En tant que chef de projets informatiques, vous faites en général partie d’une DSI, vous suivez la gouvernance définie dans ce même département.
D’un point de vue gestion de portefeuille, la gouvernance est essentiellement axée sur l’alignement stratégique et l’organisation des initiatives BUILD.
Il est donc important de comprendre une Direction de Systèmes Informatiques dans son ensemble.
Une autre approche de la gouvernance de l'information et de la technologie (I&T), référence mondiale, est le cadre COBIT 2019, développé par ISACA.
Ce cadre aide les entreprises à maximiser la valeur de leurs investissements en I&T tout en minimisant les risques.
Nous allons exposer plus en détails ce framework, ses principes, ses objectifs de gouvernance et de gestion, ainsi que les étapes pour implémenter un système de gouvernance IT.
Nous aborderons également les différences et les apports des autres standards et conclurons sur l'importance de mieux comprendre ce cadre pour les chefs de projets.
Les principes du COBIT 2019
Le COBIT 2019 repose sur deux ensembles de principes :
- des principes décrivant les exigences fondamentales d'un système de gouvernance pour l'information et les technologies d'entreprise (entreprise I&T)
- et des principes pour créer un cadre de gouvernance pouvant servir à construire un système de gouvernance pour l'entreprise.
1) Principes pour un système de gouvernance
Voyons maintenant les 6 principes :
2) Principes pour un cadre de gouvernance
Nous avons également 3 principes pour le cadre de gouvernance :
- Modèle conceptuel : Identifier les composants clés et les relations entre eux.
- Ouvert et flexible : Ouvert et flexible, pour permettre l'ajout de nouveau contenu et la capacité de traiter de nouveaux problèmes de manière flexible.
- Aligné sur les principales normes : Aligner sur les normes, cadres et réglementations majeurs pertinents.
COBIT ? ISACA ? Quésaco ?
COBIT est un acronyme pour « Control Objectives for Information and related Technology. »
ISACA est une Association Globale de Professionnels de l’Informatique. Elle compte en 2025 plus 185 000 membres et propose notamment des Certifications professionnelles dans le domaine de la gouvernance IT( COBIT), de la sécurité et l’audit de systèmes d’information (CISA, CISM) ou la Cybersécurité.
ISACA signifie : Information Systems Audit and Control Association.
Les objectifs de gouvernance et de management
Le COBIT 2019 définit 40 objectifs de gouvernance et de gestion, regroupés en cinq domaines :
- Évaluer, Diriger et Surveiller (EDM),
- Aligner, Planifier et Organiser (APO),
- Construire, Acquérir et Implanter (BAI),
- Fournir, Servir et Supporter (DSS),
- Surveiller, Évaluer et Estimer (MEA)
1) Objectif 1 : Évaluer, Diriger et Surveiller (EDM)
Nous parlons ici de gouvernance.
Item | Description – FR | Description - EN |
|---|---|---|
EDM01 | Assurer la mise en place et la maintenance du cadre de gouvernance | Ensured Governance Framework Setting and Maintenance |
EDM02 | Assurer la livraison des bénéfices | Ensured Benefits Delivery |
EDM03 | Ensured Risk Optimization | |
EDM04 | Assurer l'optimisation des ressources | Ensured Resources Optimization |
EDM05 | Ensured Stakeholder Engagement |
2) Objectif 2 : Aligner, Planifier et Organiser (APO)
Ici, nous trouvons les items liés à l’organisation, à la préparation.
Item | Description – FR | Description - EN |
|---|---|---|
APO01 | Gérer le cadre de gestion de l'I&T | Managed I&T management Framework |
APO02 | Gérer la stratégie | Managed Strategy |
APO03 | Gérer l'architecture d'entreprise | Managed Enterprise Architecture |
APO04 | Managed Innovation | |
APO05 | Gérer le portefeuille | Managed Portfolio |
APO06 | Gérer le budget et les coûts | Managed Budget and Cost |
APO07 | Managed Human Resource | |
APO08 | Gérer les relations | Managed Relationship |
APO09 | Gérer les accords de service | Managed Service Agreements |
APO10 | Managed Vendors | |
APO11 | Gérer la qualité | Managed Quality |
APO12 | Gérer les risques | Managed Risk |
APO13 | Gérer la sécurité | Managed Security |
APO14 | Gérer les données | Managed Data |
3) Objectif 3 : Construire, Acquérir et Implanter (BAI)
Nous sommes ici dans l’exécution, l’implantation.
