Cela fait maintenant un peu plus de deux mois que l’ISACA a publié les premiers volumes de COBIT 2019. COBIT constitue depuis de nombreuses années le cadre de référence pour la gouvernance de l’information des entreprises. Cette nouvelle version, attendue depuis longtemps (COBIT 5 avait été publié en 2012) est donc un évènement important. Du moins, pour les responsables de la gouvernance des Entreprises, constitue-t-elle un élément majeur. Après seulement deux mois d’utilisation, je peux affirmer sans hésiter que cette dernière version est l’un des meilleurs cadres à ce jour pour la gouvernance et la gestion des TI dans l’entreprise. Dans cet article, je vais vous en montrer quelques éléments clés. Ceux-ci vous aideront sans aucun doute à atteindre les objectifs fixés par la gouvernance de votre organisation.
Cette version se base sur quatre publications clés, toutes disponibles à ce jour:
- Framework: Introduction and Methodology, qui décrit la structure du cadre global,
- Framework: Governance and Management Objectives, qui décrit en détail le modèle de base et ses 40 objectifs de gouvernance et de management,
- COBIT 2019 Design Guide, qui explique comment utiliser COBIT de manière pratique,
- COBIT 2019 Implementation Guide, qui est une version actualisée et plus pertinente du Guide de mise en œuvre de COBIT 5.
L’approche COBIT 2019
L’une des choses que j’aime beaucoup dans l’approche de l’ISACA est sa stratégie commerciale. Les deux premières publications sont entièrement GRATUITES, et vous pouvez les télécharger sur le site de l’ISACA. Les deux suivantes sont gratuites pour les membres uniquement.
Vous êtes nombreux à savoir que je suis un grand fan des référentiels de bonnes pratiques. Au fil des années, ils ont été développés et promus pour aider les entreprises à comprendre, concevoir et adopter une gouvernance informatique. COBIT 2019 constitue le cadre de gestion et de gouvernance de l’information et de la technologie (I & T) le plus complet. COBIT continue, au fil des ans, de s’affirmer comme un cadre généralement accepté pour la gouvernance I & T. Mais cette nouvelle version couvre l’ensemble de l’entreprise, c’est-à-dire toute la technologie et le traitement de l’information qu’une entreprise utilise pour atteindre ses objectifs. Il est cependant important de noter que COBIT n’est pas un cadre organisant des processus métier, ni un cadre pour régir et gérer toutes les technologies spécifiques. Il se concentre sur les composants d’I & T nécessaires pour diriger et gérer les informations qu’une entreprise reçoit, traite, stocke et diffuse.
Qu’y a-t-il de vraiment nouveau dans COBIT 2019?
Il y a de nombreuses différences majeures entre COBIT 2019 et son prédécesseur, COBIT 5, parmi lesquelles :
- Les 5 principes ont été modifiés.
- De nouvelles zones d’intérêt existent désormais (DevOps, sécurité, …)
- La création de nouveaux facteurs de conception,
- La cascade d’objectifs est mise à jour,
- Les processus ont été améliorés (il y en a maintenant 40 au lieu de 37),
- La gestion de la performance a été actualisée.
- L’expression «composants de la gouvernance» remplace les facilitateurs (« enablers ») de COBIT 5.
- Et ce que je préfère, ce sont les nouveaux objectifs détaillés en matière de gouvernance et de gestion.
Il y a tellement d’améliorations qu’il est difficile de toutes les saisir dans un seul article. Je vais donc me concentrer sur l’interrelation entre les nouveaux composants et les objectifs de gouvernance et de gestion. Mais vous vous demandez peut-être comment les processus s’intègrent à tout cela? Je vais donc y revenir plus en détail.
Focalisons-nous sur les composants de gouvernance
Après notre récent article 10 trucs pour bien démarrer avec COBIT 2019, nous allons nous concentrer sur le coeur du référentiel. Ils s’agit des composants de la gouvernance. Pour atteindre leurs objectifs de gouvernance et de gestion, les entreprises doivent mettre en place un système de gouvernance reposant sur un certain nombre de composants.
«Les composants sont des facteurs qui, individuellement et collectivement, contribuent au bon fonctionnement du système de gouvernance de l’entreprise sur l’I & T.» (COBIT 2019 Framework, Introduction and Methodology – ISACA).
Ces composants comprennent:
- Les processus
- Structures organisationnelles
- Information
- Aptitudes et compétences
- Culture et comportement
- Les politiques et les procédures
- Services, infrastructure et applications.
Vous les avez peut-être reconnus en tant que facilitateurs (« enablers ») dans COBIT 5. Personnellement, j’aimais énormément ce concept de facilitateurs dans COBIT 5. Cependant, il était très difficile de les mettre en oeuvre dans une entreprise. Ces composants constituent désormais un élément clé du référentiel COBIT 2019 basé sur leur lien avec les objectifs de gouvernance et de management.
Les objectifs de gouvernance et de management
L’un des éléments clés de la valeur ajoutée de l’I & T est de contribuer à la réalisation des objectifs de l’entreprise. Les objectifs IT qui étaient toujours mal compris. Ils sont remplacés par les objectifs d’alignement entre les métiers et les TI, l’objectif final étant la création de valeur.
Les objectifs de gouvernance et management des TI sont organisés dans les 5 mêmes domaines que ceux que nous avions auparavant dans COBIT 5 :
Chaque domaine contient un ensemble d’objectifs de gouvernance et de management. Un objectif de gouvernance ou de management se rapporte toujours à un processus et aux autres composants nécessaires pour atteindre cet objectif. On retrouve les objectifs de gouvernance associés domaine EDM. Les objectifs de gestion sont pour leur part associés aux domaines APO, BAI, DSS et MEA.
