COBIT

Aperçu

COBIT (Control Objectives for Information and Related Technologies) est un cadre de gouvernance et de gestion des TI développé par ISACA. Publiée pour la première fois en 1996, il fournit un cadre complet pour créer, maintenir et améliorer la gouvernance des TI d’une entreprise.

COBIT se distingue des cadres de sécurité purs car il couvre l’ensemble du paysage des TI de l’entreprise — gouvernance, risque, conformité, opérations et alignement stratégique. Il est particulièrement apprécié des grandes entreprises et des auditeurs.

Structure de COBIT 2019

COBIT 2019 est construit sur 6 objectifs de gouvernance, 5 processus habilitants et 40 objectifs de gestion :

Gouvernance vs. Gestion

|| Gouvernance (Conseil/Direction) | Gestion (Encadrement/Personnel) | ||——————————|——————————-| || EDM01 Assurer la définition et le maintien du cadre de gouvernance | APO00 Gérer le cadre de gestion des TI | || EDM02 Assurer la livraison des avantages | APO01 Gérer la gouvernance | || EDM03 Assurer l’optimisation des risques | APO02 Gérer la stratégie | || EDM04 Assurer l’optimisation des ressources | APO03 Gérer l’architecture | || EDM05 Assurer l’engagement des parties prenantes | APO04 Gérer l’innovation | || EDM06 Assurer la conformité | APO05 Gérer le portefeuille | || | APO06 Gérer la budgétisation | || | APO07 Gérer les ressources humaines | || | APO08 Gérer les relations | || | APO09 Gérer les achats | || | APO10 Gérer le changement | || | APO11 Gérer les risques | || | APO12 Gérer la sécurité | || | BAI01 Gérer les programmes | || | BAI02 Gérer les exigences | || | BAI03 Gérer les solutions | || | BAI04 Gérer la disponibilité | || | BAI05 Gérer l’intégration | || | BAI06 Gérer le changement | || | BAI07 Gérer les actifs | || | BAI08 Gérer la configuration | || | DSS01 Gérer les opérations | || | DSS02 Gérer les services de sécurité | || | DSS03 Gérer les contrôles des processus métier | || | DSS04 Gérer la continuité | || | DSS05 Gérer les incidents | || | DSS06 Gérer les audits | || | DSS07 Gérer les événements de sécurité | || | MEA01 Surveiller, évaluer, évaluer la performance | || | MEA02 Surveiller, évaluer, évaluer la conformité | || | MEA03 Surveiller, évaluer, évaluer la conformité |

Facteurs de conception

COBIT 2019 introduit des facteurs de conception qui personnalisent le cadre selon le contexte de l’entreprise :

  • Stratégie, taille, paysage de menaces, exigences de conformité, modèle d’engagement des TI, décisions de sourcing, références sectorielles, exigences de sécurité, appétit pour le risque, gestion de la performance et normes de contrôle interne.

Concepts clés

  • Couverture de bout en bout de l’entreprise — de la stratégie aux opérations
  • Cascade des objectifs — relie les objectifs de l’entreprise aux objectifs liés aux TI, puis aux objectifs des facilitateurs
  • Modèle de maturité — évaluation de la capacité de 0 (incomplet) à 5 (optimisé)
  • Modèle de référence des processus — 40 objectifs de gestion dans les domaines EDM, APO, BAI, DSS, MEA

Relation avec d’autres cadres

  • ISO 27001 — COBIT fournit le contexte de gouvernance ; ISO 27001 fournit l’implémentation de l’SIMS
  • ITIL — COBIT gouverne ; ITIL guide la gestion des services TI
  • NIST CSF — COBIT est plus large (gouvernance) ; NIST CSF est plus étroit (cybersécurité)
  • technologies/security-frameworks/iso-27001.md | ISO 27001 — gestion de la sécurité de l’information
  • technologies/security-frameworks/nist-csf.md | NIST Cybersecurity Framework — gestion des risques de cybersécurité