Item | Description – FR | Description - EN |
|---|---|---|
BAI01 | Managed Programs | |
BAI02 | Gérer la définition des exigences | Managed Requirements Definition |
BAI03 | Gérer l'identification et la construction des solutions | Managed Solution Identification And Build |
BAI04 | Gérer la disponibilité et la capacité | Managed Availability and Capacity |
BAI05 | Gérer le changement organisationnel | Managed Organizational Change |
BAI06 | Gérer les changements IT | Managed IT Changes |
BAI07 | Gérer l'acceptation et la transition des changements IT | Managed IT Changes Acceptance and Transitioning |
BAI08 | Managed Knowledge | |
BAI09 | Gérer les actifs | Managed Assets |
BAI10 | Gérer la configuration | Managed Configuration |
BAI11 | Gérer les projets | Managed Projects |
4) Objectif 4 : Fournir, Servir et Supporter (DSS)
Cette partie fait essentiellement référence aux opérations, au RUN.
Item | Description – FR | Description - EN |
|---|---|---|
DSS01 | Gérer les opérations | Managed Operations |
DSS02 | Gérer les demandes de service et les incidents | Managed Service Requests and Incidents |
DSS03 | Gérer les problèmes | Managed Problems |
DSS04 | Gérer la continuité | Managed Continuity |
DSS05 | Gérer les services de sécurité | Managed Security Services |
DSS06 | Gérer les contrôles des processus métiers | Managed Business Process Controls |
5) Objectif 5 : Surveiller, Évaluer et Estimer (MEA)
Nous sommes ici dans la partie « monitoring », de surveillance.
Item | Description – FR | Description - EN |
|---|---|---|
MEA01 | Gérer la performance et la conformité | Ensured Governance Framework Setting and Maintenance |
MEA02 | Gérer le système de contrôle interne | Ensured Benefits Delivery |
MEA03 | Gérer la conformité aux exigences externes | Ensured Risk Optimization |
MEA04 | Gérer l'assurance | Ensured Resources Optimization |
Les composants, domaines et facteurs de conception
Voici les composants du système de gouvernance, ses domaines de concentration ainsi que les facteurs de conception :
1) Composants du système de gouvernance
Une fois les objectifs sélectionnés, il faudra étudier les différents composants nécessaires pour établir, adapter et maintenir un système de gouvernance efficace pour l'information et la technologie (I&T) au sein d'une entreprise.
Voici une description des composants :
Les composants peuvent être génériques ou des variantes spécifiques adaptées à un contexte particulier.
2) Domaines de concentration
Les domaines de concentration, « focus domain » en anglais, sont des sujets, domaines ou problèmes spécifiques de gouvernance traités par une collection d'objectifs de gouvernance et de gestion et leurs composants.
On peut avoir par exemple la cybersécurité, la transformation numérique, le cloud computing, la confidentialité ou le DevOps.
Les domaines de concentration peuvent contenir des composants de gouvernance génériques et des variantes spécifiques.
Le nombre de domaines de concentration est virtuellement illimité, ce qui rend COBIT ouvert et adaptable.
3) Facteurs de conception
Certains facteurs vont influencer la conception d'un système de gouvernance d'entreprise et vont conditionner son succès.
Le framework en définit 11 :
- Stratégie d'entreprise : Différentes stratégies d'entreprise comme la croissance/acquisition, l'innovation/différenciation, le leadership en coût, et le service client/stabilité.
- Objectifs d'entreprise : Objectifs soutenant la stratégie d'entreprise, structurés selon les dimensions du tableau de bord équilibré (Balanced ScoreCard).
- Profil de risque de l'entreprise : Identification des risques liés à l'I&T auxquels l'entreprise est exposée.
- Problèmes liés à l'I&T : Problèmes actuels liés à l'I&T auxquels l'entreprise est confrontée : problèmes de delivery, coûts élevés, manque de ressources, …
- Univers des menaces : Classification de l’univers des menaces auquel l’entreprise peut être confrontée.
- Exigences de conformité : Classification des exigences de conformité auxquelles l'entreprise est soumise.
- Rôle de l'IT : Classification du rôle de l'IT pour l'entreprise.
- Modèle d'approvisionnement pour l'IT : Modèle d'approvisionnement adopté par l'entreprise.
- Méthodes de mise en œuvre de l'IT : Méthodes adoptées par l'entreprise pour la mise en œuvre de l'IT.
- Stratégie d'adoption technologique : Stratégie d'adoption technologique de l'entreprise.
- Taille de l'entreprise : Classification de la taille de l'entreprise.
La mise en place d'un système de gouvernance IT
L'implémentation d'un système de gouvernance IT selon le COBIT 2019 suit une approche structurée en sept phases :
Nous avons 40 objectifs de Gouvernance et de Management. Il est évident qu’ils ne seront pas tous mis en place en même temps.
C’est pour cela que nous avons les étapes #2 et #3 qui permettent de prioriser et définir les objectifs de la démarche.
Dans une DSI marquée par une culture opérationnelle forte, cette démarche permet aussi de faire émerger une logique projet, en apportant des repères de pilotage et de priorisation souvent absents du quotidien RUN.
Exemple de mise en œuvre
Nous allons maintenant entrer plus en détail et décrire des exemples de mise en œuvre d’objectifs définis par ce framework.
L’idée est de décrire les différentes étapes permettant de fournir un cadre structurant, qui sera ensuite mis en pratique par l’intermédiaire d’outils, de rédaction de procédures et de règles.
1) Objectif BAI11 : Gestion des projets
Objectif : Réaliser les résultats des projets définis et réduire le risque de retards, de surcoûts et de diminution de la valeur.
Cela implique d'améliorer la communication avec les utilisateurs finaux et les entreprises, d'assurer la valeur et la qualité des livrables des projets, et de maximiser leur contribution aux programmes et au portefeuille d'investissements définis.
Mise en œuvre
Séquence | Phase | Détails |
|---|---|---|
1 | Clarifier les objectifs commerciaux et les attentes des parties prenantes | |
2 | Élaborer une politique de gestion des données | Élaborer un plan de projet détaillé, y compris les jalons, les ressources et les budgets |
3 | Gérer les parties prenantes | Identifier et gérer les parties prenantes, y compris les utilisateurs finaux et les entreprises |
4 | Surveiller et contrôler | Mettre en place des mécanismes de surveillance et de contrôle pour assurer le respect des objectifs du projet |
5 | Gérer les risques | Identifier et gérer les risques qui pourraient affecter la réussite du projet |
6 | Assurer la qualité | Mettre en place des processus de gestion de la qualité pour garantir que les livrables répondent aux exigences |
7 | Gérer les modifications | Mettre en place des processus de gestion des modifications pour s'adapter aux changements des exigences ou des conditions |
Notez que ceci est très similaire aux méthodologies et cadres que l’on peut trouver dans le PMBOK®, dans l’approche PRINCE2® ou autre.
2) Objectif APO14 : Gestion des données
Objectif : Garantir une utilisation efficace des actifs de données critiques pour atteindre les objectifs de l'entreprise.
Cela inclut la gestion des données tout au long de leur cycle de vie, de la création à l'archivage ou à la suppression, en passant par l'utilisation et la protection.
Mise en œuvre
Séquence | Phase | Détails |
|---|---|---|
1 | Définir les objectifs de gestion des données |
|
2 | Élaborer une politique de gestion des données |
|
3 | Mettre en place des contrôles de sécurité des données |
|
4 | Gérer le cycle de vie des données |
|
5 | Assurer la qualité des données |
|
6 | Surveiller et auditer l'utilisation des données |
|
7 | Former et sensibiliser le personnel |
|
8 | Évaluer et améliorer continuellement |
|
La gestion des données est aujourd’hui un élément essentiel lié à de nombreux autres objectifs de l’entreprise ; de plus c’est un concept simple qui affecte tous les utilisateurs.
Les étapes décrites ci-dessus permettent de maximiser la valeur des actifs de données tout en minimisant les risques associés à leur gestion.
Cela permet non seulement de soutenir les objectifs stratégiques et opérationnels, mais aussi de garantir la conformité aux exigences légales et réglementaires.
Et dans la pratique ?
Il est essentiel de décrire les différentes étapes, ne serait-ce que pour communiquer et former les collaborateurs.
Heureusement, il existe sur le marché des solutions qui facilitent leur mise en place :
- ServiceNow
- NetSuite Governance, Risk & Compliance
- ManageEngine Service Desk Plus
- MEGA HOPEX
Plus spécifiquement de nombreux éditeurs proposent des solutions GRC : Governance, Risk & Compliance.
Les différences et apports des autres standards
Le COBIT 2019 est conçu pour être aligné avec plusieurs normes et cadres de référence, ce qui en fait un cadre de gouvernance IT complet et flexible.
