Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.

Le référentiel

Une nouvelle version du référentiel a été publié en 2019 par l’ISACA. COBIT fait une distinction claire entre la gouvernance et le management. La gouvernance IT se concentre sur la stratégie : les besoins des parties prenantes, les grandes orientations, les mécanismes décisionnels et le suivi de la performance et de la conformité. Le management IT se focalise sur la tactique : la planification, la conception, l’exploitation et la supervision des activités pour s’aligner sur la stratégie définie par la gouvernance.

Les principales publications du référentiel sont les suivantes :

• Une introduction qui définit la méthodologie.
• Les objectifs de gouvernance et de management.
• La conception de la gouvernance et du management.
• La mise en œuvre et l’optimisation de la gouvernance et du management.

Les parties prenantes internes comprennent :

• Le conseil d’administration et les différents comités.
• La direction générale et son comité de direction.
• La gestion du risque.
• L’audit.
• Les managers métiers.
• Les managers IT.

Les parties prenantes externes correspondent aux :

• Régulateurs.
• Partenaires métiers.
• Sous-traitants IT.

Principes de gouvernance

Dans COBIT 2019, on distingue 6 principes de gouvernance :

• Création de valeur pour les parties prenantes.
• Approche globale.
• Système dynamique.
• Distinction entre gouvernance et management.
• Adaptation aux besoins métiers.
• Système de bout en bout.

Objectifs

Les objectifs sont groupés dans 5 domaines :

• Le premier pour la gouvernance : EDM (Evaluate, Direct and Monitor).

Par exemple, EDM03 de concentre sur la gestion des risques IT (voir le référentiel de l'ISACA sur la gestion des risques IT).

• Les quatre suivants pour le management : APO (Align, Plan and Organize); BAI (Build, Acquire and Implement), DSS (Deliver, Service and Support) et MEA (Monitor, Evaluate and Assess). Par exemple, DSS05 traite de la gestion des services de sécurité.

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :