quelle gouvernance pour le numérique?

"Quelle gouvernance pour le numérique ?"

Les jeudis de l’AFAI

Patrick Stachtchenko 4 Décembre 2014

1 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014

Patrick Stachtchenko Coordonnées

• Mobile : +33 6 86 68 35 76

• Email : [email protected]


Agenda

1. Quelques tendances

2. Impact des tendances

3. Les référentiels / bonnes pratiques actuels répondent-ils au nouveau contexte?

4. Comment COBIT 5 peut répondre à ce nouveau contexte?


Une interpellation, un espoir? Monde de la Technologie : en 10 ans !

Sociétés Valeur de marché Valeur de marché 2000 2011

• Intel 500/550 110 • Microsoft 450/500 220 • CISCO 400/450 90 • Nokia 200/250 20 • Blackberry 150/200 15

• Apple 10 350 • Google 50 170 • Samsung 20 100 • Amazon 5 100 • Facebook - 50/100 • Tencent QQ 1 50 • Baidu 15 40

MM$

• Pourtant, il s’agit de sociétés structurées ayant a priori de bonnes pratiques! • Pourquoi de telles différences? (Accès similaire aux compétences, aux outils, etc…) • Quels sont les facteurs qui ont conduit à une telle situation? • Problématique de gouvernance et de management?

• Prise de décision, Leadership, Innovation, Agilité, Compétences, Comportements, Culture, Bureaucratie, Appétit au risque, « Business Model », Pratiques de Management, Processus, Valeur de l’Information, ...?

Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 4

Quelques tendances


• “Internet of things” : un monde hyper connecté

• >10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet

• Explosion de l’information numérisée : un monde hyper “informé”

• 5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation

• Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous

• Présence croissante, dépendance plus forte

• Rôle du DSI : un (des) rôle(s) à reinventer

• Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs

• Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts

6

Tendances reconnues

Gouverner/manager ces tendances, une des «top» préoccupations informatiques

Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014

• “Internet of things” : un monde hyper connecté • Préoccupations de “User empowerment” et organisationnelles • Gartner : “Les utilisateurs vont prendre plus de contrôle des appareils qu’ils utilisent”

• Explosion de l’information numérisée : un monde hyper “informé” • Préoccupations de vie privée, de valeur et organisationnelles • Gartner : “En 2015, plus de 85% des organisations du Fortune 500 vont échouer à exploiter

efficacement le big data pour leur donner un avantage concurrentiel”

• Fournisseurs Cloud : un monde de services (HAAS, SAAS, etc..) accessible

• Gartner:“Fin 2016, > 50% des 1000 organisations les plus importantes, auront stocké des données clients sensibles dans le cloud public”. “40% des organisations vont demander la preuve de tests de sécurité, effectués de manière indépendante, une condition pour utiliser le cloud”

• PWC (2013): Localisation des données, 31% savent leur localisation (quelles juridictions: impact sur tendance?), 34% savent où elles sont collectées/transmises/conservées

• Rôle du DSI : un (des) rôle(s) à reinventer • Gartner : “En 2015, 35% des dépenses informatiques “corporate”, pour la plupart des

organisations, seront managées en dehors de la DSI.”. “Comme l’univers informatique avance, les DSI vont s’apercevoir qu’ils devront coordonner ceux qui ont l’argent, ceux qui fournissent les services, ceux qui sécurisent les données, les usagers qui demandent d’établir leur propre rythme d’utilisation de l’informatique”

• InformationWeek Priorité n°2 du DSI:“Faire que l’informatique et le business ne soient qu’un”

7

Tendances reconnues


Autres Tendances • Parties prenantes : l’entreprise “étendu”

– Multiples (internes et externes)

– Volonté plus affirmée de faire valoir leurs intérêts, souvent divergents, conflictuels, mouvants, contradictoires, court terme vs long terme, (non/mal pris en compte et non mesurés), en tenant compte de niveaux d’appétence et de tolérance au risque spécifiques

– Instances de gouvernance pour aboutir à des options de propositions de valeur équilibrées, pour résoudre les conflits, pour arbitrer, s’appuyant sur la confiance au système, aux informations (confiance en baisse!)

