2. La gouvernance des systèmes d'information (SI) est un processus
de gestion qui vise à s'assurer que les SI sont alignés sur les
objectifs stratégiques de l'entreprise, qu'ils sont gérés de manière
efficace et efficiente, et qu'ils sont en mesure de fournir de la
valeur à l'entreprise.
3. Modèle de la gouvernance des SI:
• Dans le cadre de la gouvernance des SI, il existe différents
modèles de gouvernance, qui ont pour objectif de guider les
entreprises dans leur processus de gouvernance des SI. Ces
modèles peuvent être utilisés comme références pour élaborer
une stratégie de gouvernance des SI adaptée aux besoins de
l'entreprise. Les modèles les plus couramment utilisés sont :
4. Le modèle COBIT
• Le modèle COBIT (Control Objectives for Information and
Related Technology) : COBIT est un cadre de référence qui vise à
aider les entreprises à gérer et à contrôler efficacement leurs SI.
COBIT couvre l'ensemble du cycle de vie des SI, de la
planification à la mise en œuvre, en passant par l'exploitation et
l'amélioration continue.
5. Le modèle ITIL
Le modèle ITIL (Information Technology Infrastructure Library) :
ITIL est un cadre de référence pour la gestion des services
informatiques. ITIL fournit des bonnes pratiques pour la gestion
de services informatiques, depuis la planification jusqu'à la mise
en œuvre et l'amélioration continue.
6. Le modèle ISO 38500
Le modèle ISO 38500 : ISO 38500 est une norme internationale
qui vise à aider les entreprises à gouverner efficacement leurs SI.
ISO 38500 fournit un ensemble de principes, de processus et de
bonnes pratiques pour la gouvernance des SI.
7. Les normes de la gouvernance des SI
Les normes de la gouvernance des SI sont des outils essentiels pour
les entreprises qui cherchent à améliorer leur gouvernance des SI et à
atteindre les objectifs de leur organisation. Voici des détails sur les
normes les plus couramment utilisées dans la gouvernance des SI :
• La norme ISO/IEC 38500
• Le standard ISO/IEC 27001
• Le standard ISO/IEC 20000
8. La norme ISO/IEC 38500
La norme ISO/IEC 38500 : Cette norme internationale fournit un
cadre de référence pour la gouvernance des SI. Elle décrit les
principes de gouvernance des SI et fournit des recommandations
pour leur mise en œuvre. La norme ISO/IEC 38500 se concentre
sur les rôles et les responsabilités de la direction de l'entreprise
dans la gouvernance des SI. Elle établit également des principes
pour l'utilisation et la gestion des SI dans le contexte des
objectifs stratégiques de l'entreprise. En utilisant cette norme, les
entreprises peuvent s'assurer que leur gouvernance des SI est
alignée sur leur stratégie globale.
9. Le standard ISO/IEC 27001
Le standard ISO/IEC 27001 : Ce standard définit les exigences
relatives à la mise en place d'un système de management de la
sécurité de l'information (SMSI). Il fournit un cadre de référence
pour la gestion de la sécurité de l'information. Le SMSI est une
approche systématique de la gestion de la sécurité de
l'information dans l'entreprise. Le standard ISO/IEC 27001 fournit
des exigences pour la mise en place d'un SMSI, y compris des
directives pour l'évaluation des risques, la mise en place de
politiques de sécurité de l'information et l'identification et la
gestion des incidents de sécurité. Ce standard est largement
utilisé pour garantir la confidentialité, l'intégrité et la disponibilité
des informations dans les organisations.
10. Le standard ISO/IEC 20000
Le standard ISO/IEC 20000 : Ce standard définit les exigences
relatives à la mise en place d'un système de management des
services informatiques (SMSI). Il fournit un cadre de référence
pour la gestion des services informatiques. Le SMSI est une
approche systématique de la gestion des services informatiques
dans l'entreprise. Le standard ISO/IEC 20000 fournit des
exigences pour la mise en place d'un SMSI, y compris des
directives pour la gestion des niveaux de service, la gestion des
incidents, la gestion des problèmes, la gestion de la continuité
des services et la gestion des changements. Ce standard est
largement utilisé pour garantir la qualité des services
informatiques fournis aux utilisateurs.
11. • En utilisant ces normes dans leur processus de gouvernance
des SI, les entreprises peuvent améliorer leur gestion des SI,
leur sécurité de l'information et la qualité de leurs services
informatiques. Ces normes sont également utiles pour garantir
la conformité aux réglementations et aux exigences légales.
12. Exercice 1:
• Votre entreprise souhaite améliorer sa gouvernance des SI en se
basant sur le modèle COBIT. Vous avez été chargé(e) de proposer
une solution pour mettre en place un processus de gestion des
risques basé sur COBIT.
• Proposez les étapes clés pour mettre en place ce processus de
gestion des risques, en expliquant comment chaque étape
contribuera à améliorer la gouvernance des SI de l'entreprise.
13. Solution:
Étapes clés :
1.Identifier les actifs informatiques :
La première étape pour mettre en place un processus de gestion des
risques basé sur COBIT consiste à identifier tous les actifs
informatiques de l'entreprise. Cela inclut les applications, les bases de
données, les serveurs, les équipements réseaux, les données
sensibles, etc. Cette étape permettra à l'entreprise de comprendre
l'étendue de son environnement informatique et de commencer à
évaluer les risques associés à chaque actif.
2.Évaluer les risques :
Une fois les actifs informatiques identifiés, l'entreprise doit évaluer les
risques associés à chaque actif. Cette évaluation doit prendre en
compte l'impact potentiel sur l'entreprise en cas de violation de la
sécurité, ainsi que la probabilité que cela se produise. COBIT propose
des outils pour évaluer les risques, tels que le cadre de gestion des
risques et le tableau de bord des risques.
14. 3.Définir les contrôles de sécurité :
Après avoir évalué les risques, l'entreprise doit définir les contrôles de
sécurité nécessaires pour minimiser les risques identifiés. Ces
contrôles peuvent inclure des politiques de sécurité, des procédures
de sécurité, des mesures de sécurité techniques, etc. Les contrôles
de sécurité doivent être adaptés aux risques identifiés pour assurer
leur efficacité.
4.Mettre en place les contrôles de sécurité :
Une fois que les contrôles de sécurité ont été définis, l'entreprise doit
les mettre en place dans son environnement informatique. Cette étape
peut impliquer la mise à jour des politiques de sécurité, la mise en
œuvre de nouveaux outils de sécurité, la formation des employés sur
les pratiques de sécurité, etc. Cette étape est importante pour assurer
que les contrôles de sécurité sont effectifs et opérationnels.
15. 5.Évaluer l'efficacité des contrôles de sécurité :
La dernière étape consiste à évaluer l'efficacité des contrôles de
sécurité mis en place. Cela peut être effectué en utilisant des outils de
surveillance, tels que des audits de sécurité ou des analyses de
vulnérabilité. Cette évaluation permettra à l'entreprise de s'assurer
que les risques identifiés sont bien gérés et que les contrôles de
sécurité sont efficaces.
En suivant ces étapes, l'entreprise pourra mettre en place un
processus de gestion des risques basé sur COBIT qui contribuera à
améliorer la gouvernance des SI de l'entreprise. En identifiant les
actifs informatiques, en évaluant les risques, en définissant les
contrôles de sécurité, en les mettant en place et en évaluant leur
efficacité, l'entreprise sera mieux équipée pour gérer les risques liés à
ses systèmes informatiques.