Il s’inspire et s’aligne sur les normes et Framework suivants :
- ISO/IEC 38500 : Norme internationale pour la gouvernance de l'IT.
- ISO/IEC 27001 : Norme internationale pour la gestion de la sécurité de l'information.
- Scaled Agile Framework for Lean Enterprises (SAFe®)
- PROSCI® 3-Phase Change Management Process
- PMBOK® Guide, Sixth Edition, 2017 du Project Management Institute
- US National Institute of Standards and Technology(NIST) standards: Framework for Improving Critical Infrastructure Cybersecurity V1.1, April 2018
- Information Technology Infrastructure Library (ITIL®) v3, 2011
- CIS® Center for Internet Security®, The CIS Critical Security Controls for Effective Cyber Defense, Version 6.1, August 2016
- CMMI® Development V2.0, CMMI Institute, USA, 2018
Ces alignements permettent aux entreprises d'utiliser ce framework en complément d'autres normes et cadres de référence, assurant ainsi une gouvernance IT complète et intégrée.
COBIT vs. ITIL
On se pose souvent la question de la différence entre les deux, et duquel utiliser.
COBIT 2019 se concentre sur la gouvernance globale de l'entreprise, tandis qu'ITIL 4 se focalise sur les processus de création de valeur entre prestataires et consommateurs de services.
ITIL 4 est modulaire et peut être utilisé par toute organisation pour améliorer ses services informatiques.
Le cadre COBIT est complet, mais moins facilement applicable aux petites structures.
La gouvernance (COBIT) définit « ce qu’il faut faire », tandis que la gestion des services (ITIL) précise « comment le faire ».
Les deux cadres sont complémentaires : COBIT permet de fixer les objectifs, ITIL d’en piloter la réalisation.
En d’autres termes, on peut s’appuyer sur l’un pour la gouvernance, et sur l’autre pour la mise en œuvre des services.
Les certifications ISACA liées au COBIT
Pour les professionnels cherchant à démontrer leur expertise dans ce domaine, plusieurs certifications liées à COBIT 2019 sont disponibles.
Voyons plus en détail les différentes certifications de ce framework, leurs objectifs, et les avantages qu'elles offrent aux professionnels et aux organisations.
Certification | Objectif | Contenu |
|---|---|---|
COBIT 2019 Foundation | Fournir une compréhension de base du framework. Idéale pour les professionnels qui souhaitent comprendre les concepts fondamentaux du framework et comment ils peuvent être appliqués dans une organisation |
|
COBIT 2019 Design and Implementation | Approfondir les connaissances sur la conception et la mise en œuvre de systèmes de gouvernance des TI basés sur COBIT 2019 |
|
COBIT 2019 Assessor | Évaluer la conformité et l'efficacité des systèmes de gouvernance des TI basés sur le framework |
|
COBIT 2019 Bridge | Mettre à jour les connaissances sur les versions précédentes du framework (COBIT 5) se certifier dans la version 2019 |
|
COBIT 2019 Implementing and Optimizing | Se spécialiser dans la mise en œuvre et l'optimisation des systèmes de gouvernance des TI basés sur COBIT 2019 |
|
Conclusion
En pratique, COBIT est souvent utilisé comme un outil d'évaluation et d'amélioration.
Les organisations peuvent utiliser ce framework pour évaluer leur gouvernance de l'IT actuelle, identifier les domaines qui nécessitent une amélioration, et mettre en œuvre des changements pour atteindre ces améliorations.
Ce framework est également souvent utilisé comme un outil de communication et de formation.
Il peut aider à expliquer la gouvernance de l'IT à ceux qui ne sont pas familiers avec le concept, et il peut aider à former les employés sur les principes et les pratiques de la gouvernance de l'IT.
Pour les chefs de projets, et plus particulièrement pour les membres de PMO, c’est un outil qui permet de mieux comprendre les objectifs de gouvernance d’une organisation et d’un Département de Système d’Informations.
C’est un complément des méthodologies associées aux PMO et à la gestion de Portefeuille.
Recevez GRATUITEMENT le Guide Pratique du Chef de Projet Performant
Suivez une méthodologie claire pour gérer vos projets de bout en bout
Améliorez votre efficacité opérationnelle en utilisant les bons livrables au bon moment
Suivez 25 conseils d'expert et arrêtez de subir les dérives
Vous recevrez régulièrement des contenus intéressants. Vos données seront en lieu sûr, nous détestons le spam sans doute autant que vous, et vous pouvez vous désinscrire à tout moment. Voir notre politique de confidentialité.