• Dépendances / Inter-dépendances : l’entreprise “étendu”

– Communication, énergie, RH, fournisseurs de services, information, …

– Approche systémique, holistique, de confiance, …

• Langage et terminologie : un langage commun pour l’entreprise étendue

– Confusion, vue incomplète, problème de perception, …

• Vue / Action / Décision intégrée : une vision étendue

– Silos, responsibilités, désintermédiation, simple mais pas simpliste, …


Autres Tendances • Intégration des fonctions et des préoccupations dans le business (ex. IT) : une

vision étendue

– Bureau du DSI, DF, RH, …,

– Projets, directives, structures, compétences, risques, …

• Information : des opportunités au coeur de l’entreprise étendue

– TI/SI versus Information, Valeur, Big Data, Applications

• Traitement du contexte et du changement : une entreprise étendue adaptée, mouvante et pérenne

– Technologie, culture, législation, compétition, environnement business, …,

– Agilité, innovation, conformité, ….

• Mesure de Performance / Conformité : une entreprise étendue pilotée sous contrôle

– Indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …


Prise de décision : gouvernance Alignement / Exécution : management

Tendances Information : Prise de conscience de la valeur potentielle

• Election OBAMA (Big Data : information privée)

• Paris truqués (détection : analyses)

• Cyberattaque (identification : information privée et comportements)

• Voyance! (Belgique : information privée)

• CIA (Petrus : vérification croisée)

• Blomberg (espionnage : vérification croisée)

• Google (INSEE : analyses, modèles de comportements)

• Walmart (Big Data et vie privée : comportements)

• Bijoutier L.A. (reconnaissance faciale : information privée)


Tendances : L’information au cœur des « incidents » • Connaissance (avantage, torts)

– Délits d’initié (Galleon, Heinz : 20%, Fed : millisecondes)

– Vie privée (M4 UK : Facebook)

– Enregistrements conversations (Bettencourt)

– Listings volés (Fiscalité Suisse)

• Non connaissance – Sous-traitance (Peugeot : vis)

• Orientée – Conflits d’intérêts (Gaz de schiste, Publications scientifiques : + 6 000 %

d’erreurs/fraudes en dix ans, Enron : Arthur Andersen)

• Erreur (avantage, torts) – Outils mal contrôlés (FMI : erreur excel, plan d’austérité)

– Pression des délais (Apple : géolocalisation)

– Sondages/Etudes (Faux positif / Faux négatif (25%), Non Reproductible)


Tendances : L’information au cœur des « incidents » • Manipulation (avantage, torts)

– Rumeur (Obama : -136 MM$ en quelques minutes suite à un tweet),

– Modification non valide (Clearstream)

– Sabotage (Iran : Stuxnet et conséquences indirectes sur Air Liquide, Chevron)

– Saisie fictive (Opinion Internet, Enquête, Sondage, …)

– Ordre fictif (Coscia: trading à HF),

– Fraude (SG, UBS, Madoff, Olympus, … Libor, Forex, …)

– Communication de fausses infos (Toyota: tests qualité; Mattel : plomb, PMP : prothèses)

– Traçabilité (Spanghero : viande, Oceana : poisson)

– Trucage (Matchs sportifs)

• Perception

– Croyance / Biais : Temps de travail, Chômage, Croissance, Fiscalité, …

– Formulation : Positif / Négatif, Gains / Pertes, Pro-forma


Tendances : L’information au cœur des « incidents »

• Analyses (avantage, torts) – Automatisation des analyses et des opérations (Bourse NY : - 862 MM$

en quelques mn, Kraft : + 7MM$ en quelques secondes)

