COBIT est un référentiel de gouvernance publié par l’ISACA pour aligner l’IT au métier. La dernière mise à jour de 2019 peut être mise à profit pour améliorer la gouvernance cyber. Le référentiel comprend quatre publications principales consacrées à une description méthodologique, aux objectifs de gouvernance et de management, à la mise en œuvre et à l’optimisation des solutions de gouvernance. Une publication particulière est dédiée à COBIT pour appliquer le référentiel cyber du NIST, de plus en plus utilisé aux Etats-Unis mais aussi en Europe.
Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF, le référentiel CIS et COSO ERM et bien entendu la certification ISO 27001.
Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.
L’association ISACA est un acteur reconnu dans le domaine de la gouvernance IT. Créée en 1969 par un groupe d’auditeurs, l’ISACA est présente mondialement. Cette association est à l’origine du référentiel COBIT et propose plusieurs certifications professionnelles comme CISA en audit ou CRISC pour les risques. Le référentiel de gestion des risques IT de l’ISACA a été mis à jour récemment. Il traite l’ensemble des risques IT auxquels une entreprise est confrontée. Le référentiel comprend trois documents principaux : une description du cadre, un guide de mise en œuvre et des exemples de scénarios de risques.