2.1.2.2 Le référentiel CobiT
Le CobiT est le résultat des travaux collectifs
réalisés par les principaux acteurs de la profession, auditeurs
internes ou externes, fédérés au sein de l'ISACA. Il a
été publié en 1996 par l'ITGI (Information Technologies
Gouvernance Institute) de l'ISACA. La généralisation de la SOX et
de ses déclinaisons locales ou sectorielles (IFRS, LSF, normes
Bâle II) ont considérablement renforcé le rôle des
auditeurs. Ces dispositions réglementaires ont
accéléré la diffusion de CobiT comme
référentiel de contrôle et de gouvernance des SI.
Le CobiT formalise le contrôle des processus et le suivi
de la performance et est devenu le référentiel des meilleures
pratiques en technologie de l'information. Le CobiT définit l'ensemble
des objectifs de contrôle reliés à l'évaluation des
services TI, ainsi que la méthodologie de mise en place associée.
Avec CobiT, la sécurité devient l'une des composantes de la
gouvernance en proposant des bonnes pratiques de gouvernance de la
sécurité de l'information. Cette dernière rejoint ainsi
l'univers de la gestion des risques. La sécurité de l'information
n'est plus seulement un sujet de technicien mais devient un enjeu de la
direction générale et des métiers. CobiT, en
développant l'alignement stratégique et l'apport de valeur des
systèmes d'information, met bien en évidence les risques que
l'absence de mesure de sécurité de l'information fait courir
à l'entreprise (Moisand et Garnier De Labareyre, 2009 : 214).
Le CobiT aborde la gouvernance de la sécurité de
l'information en s'intéressant à :
ü la prise en compte de la sécurité de
l'information dans l'alignementstratégique ;
ü la prise de mesures appropriées pour limiter les
risques et leurs conséquencespotentielles à un niveau acceptable
;
ü la connaissance et la protection des actifs ;
ü la gestion des ressources ;
ü la mesure pour s'assurer que les objectifs de
sécurité sont bien atteints ;
ü l'apport de valeur par l'optimisation des
investissements en matière desécurité de l'information
;
ü les bénéfices retirés ;
ü l'intégration de la sécurité de
l'information dans les processus.
Globalement, CobiT aborde la sécurité de
l'information dans plus de 20 processus sur 34. Mais les processus suivants
font apparaître une dimension sécurité importante dans les
objectifs de contrôle (Moisandet Garnier De Labareyre, 2009 : 214)
:
ü PO6 - Faire connaître les buts et orientations du
management
ü PO9 - Évaluer et gérer les risques
ü DS4 - Assurer un service continu
ü DS5 - Assurer la sécurité des
systèmes
Les ressources du CobiT constituent un modèle de bonnes
pratiques. Le référentiel CobiT fournit un ensemble
détaillé de contrôles et de techniques de contrôle
destiné aux environnements degestion des systèmes d'information.
Le CobiTestime que la gouvernance des systèmes d'information doit
être constituée des structures et processus de commandement et de
fonctionnement qui conduisent l'informatique de l'entreprise à soutenir
les stratégies et les objectifs de l'entreprise, et à lui
permettre de les élargir.Par conséquent, son utilisation permet
de comprendre les objectifs del'entreprise, de faire connaître les
meilleures pratiques et d'émettre des recommandations autour d'une
référence normative comprise et respectée detous.
| 