– Espionnage (Prism/Wikileaks,…; Times : scandale financier chinois; Renault : espionnage industriel)

– Vie privée (Nominations : CIA (Petrus), OTAN (Allen))

• Destruction (avantage, torts) – Obligation légale : Enron, Google (droit à l’oubli, au déréférencement)

• Opinion – Agences de notation (Enron, sub prime, …)

– Audits (HP : -12 MM$)

– Prévisions / Annonces : Analystes (AIG)


• Informatique « traditionnelle » plutôt absente • Nécessité d’un modèle spécifique pour traiter l’information

Editorial de Paul Krugman, prix Nobel d’Economie New York Times, Sept 2014

« First, Europe as a whole, is in deep trouble. Second, however, within that overall pattern of disaster, France’s performance is much better than you would guess from news report »

« France hasn’t done well since 2008 … but its overall GDP growth has been much better than the European average, beating not only the troubled economies of southern Europe but creditor nations like the Netherlands. »

« French job performance isn’t too bad. In fact, prime age adults are a lot more likely to be employed in France than in the United States. »

« Nor does France’s situation seem particularly fragile. It doesn’t have a large trade deficit, and it can borrow at historically low interest rates »

« France has big government and a generous welfare state, which free-market ideology says should lead to disaster. So disaster is what gets reported, even if it’s not what the numbers say »


Tendances Pas de prise de risques, pas de succès ?

• « You always must take the maximum risk, with the maximum precaution. » Rudyard Kipling

• If you are « in control », then you are not going fast enough (Mario Andretti)

• L’adversaire d’une vraie liberté est un désir excessif de sécurité (Jean de La Fontaine)

• “Playing it safe is the riskiest choice we can ever make.” Sarah Ban Breathnach

• “When you take risks you learn that there will be times when you succeed and there will be times when you fail, and both are equally important.” Ellen DeGeneres

• “Don't listen to the malicious comments of those friends who, never taking any risks themselves, can only see other people's failures.” Paulo Coelho

• “A woman's guess is much more accurate than a man's certainty.” Rudyard Kipling


• Prise de risque : Agressif vs Conservateur • Culture apprenante vs Culture du blâme • Conformité vs Non Conformité • Incitations et Aspects dissuasifs

Tendances Prise en compte des Incitations?

Raghuram Rajan, current governor of the Reserve Bank of India (In 2006, Chief Economist IMF) : Statement in 2005 to Central Bankers Meeting

• Under Greenspan, incentives had been artificially skewed in favor of the managers of the financial system, which reaped millenary rewards if things went fine but paid very little, if at all, when things turned sour. Things were likely to turn sour because the skewed incentives were offering incentive to those managers to take excessive risks.

• He then focused on the “credit default swaps” which promised to repay delinquent loans in exchange for moderate insurance premiums. Noting that nobody really knew how realistically these swaps were priced, Rajan said that the banks were probably taking excessive risks because they trusted that the insurer would repay them. In these circumstances, a sudden increase in defaulting loans could exceed the reserves of the insurer, leading to a financial crisis.

This is exactly what happened two years later, leading to the 2008 financial crisis

NB. En 2003, il publie une étude controversée sur les risques de pertes extrêmes, qui lui valent de nombreuses critiques, dont celles de l’ancien secrétaire d’Etat au Trésor américain Lawrence Summers le qualifiant de "réactionnaire".


