SlideShare une entreprise Scribd logo
Cadre de référence pour
la gouvernance des SI
Anis BOUBAKRI
La gouvernance des systèmes d'information (SI) est un processus
de gestion qui vise à s'assurer que les SI sont alignés sur les
objectifs stratégiques de l'entreprise, qu'ils sont gérés de manière
efficace et efficiente, et qu'ils sont en mesure de fournir de la
valeur à l'entreprise.
Modèle de la gouvernance des SI:
• Dans le cadre de la gouvernance des SI, il existe différents
modèles de gouvernance, qui ont pour objectif de guider les
entreprises dans leur processus de gouvernance des SI. Ces
modèles peuvent être utilisés comme références pour élaborer
une stratégie de gouvernance des SI adaptée aux besoins de
l'entreprise. Les modèles les plus couramment utilisés sont :
Le modèle COBIT
• Le modèle COBIT (Control Objectives for Information and
Related Technology) : COBIT est un cadre de référence qui vise à
aider les entreprises à gérer et à contrôler efficacement leurs SI.
COBIT couvre l'ensemble du cycle de vie des SI, de la
planification à la mise en œuvre, en passant par l'exploitation et
l'amélioration continue.
Le modèle ITIL
Le modèle ITIL (Information Technology Infrastructure Library) :
ITIL est un cadre de référence pour la gestion des services
informatiques. ITIL fournit des bonnes pratiques pour la gestion
de services informatiques, depuis la planification jusqu'à la mise
en œuvre et l'amélioration continue.
Le modèle ISO 38500
Le modèle ISO 38500 : ISO 38500 est une norme internationale
qui vise à aider les entreprises à gouverner efficacement leurs SI.
ISO 38500 fournit un ensemble de principes, de processus et de
bonnes pratiques pour la gouvernance des SI.
Les normes de la gouvernance des SI
Les normes de la gouvernance des SI sont des outils essentiels pour
les entreprises qui cherchent à améliorer leur gouvernance des SI et à
atteindre les objectifs de leur organisation. Voici des détails sur les
normes les plus couramment utilisées dans la gouvernance des SI :
• La norme ISO/IEC 38500
• Le standard ISO/IEC 27001
• Le standard ISO/IEC 20000
La norme ISO/IEC 38500
La norme ISO/IEC 38500 : Cette norme internationale fournit un
cadre de référence pour la gouvernance des SI. Elle décrit les
principes de gouvernance des SI et fournit des recommandations
pour leur mise en œuvre. La norme ISO/IEC 38500 se concentre
sur les rôles et les responsabilités de la direction de l'entreprise
dans la gouvernance des SI. Elle établit également des principes
pour l'utilisation et la gestion des SI dans le contexte des
objectifs stratégiques de l'entreprise. En utilisant cette norme, les
entreprises peuvent s'assurer que leur gouvernance des SI est
alignée sur leur stratégie globale.
Le standard ISO/IEC 27001
Le standard ISO/IEC 27001 : Ce standard définit les exigences
relatives à la mise en place d'un système de management de la
sécurité de l'information (SMSI). Il fournit un cadre de référence
pour la gestion de la sécurité de l'information. Le SMSI est une
approche systématique de la gestion de la sécurité de
l'information dans l'entreprise. Le standard ISO/IEC 27001 fournit
des exigences pour la mise en place d'un SMSI, y compris des
directives pour l'évaluation des risques, la mise en place de
politiques de sécurité de l'information et l'identification et la
gestion des incidents de sécurité. Ce standard est largement
utilisé pour garantir la confidentialité, l'intégrité et la disponibilité
des informations dans les organisations.
Le standard ISO/IEC 20000
Le standard ISO/IEC 20000 : Ce standard définit les exigences
relatives à la mise en place d'un système de management des
services informatiques (SMSI). Il fournit un cadre de référence
pour la gestion des services informatiques. Le SMSI est une
approche systématique de la gestion des services informatiques
dans l'entreprise. Le standard ISO/IEC 20000 fournit des
exigences pour la mise en place d'un SMSI, y compris des
directives pour la gestion des niveaux de service, la gestion des
incidents, la gestion des problèmes, la gestion de la continuité
des services et la gestion des changements. Ce standard est
largement utilisé pour garantir la qualité des services
informatiques fournis aux utilisateurs.
• En utilisant ces normes dans leur processus de gouvernance
des SI, les entreprises peuvent améliorer leur gestion des SI,
leur sécurité de l'information et la qualité de leurs services
informatiques. Ces normes sont également utiles pour garantir
la conformité aux réglementations et aux exigences légales.
Exercice 1:
• Votre entreprise souhaite améliorer sa gouvernance des SI en se
basant sur le modèle COBIT. Vous avez été chargé(e) de proposer
une solution pour mettre en place un processus de gestion des
risques basé sur COBIT.
• Proposez les étapes clés pour mettre en place ce processus de
gestion des risques, en expliquant comment chaque étape
contribuera à améliorer la gouvernance des SI de l'entreprise.
Solution:
Étapes clés :
1.Identifier les actifs informatiques :
La première étape pour mettre en place un processus de gestion des
risques basé sur COBIT consiste à identifier tous les actifs
informatiques de l'entreprise. Cela inclut les applications, les bases de
données, les serveurs, les équipements réseaux, les données
sensibles, etc. Cette étape permettra à l'entreprise de comprendre
l'étendue de son environnement informatique et de commencer à
évaluer les risques associés à chaque actif.
2.Évaluer les risques :
Une fois les actifs informatiques identifiés, l'entreprise doit évaluer les
risques associés à chaque actif. Cette évaluation doit prendre en
compte l'impact potentiel sur l'entreprise en cas de violation de la
sécurité, ainsi que la probabilité que cela se produise. COBIT propose
des outils pour évaluer les risques, tels que le cadre de gestion des
risques et le tableau de bord des risques.
3.Définir les contrôles de sécurité :
Après avoir évalué les risques, l'entreprise doit définir les contrôles de
sécurité nécessaires pour minimiser les risques identifiés. Ces
contrôles peuvent inclure des politiques de sécurité, des procédures
de sécurité, des mesures de sécurité techniques, etc. Les contrôles
de sécurité doivent être adaptés aux risques identifiés pour assurer
leur efficacité.
4.Mettre en place les contrôles de sécurité :
Une fois que les contrôles de sécurité ont été définis, l'entreprise doit
les mettre en place dans son environnement informatique. Cette étape
peut impliquer la mise à jour des politiques de sécurité, la mise en
œuvre de nouveaux outils de sécurité, la formation des employés sur
les pratiques de sécurité, etc. Cette étape est importante pour assurer
que les contrôles de sécurité sont effectifs et opérationnels.
5.Évaluer l'efficacité des contrôles de sécurité :
La dernière étape consiste à évaluer l'efficacité des contrôles de
sécurité mis en place. Cela peut être effectué en utilisant des outils de
surveillance, tels que des audits de sécurité ou des analyses de
vulnérabilité. Cette évaluation permettra à l'entreprise de s'assurer
que les risques identifiés sont bien gérés et que les contrôles de
sécurité sont efficaces.
En suivant ces étapes, l'entreprise pourra mettre en place un
processus de gestion des risques basé sur COBIT qui contribuera à
améliorer la gouvernance des SI de l'entreprise. En identifiant les
actifs informatiques, en évaluant les risques, en définissant les
contrôles de sécurité, en les mettant en place et en évaluant leur
efficacité, l'entreprise sera mieux équipée pour gérer les risques liés à
ses systèmes informatiques.

Contenu connexe

Similaire à Chap2 gouvernance des SI.pptx

SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
Anthony Delannoy
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
Abdeslam Menacere
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
Présentation 04 IHEC CARTHAGE COBIT.PPT
Présentation 04  IHEC CARTHAGE COBIT.PPTPrésentation 04  IHEC CARTHAGE COBIT.PPT
Présentation 04 IHEC CARTHAGE COBIT.PPT
IbrahimNjeh2
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
ssuserc72852
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
SERGE ROMARIC BASSOMO
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
Asmae Rabhi
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Cobit
Cobit Cobit
Projet structure organisationnelle
Projet structure organisationnelleProjet structure organisationnelle
Projet structure organisationnelle
feriel abidi
 

Similaire à Chap2 gouvernance des SI.pptx (20)

SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Gouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantesGouvernance du système d'information et parties prenantes
Gouvernance du système d'information et parties prenantes
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Présentation 04 IHEC CARTHAGE COBIT.PPT
Présentation 04  IHEC CARTHAGE COBIT.PPTPrésentation 04  IHEC CARTHAGE COBIT.PPT
Présentation 04 IHEC CARTHAGE COBIT.PPT
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
exposé sécurité
exposé sécuritéexposé sécurité
exposé sécurité
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
 
Cobit v4.1
Cobit v4.1Cobit v4.1
Cobit v4.1
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Cobit
Cobit Cobit
Cobit
 
Projet structure organisationnelle
Projet structure organisationnelleProjet structure organisationnelle
Projet structure organisationnelle
 

