s’agit de combler les lacunes identifiées et d’identifier les “quick wins”. Cela inclut la résolution des conflits de priorités inhérents et la finalisation de la conception du système de gouvernance. Un plan de communication doit être créé pour les principes directeurs, les politiques et les avantages attendus du programme. (Determine necessary actions: This involves bridging identified gaps and identifying “quick wins”. It includes resolving inherent priority conflicts and finalizing the governance system design. A communication plan should be created for guiding principles, policies, and expected benefits throughout the program.)

Phase 5 : Exécuter le Plan et Activer les Opérations (Phase 5: Execute Plan and Enable Operations and Usage)

  • Mettre en œuvre les changements : Cette phase consiste à exécuter le plan et à mettre en place les nouvelles approches. Cela peut impliquer la réorganisation des rôles et des responsabilités. La gestion du changement organisationnel (BAI05) est un objectif clé de COBIT 2019, visant à maximiser les chances de succès et à réduire les risques. (Implement changes: This phase involves executing the plan and putting new approaches into place. This may involve reorganizing roles and responsibilities. Managed Organizational Change (BAI05) is a key COBIT 2019 objective, aiming to maximize success likelihood and reduce risk.)
  • Créer un environnement propice au changement : Impliquer la direction et les cadres supérieurs est crucial pour l’adoption de l’EGIT et l’alignement des objectifs métier et IT. La culture d’entreprise joue un rôle fondamental dans la transformation des DSI. (Create a conducive environment for change: Involving executive management and senior leadership is crucial for EGIT adoption and aligning business and IT goals. Organizational culture plays a fundamental role in DSI transformation.)

Phase 6 : Évaluer les Progrès et Intégrer les Nouvelles Approches (Phase 6: Evaluate Progress and Embed New Approaches)

  • Surveiller et mesurer les progrès : Suivre la performance par rapport aux objectifs établis. Cela inclut l’évaluation continue de l’efficacité des contrôles des processus métier (MEA02.02). (Monitor and measure progress: Track performance against established objectives. This includes continually reviewing the effectiveness of business process controls (MEA02.02).)
  • Intégrer les nouvelles approches : S’assurer que les changements sont ancrés dans les pratiques quotidiennes de l’entreprise. (Embed new approaches: Ensure that changes are embedded into the enterprise’s ongoing business activities.)

Phase 7 : Maintenir l’Élan et la Concentration (Phase 7: Maintain Momentum and Focus)

  • Soutenir l’amélioration continue : Assurer la continuité des opérations et favoriser une culture de responsabilité et de création de valeur. L’établissement d’une structure de gouvernance, la clarification des rôles et des responsabilités, et la surveillance de la conformité sont essentiels pour le maintien de l’élan. (Sustain continual improvement: Ensure continued operations and foster a culture of accountability and value creation. Establishing a governance structure, clarifying roles and responsibilities, and monitoring conformance are essential for maintaining momentum.)
  • Gérer les relations avec les parties prenantes : Cela inclut les fournisseurs et les prestataires de services, garantissant que les cadres de gouvernance sont établis et maintenus. L’objectif APO08 (Managed Relationships) met l’accent sur la coordination et la communication. (Manage relationships with stakeholders: This includes vendors and service providers, ensuring that governance frameworks are set and maintained. The APO08 (Managed Relationships) objective emphasizes coordination and communication.)

Conclusion

(Conclusion)

L’implémentation de COBIT 2019 permet aux entreprises de mettre en place une gouvernance I&T efficace et stratégique. En suivant une approche structurée et en tirant parti des ressources et des guides disponibles, les organisations peuvent : (Implementing COBIT 2019 enables enterprises to establish effective and strategic I&T governance. By following a structured approach and leveraging available resources and guides, organizations can:)

  • Aligner l’IT sur les objectifs métier : Garantir que les investissements et les initiatives informatiques soutiennent directement la stratégie globale de l’entreprise. (Align IT with business goals: Ensure that IT investments and initiatives directly support the overall enterprise strategy.)
  • Optimiser la valeur : Maximiser les avantages tirés des initiatives, services et actifs I&T tout en livrant des solutions et des services de manière rentable. (Optimize value: Maximize the benefits derived from I&T-enabled initiatives, services, and assets while delivering solutions and services cost-efficiently.)
  • Optimiser les risques : Identifier, évaluer et atténuer les risques liés à l’I&T, y compris les cybermenaces complexes comme les APT, et assurer la conformité réglementaire. (Optimize risk: Identify, assess, and mitigate I&T-related risks, including complex cyber threats like APTs, and ensure regulatory compliance.)
  • Optimiser les ressources : S’assurer que les capacités appropriées sont en place pour exécuter les plans stratégiques et que les ressources I&T sont utilisées de manière efficace. (Optimize resources: Ensure that appropriate capabilities are in place to execute strategic plans and that I&T resources are utilized effectively.)

En fin de compte, une gouvernance I&T efficace, soutenue par COBIT 2019, est non seulement essentielle pour la résilience et la sécurité, mais elle est aussi un moteur clé de l’innovation et de la transformation numérique, permettant aux DSI de naviguer habilement dans l’écosystème technologique en constante évolution.

(Ultimately, effective I&T governance, supported by COBIT 2019, is not only essential for resilience and security but also a key driver of innovation and digital transformation, enabling CIOs to skillfully navigate the constantly evolving technological ecosystem.)

Related Posts

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top