Tendances Impératif

17

“…trust in, and value from,

information and information

systems…”


Tendances Confiance

18

• Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante

• Niveaux : Notion d’assurance raisonnable

• Objets : Leviers, Résultats

• Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques

• Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks

• Indicateurs de performance / conformité : moyens et résultats • Sans mesure, pas de contrôle, sans contrôle, pas de confiance

• Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, …

• Pérennité : Court terme vs Long terme, Agilité, Continuité

« La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. »


Impact des tendances


Impacts des Tendances

Passé Informatique Business Passé/Présent Informatique Business Présent/Future Informatique Business Numérique


Focus Informatique

Infrastructure Opérations

Applications Services

Business opérations Business bénéfices

Complexité :

Opportunité / Risques « 6V »

Volume

Variété

Vélocité

Virtualisation

Valeur

Vues

++

++

Passé Informatique Business Passé/Présent Informatique Business Présent/Futur Informatique Business Numérique

Impact des Tendances


Environnement Informatique

ERP, RH Manufacturing Accès Sécurisé

Données de Ventes

Infos Produits Estimés

Tableaux de Bord

Intégration données externes

Intégration Macro Visual analytics

Caractéristiques Informatiques

Orienté Technicité

Complication Rigueur Fiabilité

« Add-ons » Business

Rapide et simple

Orienté Business Imagination Réactivité

Agilité

Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.


Contexte Business •Support à l’automatisation des fonctions traditionnelles de gestion

(facturation, paye, compta, …)

•Gains d’efficacité, amélioration de la fiabilité, accès sécurisé

•Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting)

•Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi

•Développement business et transformation. Le business est numérique. Tout est numérique.

• mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, …

• partenaires, clients, fournisseurs, employés, communautés,… • interconnexion, partage, interaction, travail

•Pertinence business et survie • innovation, avantage compétitif, croissance pérenne, nouveaux

business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber

Impacts des Tendances Passé

Inf. Bus.

Passé/Présent

Inf. Bus.

Présent/Futur

Inf. Bus.

Num.

23


Rôle de la fonction Informatique •Central. Mène l’initiative. Plupart des préoccupations techniques. Reste

responsable des services externalisés.

• Environnement relativement stable

• Tel que ci-dessus + support technique au business (sélection/validation application/technologie) ou laissé au business.

•Business plus impliqué dans une mise en œuvre plus simple et facile

•Préoccupations spécifiques (fixation des priorités, responsabilité pour les « add-ons », gouvernance associée)

• Intégrateur informatique dans business. Conseiller du business. Orchestration. Vision/Anticipation. Gouvernance tendances.

•Plus complexe • Intérêts des parties prenantes, technologies et capacités multiples,

divers, en recouvrement, conflictuels • Fixation des priorités, management des conflits, incitations pertinentes,

contreparties, solutions imaginatives, agilité • Rôle plus flou business/informatique, responsabilité du business • Différents outils, directives, culture, structure, compétences

• Environnement non stable

•De plus, nécessité de manager l’infrastructure et opérations mentionnés au premier paragraphe (périmètre limité) de manière sécurisée

Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur

Inf. Bus. Num.


Solutions Informatiques •ERP. Management centralisé du développement et opérations

•Add-ons intégrés au système central moins réactifs aux besoins spécifiques du business

•Ou mise en œuvre simple et facile d’applications « end-users » (Excell, Access,…) et de matériel « end-users » (PC, poste de travail). Outils analytiques spécialisés(type SAS) moins contrôlés et moins fiables

•Mobiles/Apps multiples et puissants entre les mains du business (BYOD, BYOA) connectés en interne et en externe

•Accès, utilisation et échange d’information étendus (big data, « analytics » à haute vitesse, réseaux sociaux, localisation, …)

•Services IT étendus fournis par des sources externes mutualisées souvent à la demande (cloud, hybrid, HaaS, SaaS, consumérisation, puissance de calcul, communication et stockage)

• Intégration des services IT (multicanal, interactions, « legacy »)

• Intégration de l’utilisation de l’informations (professionnelle, personnelle, communautés, famille)

Impacts des Tendances Passé

Inf. Bus. Passé/Présent

Inf. Bus.

Présent/Futur

Inf. Bus. Num.


Réponse en matière de référentiel • Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique

•CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés.

•Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat.

•COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO

•Holistique, Systémique, Intégré au business.