Chap2 gouvernance des SI.pptx

  • 1. Cadre de référence pour la gouvernance des SI Anis BOUBAKRI
  • 2. La gouvernance des systèmes d'information (SI) est un processus de gestion qui vise à s'assurer que les SI sont alignés sur les objectifs stratégiques de l'entreprise, qu'ils sont gérés de manière efficace et efficiente, et qu'ils sont en mesure de fournir de la valeur à l'entreprise.
  • 3. Modèle de la gouvernance des SI: • Dans le cadre de la gouvernance des SI, il existe différents modèles de gouvernance, qui ont pour objectif de guider les entreprises dans leur processus de gouvernance des SI. Ces modèles peuvent être utilisés comme références pour élaborer une stratégie de gouvernance des SI adaptée aux besoins de l'entreprise. Les modèles les plus couramment utilisés sont :
  • 4. Le modèle COBIT • Le modèle COBIT (Control Objectives for Information and Related Technology) : COBIT est un cadre de référence qui vise à aider les entreprises à gérer et à contrôler efficacement leurs SI. COBIT couvre l'ensemble du cycle de vie des SI, de la planification à la mise en œuvre, en passant par l'exploitation et l'amélioration continue.
  • 5. Le modèle ITIL Le modèle ITIL (Information Technology Infrastructure Library) : ITIL est un cadre de référence pour la gestion des services informatiques. ITIL fournit des bonnes pratiques pour la gestion de services informatiques, depuis la planification jusqu'à la mise en œuvre et l'amélioration continue.
  • 6. Le modèle ISO 38500 Le modèle ISO 38500 : ISO 38500 est une norme internationale qui vise à aider les entreprises à gouverner efficacement leurs SI. ISO 38500 fournit un ensemble de principes, de processus et de bonnes pratiques pour la gouvernance des SI.
  • 7. Les normes de la gouvernance des SI Les normes de la gouvernance des SI sont des outils essentiels pour les entreprises qui cherchent à améliorer leur gouvernance des SI et à atteindre les objectifs de leur organisation. Voici des détails sur les normes les plus couramment utilisées dans la gouvernance des SI : • La norme ISO/IEC 38500 • Le standard ISO/IEC 27001 • Le standard ISO/IEC 20000
  • 8. La norme ISO/IEC 38500 La norme ISO/IEC 38500 : Cette norme internationale fournit un cadre de référence pour la gouvernance des SI. Elle décrit les principes de gouvernance des SI et fournit des recommandations pour leur mise en œuvre. La norme ISO/IEC 38500 se concentre sur les rôles et les responsabilités de la direction de l'entreprise dans la gouvernance des SI. Elle établit également des principes pour l'utilisation et la gestion des SI dans le contexte des objectifs stratégiques de l'entreprise. En utilisant cette norme, les entreprises peuvent s'assurer que leur gouvernance des SI est alignée sur leur stratégie globale.
  • 9. Le standard ISO/IEC 27001 Le standard ISO/IEC 27001 : Ce standard définit les exigences relatives à la mise en place d'un système de management de la sécurité de l'information (SMSI). Il fournit un cadre de référence pour la gestion de la sécurité de l'information. Le SMSI est une approche systématique de la gestion de la sécurité de l'information dans l'entreprise. Le standard ISO/IEC 27001 fournit des exigences pour la mise en place d'un SMSI, y compris des directives pour l'évaluation des risques, la mise en place de politiques de sécurité de l'information et l'identification et la gestion des incidents de sécurité. Ce standard est largement utilisé pour garantir la confidentialité, l'intégrité et la disponibilité des informations dans les organisations.
  • 10. Le standard ISO/IEC 20000 Le standard ISO/IEC 20000 : Ce standard définit les exigences relatives à la mise en place d'un système de management des services informatiques (SMSI). Il fournit un cadre de référence pour la gestion des services informatiques. Le SMSI est une approche systématique de la gestion des services informatiques dans l'entreprise. Le standard ISO/IEC 20000 fournit des exigences pour la mise en place d'un SMSI, y compris des directives pour la gestion des niveaux de service, la gestion des incidents, la gestion des problèmes, la gestion de la continuité des services et la gestion des changements. Ce standard est largement utilisé pour garantir la qualité des services informatiques fournis aux utilisateurs.
  • 11. • En utilisant ces normes dans leur processus de gouvernance des SI, les entreprises peuvent améliorer leur gestion des SI, leur sécurité de l'information et la qualité de leurs services informatiques. Ces normes sont également utiles pour garantir la conformité aux réglementations et aux exigences légales.
  • 12. Exercice 1: • Votre entreprise souhaite améliorer sa gouvernance des SI en se basant sur le modèle COBIT. Vous avez été chargé(e) de proposer une solution pour mettre en place un processus de gestion des risques basé sur COBIT. • Proposez les étapes clés pour mettre en place ce processus de gestion des risques, en expliquant comment chaque étape contribuera à améliorer la gouvernance des SI de l'entreprise.
  • 13. Solution: Étapes clés : 1.Identifier les actifs informatiques : La première étape pour mettre en place un processus de gestion des risques basé sur COBIT consiste à identifier tous les actifs informatiques de l'entreprise. Cela inclut les applications, les bases de données, les serveurs, les équipements réseaux, les données sensibles, etc. Cette étape permettra à l'entreprise de comprendre l'étendue de son environnement informatique et de commencer à évaluer les risques associés à chaque actif. 2.Évaluer les risques : Une fois les actifs informatiques identifiés, l'entreprise doit évaluer les risques associés à chaque actif. Cette évaluation doit prendre en compte l'impact potentiel sur l'entreprise en cas de violation de la sécurité, ainsi que la probabilité que cela se produise. COBIT propose des outils pour évaluer les risques, tels que le cadre de gestion des risques et le tableau de bord des risques.
  • 14. 3.Définir les contrôles de sécurité : Après avoir évalué les risques, l'entreprise doit définir les contrôles de sécurité nécessaires pour minimiser les risques identifiés. Ces contrôles peuvent inclure des politiques de sécurité, des procédures de sécurité, des mesures de sécurité techniques, etc. Les contrôles de sécurité doivent être adaptés aux risques identifiés pour assurer leur efficacité. 4.Mettre en place les contrôles de sécurité : Une fois que les contrôles de sécurité ont été définis, l'entreprise doit les mettre en place dans son environnement informatique. Cette étape peut impliquer la mise à jour des politiques de sécurité, la mise en œuvre de nouveaux outils de sécurité, la formation des employés sur les pratiques de sécurité, etc. Cette étape est importante pour assurer que les contrôles de sécurité sont effectifs et opérationnels.
  • 15. 5.Évaluer l'efficacité des contrôles de sécurité : La dernière étape consiste à évaluer l'efficacité des contrôles de sécurité mis en place. Cela peut être effectué en utilisant des outils de surveillance, tels que des audits de sécurité ou des analyses de vulnérabilité. Cette évaluation permettra à l'entreprise de s'assurer que les risques identifiés sont bien gérés et que les contrôles de sécurité sont efficaces. En suivant ces étapes, l'entreprise pourra mettre en place un processus de gestion des risques basé sur COBIT qui contribuera à améliorer la gouvernance des SI de l'entreprise. En identifiant les actifs informatiques, en évaluant les risques, en définissant les contrôles de sécurité, en les mettant en place et en évaluant leur efficacité, l'entreprise sera mieux équipée pour gérer les risques liés à ses systèmes informatiques.