Comme indiqué ci-dessous, il existe 40 objectifs de gouvernance et de gestion.
Connu sous le nom de modèle de référence de processus ou PRM (Process Reference Model) dans COBIT 5, COBIT 2019 l’identifie comme étant le modèle central (Core Model) de COBIT. Dans ce modèle, chacun des 40 objectifs de gouvernance et de management est lié à un processus, qui est l’un de nos composants de gouvernance. Nous allons voir maintenant comment tout cela s’organise.
Utilisation d’objectifs de gouvernance et de management avec les composants
Chacun des 40 objectifs de gouvernance et de gestion est atteint grâce à l’exécution d’un processus du modèle central. Il est donc normal que le modèle central compte désormais 40 processus. Et c’est là que le modèle révèle toute sa puissance. Vous vous souvenez qu’un peu plus tôt dans cet article que j’ai mentionné que les facilitateurs (« enablers ») de COBIT 5 étaient difficiles à associer au modèle COBIT? Eh bien, maintenant, chacun de ces composants (« enablers ») constitue un des ingrédients nécessaires à la réalisation de l’objectif.
COBIT 2019 Framework: Governance and Management Objectives, chacun des objectifs de gouvernance et de management, ou processus, est clairement décrit à l’aide des composants de gouvernance, comme illustré ci-dessous.
Maintenant que j’ai expliqué l’architecture générale du modèle, nous allons rentrer dans le détail d’un objectif. Nous prendrons l’exemple de APO13 – Managed security. Ainsi nous comprendrons mieux comment se structure chacun des 40 objectifs de gouvernance et de management.
Informations de haut niveau
Une fiche basée sur une structure standard décrit en détail chaque objectif. Les premières informations décrite en haut de la fiche comprennent la zone d’intérêt, le nom de domaine, le nom de l’objectif de gouvernance ou de management, sa description et la déclaration de l’objet de cet objectif.
La cascade d’objectifs
La cascade d’objectifs relative à cet objectif spécifique est ensuite décrite. Elle inclut les objectifs d’alignement applicables (anciennement objectifs informatiques), les objectifs d’entreprise et des exemples de métriques.
Les composants associés
Rappelez-vous, ils sont au nombre de sept. Ce sont les « enablers » de COBIT 5.
1. Processus
Le processus est un composant clé. En effet, c’est grâce au processus que chaque objectif de gouvernance ou de de management est atteint. Dans le composant «Processus», peu de choses ont changé. Nous voyons toujours un ensemble de pratiques de management, d’exemples de métriques et d’activités, ainsi que des conseils connexes. L’un des principaux ajouts à COBIT 2019 est que chaque activité correspond désormais à un niveau d’aptitude.
Des référentiels de bonnes pratiques connexes apparaissent désormais pour CHACUN des composants de gouvernance. Dans le cas des processus, vous les retrouverez pour chacune des pratiques.
2. Structures organisationnelles
Les différents niveaux de participation sont divisés en niveaux d’autorité (Accountability) et de responsabilité (Responsibility). Les entreprises doivent examiner les niveaux de responsabilité et de responsabilisation, les consulter et les informer, et mettre à jour les rôles et les structures organisationnelles dans le tableau en fonction du contexte, des priorités et de la terminologie de l’entreprise. COBIT 2019 suggère uniquement des rôles d’autorité et de responsabilité. COBIT 5 incluait des rôles de consulté et d’informé. Or, étant donné que les rôles consultés et informés dépendent essentiellement du contexte et des priorités de l’organisation, ils ne figurent plus dans les nouveaux guides de COBIT.
3. Eléments et flux d’information
Ce composante de gouvernance fournit des indications sur les flux d’information et les éléments liés aux pratiques du processus. Chaque pratique comprend des entrées et des sorties, avec l’indication de l’origine et de la destination.
4. Personnes, aptitudes et compétences
Ce composant identifie les ressources humaines et les compétences requises pour atteindre l’objectif correspondant.
5. Politiques et procédures
Ce composant identifie les politiques et les procédures nécessaires à l’atteinte de l’objectif concerné.
6. Culture, éthique et comportement
Ce composant, essentiel identifie les comportements et les aspects culturels des personnes impliquée dans l’atteinte de l’objectif.
7. Services, infrastructure et applications
Ce composant identifie de façon détaillée les services tiers, les types d’infrastructures et les catégories d’applications pouvant être utilisés pour soutenir la réalisation d’un objectif de gouvernance ou de management. Les instructions sont génériques (pour éviter de nommer des éditeurs, des constructeurs ou des produits spécifiques).
Informations connexes
COBIT 2019 identifie les normes, les référentiels et les exigences de conformité applicables pour chaque élément de gouvernance. Il fournit également des références détaillées, le cas échéant, au niveau de chacun des composants. Elles diffèrent cependant de celles de COBIT 5, qui s’appliquaient uniquement au niveau du processus.
Conclusion
C’est grâce à la cascade d’objectifs que vous identifierez les objectifs de gouvernance et de management des TI applicables. Il ne vous reste alors qu’à mettre en oeuvre les composants correspondants aux objectifs sélectionnés. Les objectifs de gouvernance et de management avec leurs composants constituent désormais le noyau de COBIT. Je reviendrai ensuite, dans un prochain article, sur les autres grandes nouveautés de cette version.
N’hésitez pas à commenter cet article pour nous donner votre ressenti sur cette nouvelle version de COBIT. Que pensez-vous des évolutions? Avez-vous un retour d’expérience? C’est grâce à vous que nous pouvons faire vivre ce blog.