•Focalisé sur parties prenantes (value for many, gouvernance est clé)

•Proposition de valeur intégrée (bénéfices, risques, ressources)

•Focalisation sur information versus technologie

•Ecosystème intégré : matériel, logiciel, services, technologies

•Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business)

•COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace

Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num.

26


Risques •Besoins matures, relativement stables. Solutions matures et efficaces.

Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible.

•Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques.

• Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques.

• Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque.

•Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.

Les référentiels actuels répondent-ils au nouveau contexte?


Les référentiels internationaux de SI Gouvernance et Management des SI

Comparaison avec le périmètre de COBIT 5

28

Plusieurs organisations utilisent plusieurs référentiels en combinaison Copyright ISACA


Plupart des référentiels actuels : Non prise en compte des tendances


Prise de décision (Gouvernance) Exécution et alignement (Management)

--

--

--

--

--

--

--

--

• Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, …

• Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, …

• Langage et terminologie : confusion, vue incomplète, perceptions, …

• Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, …

• Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, …

• Information : TI/SI versus Information, Valeur, Big Data, Applications, …

• Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, ….

• Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …

COBIT 5 potentiel : Prise en compte des tendances



++

++

++

++

++

++

+

++

• Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement








COBIT 5 avec aides actuels : Prise en compte partielle des tendances



+

+

+

+

-

+

+

+

• Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, …








Comment COBIT 5 peut répondre à ce nouveau contexte?


Governance and Management of Enterprise (Illustré pour l’IT)

COBIT 5

IT Governance

COBIT4.0/4.1

IT Management

COBIT3

IT Control

COBIT2

IT Audit

COBIT1

COBIT 5 (5ème version depuis 1996)

2005/7 2000 1998

Evo

lutio

n d

u p

érim

ètr

e

1996 2012

Val IT 2.0 (2008)

Risk IT (2009)


CobiT 1, 2, 3, 4 : Information Technology COBIT 5 : Information and related Technology

Copyright ISACA

COBIT 5 : Caractéristiques Clés

• 5 principes • Orienté Création de Valeur pour les Parties Prenantes • Couvrant l’Entreprise de Bout en Bout • Appliquant un Référentiel Intégré Unique • Favorisant une Approche Holistique • Distinguant la Gouvernance du Management

• 7 catégories de leviers • Processus • Information • Principes, Directives et Référentiels • Culture, Ethique et Comportements • Structures Organisationnelles • Aptitudes, Compétences , RH • Services, Infrastructure and Applic ations

• Création de Valeur : 3 objectifs intégrés • Bénéfices, Risques, Ressources

• Levier Processus • 3 aspects de gouvernance (EDM) : 5 processus • 4 aspects de management (PBRM) : 32 processus


• 4 dimensions génériques par levier • Parties Prenantes • Buts / Objectifs • Cycle de Vie • Bonnes Pratiques (attributs)

• 2 types d’indicateurs de Perfromance • Indicateurs de Résultats • Indicateurs de Moyens

Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs



• Mécanisme pour traduire

• Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….)

• Les intérêts et besoins des parties prenantes

en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables

• Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many)

• Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes

• Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)

Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance

37

• Quelles parties prenantes ? • Quels intérêts pour ces parties prenantes ?

• Quels bénéfices / avantages ? • Tangibles et intangibles ? • Bénéfices / Avantages pour qui?

• Quels risques ? • Risques pour qui ? • Appétence / Tolérance / Capacité ?

• Quelles ressources ? • Ressources pour qui ? • Utilisation efficiente et responsable ?

• Propositions de création de valeur • Préoccupation de gouvernance • Value for “Many”

• Aides (Technologies émergentes, …)

• Différents types et niveaux de valeur requis pour différentes parties prenantes • Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises?

Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014

Copyright ISACA

Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités



• Toutes les parties prenantes ont un rôle à jouer

• Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétence et de tolérance au risque, niveau de ressources à mobiliser

• Suivi de la performance et de la conformité à ces orientations

• Alignement stratégique • Planification • Conception et mise en œuvre des solutions • Exploitation • Suivi et contrôle

• Exécution

Principe 3 : « Enabling a Holistic Approach »



• Les interconnections illustrent le fait qu’un levier

• A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa)

• Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,…

• Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces

Principe 3 : « Enabling a Holistic Approach »

40

Favorisant une approche holistique, systémique et contextuelle intégrée Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014


Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes

- Identification des parties prenantes externes et internes

- Identification des intérêts et des objectifs des parties prenantes

- Connexion au cycle de vie et aux bonnes pratiques

- Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)

Principe 4 : « Applying a Single Framework »



• COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises:

• Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000

• IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI)

• Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise

• Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies)

• Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants

Principe 5 : « Separating Governance from Management »



Gouvernance (EDM)

La Gouvernance s’assure que

• Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre

• Les orientations soient fixées au travers de prioritisation et prise de décision

• Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré-déterminés

Management (PBRM)

Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise

Principe 5 : « Separating Governance from Management »

43

Copyright ISACA


• Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques

• Le modèle proposé est complet mais n’est pas le seul possible

• Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique

• Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance

COBIT 5 : Vue d’ensemble – COBIT 5 Framework

• A Business Framework for the Governance and Management of Enterprise IT (94 p)

– COBIT 5 Enabler Guides • Processes (37 IT processes) (230 p), Information (Business and IT) (90 p), …

– COBIT 5 Professional Guides • Implementation (78 p) + Toolkit (17 files), Risk (244 p) and Risk Scenarios (294 pages), Assurance

(318 p), Security (220 p), …

– Practices and Guidance using COBIT 5 • Configuration Management (88 p), Vendor Management, ... • COBIT Assessment Program : Model (144 p), Self Assessment (24 p), User Guide

– White Papers / Vision Series / Studies / Surveys • Social Media, Business Benefits and Security, Governance and Assurance Perspectives (10 p) • Cloud Computing, Business Benefits with Security, Governance and Assurance Perspectives (10 p) • Big Data Impacts and Benefits (14 p), Top Business / Technology Issues Survey Results (34 p), …

– Professionals Standards and Guidance • ITAF, A Professional Practices Framework for IS Audit / Assurance, 2nd Edition (93 p)

– Audit/Assurance Programs • Software Assurance (35 p), Outsourcing IT Environments (39 p), BYOD (39 p), …

– Knowledge Center (Over 100 topics : for each topic discussions, documents and publications, events, journal articles, external links, wikis, blog posts) • Performance Management, Business Analytics, Casinos and Gambling, Solvency 2, OS/400,…

– COBIT Focus (4 x year) : COBIT Case studies, Articles, Updates, …

– COBIT 5 Online : Multiphase project. Capabilities for accessing, understanding and applying COBIT 5


COBIT 5 : Vue spécifique (Sécurité de l’ Information)

– COBIT 5 Professional Guides • Information Security (220 p)

– Practices and Guidance using COBIT 5 • Securing Mobile Devices (138 p), Transforming Cyber Security (190 p), …

– White Papers / Vision Series / Studies / Surveys • Security as a Service: Business Benefits with Security, Governance and Assurance

Perspectives (18p) • Business Continuity Management, Emerging Trends (15 p) • Web Application Security, Business and Risk Considerations (16 p) • Security Considerations for Cloud Computing (80 p) • Advanced Persistent Threat (APT) Awareness Study Results (20 p), …

– Audit / Assurance programs • VPN Security (33 p), Biometrics (47 p), Voice-over Internet Protocol (VoIP) (42 p), …

– Knowledge Center • Security Tools, Physical Security, Network Security, …

– COBIT 5 Online • Vue spécifique sécurité


COBIT 5 : Etude Globale sur la Gouvernance (ISACA 2014)
