COBIT.

COBIT est le référentiel ISACA pour la gouvernance et la gestion des technologies de l'information en entreprise. L'édition en vigueur est COBIT 2019. C'est le référentiel utilisé par les Big Four pour évaluer la maturité de la gouvernance IT, et la référence pour la certification CGEIT. Plus stratégique que ISO 27001 ; moins prescriptif que NIST.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyAudit & complianceAll entries

La vision de Cyber Academy

COBIT est le référentiel ISACA pour la gouvernance et la gestion des technologies de l'information en entreprise. L'édition en vigueur est COBIT 2019. C'est le référentiel utilisé par les Big Four pour évaluer la maturité de la gouvernance IT, et la référence pour la certification CGEIT. Plus stratégique que ISO 27001 ; moins prescriptif que NIST.

Ce que COBIT gouverne réellement

COBIT est le référentiel de l'ISACA pour la gouvernance et la gestion des systèmes d'information de l'entreprise. Sa distinction fondamentale, et celle sur laquelle les praticiens butent le plus, est la frontière qu'il trace entre gouvernance et gestion. La gouvernance relève du conseil d'administration et de la direction générale : fixer le cap, évaluer les options et surveiller les résultats. La gestion concerne la planification, la construction, l'exploitation et le suivi des activités qui concrétisent ce cap. COBIT maintient ces deux dimensions comme des domaines distincts, afin que les personnes qui décident de ce que l'informatique doit accomplir ne soient pas celles qui rendent compte de sa réalisation.

Cette séparation explique pourquoi les auditeurs se tournent vers COBIT lorsqu'une norme de sécurité de l'information ne suffit pas. ISO 27001 vous dit comment faire fonctionner un système de management de la sécurité de l'information. NIST vous fournit un catalogue de mesures et de résultats. COBIT se situe au-dessus des deux : il répond à la question de savoir si l'informatique dans son ensemble est orientée vers les objectifs de l'entreprise, si le risque et les ressources sont gérés de façon responsable, et si les parties prenantes obtiennent de la valeur. Il est plus large que la sécurité et délibérément moins prescriptif qu'une liste de mesures.

La structure de COBIT 2019

L'édition actuelle est COBIT 2019. Elle organise le travail en objectifs regroupés sous des domaines de gouvernance et de gestion, et associe à chacun les composants nécessaires à son fonctionnement : processus, structures organisationnelles, politiques, flux d'information, culture, compétences et services. L'idée est qu'un processus sur le papier ne signifie rien si les structures, les compétences et la culture qui l'entourent font défaut ; COBIT vous oblige donc à les examiner tous ensemble.

Deux idées rendent COBIT 2019 exploitable en pratique, et non simplement une affiche au mur :

  • Les facteurs de conception. La stratégie de l'entreprise, le profil de risque, les exigences de conformité, le rôle de l'informatique et le modèle de sourcing déterminent tous les objectifs qui méritent attention. COBIT ne suppose pas que chaque organisation a besoin du même système de gouvernance : vous adaptez le référentiel au contexte plutôt que de l'adopter tel quel.
  • La capacité et la maturité. Chaque objectif de gouvernance et de gestion peut être évalué sur une échelle de capacité, et le référentiel prend aussi en charge une vision de la maturité par domaines d'intérêt. C'est ainsi que les Big Four et les équipes d'audit interne produisent une image défendable du « où en sommes-nous, où devrions-nous être » plutôt qu'une opinion subjective.

Où COBIT se situe par rapport aux autres référentiels

Les praticiens utilisent presque toujours COBIT en parallèle d'autres référentiels plutôt qu'à leur place. Un schéma courant : COBIT définit les objectifs de gouvernance et la base de référence de maturité, ISO 27001 opérationnalise la sécurité de l'information, ITIL prend en charge la gestion des services, et un référentiel de risque alimente l'image du risque. COBIT devient l'ombrelle qui montre comment ces éléments servent les objectifs de l'entreprise et où se trouvent les écarts.

COBIT comparé aux référentiels voisins
RéférentielObjet principalPosture
COBITGouvernance et gestion des systèmes d'information de l'entrepriseStratégique, au niveau du référentiel, adapté au contexte
ISO 27001Système de management de la sécurité de l'informationCertifiable, opérationnel, périmètre sécurité
Référentiels NISTRésultats de cybersécurité et catalogues de mesuresDétaillé, prescriptif, orienté mesures
ITILGestion des services informatiquesOpérationnel, axé sur la fourniture de services

COBIT constitue aussi le corpus de connaissances qui sous-tend la certification CGEIT de l'ISACA, destinée aux professionnels responsables de la gouvernance des systèmes d'information de l'entreprise. Si votre rôle consiste à assurer ou à concevoir la manière dont l'informatique est pilotée au niveau du conseil, COBIT est le référentiel de référence et CGEIT la certification correspondante.

Frequently asked questions

01COBIT est-il un référentiel de sécurité comme ISO 27001 ?

Non. COBIT gouverne et gère les systèmes d'information de l'entreprise dans leur ensemble, pas seulement la sécurité de l'information. ISO 27001 est une norme certifiable de management de la sécurité qui opérationnalise une partie de ce que COBIT supervise. De nombreuses organisations utilisent les deux, avec COBIT comme ombrelle de gouvernance et ISO 27001 à l'intérieur.

02Quelle est la version actuelle de COBIT ?

COBIT 2019 est l'édition actuelle. Elle a introduit les facteurs de conception pour adapter le système de gouvernance au contexte d'une organisation et a affiné le modèle d'évaluation de la capacité et de la maturité.

03Quelle est la différence entre gouvernance et gestion dans COBIT ?

La gouvernance est la responsabilité du conseil et de la direction d'évaluer les options, de fixer le cap et de surveiller les résultats. La gestion planifie, construit, exploite et suit les activités qui concrétisent ce cap. COBIT les maintient dans des domaines distincts afin que les décideurs et ceux qui mettent en œuvre n'évaluent pas leur propre travail.

04Obtient-on une certification en COBIT ?

Les organisations ne sont pas certifiées au regard de COBIT comme elles certifient un SMSI ISO 27001. Les individus peuvent obtenir des certifications COBIT de l'ISACA, et COBIT constitue le corpus de connaissances sous-jacent de la certification CGEIT en gouvernance des systèmes d'information de l'entreprise.

05Pourquoi les auditeurs utilisent-ils COBIT ?

COBIT offre une manière structurée et défendable d'évaluer la qualité de la gouvernance de l'informatique au regard des objectifs de l'entreprise, à l'aide d'évaluations de capacité et de maturité. Cela donne aux équipes d'audit une base de référence objective et une image des écarts plutôt qu'une opinion subjective.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.