Gestion des risques par COBIT 5.1

...

- Efficacité

- Efficience

- Confidentialité

- Intégrité

- Disponibilité

- Conformité

- Fiabilité

5 types de ressources concernées selon les cas :

- Données

- Applications

- Technologies

- Installation

- Personnel

- En résumé le COBIT est une méthodologie d’évaluation des services informatiques au sein de l’entreprise.

- C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements.

- Il ne fournit pas d’indications ou de recommandations à caractère technique (choix technologiques, consolidation, gestion de crises…). En d’autres termes, COBIT se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont elle doit le faire.

- Le COBIT a évolué au fil des années. La version actuelle est indiqué V5.0.

L’évolution du COBIT :

[pic 4]

Le référentiel COBIT, publié par l’ISACA, est aujourd’hui le standard de l’industrie et le cadre le plus largement adopté en matière de Gouvernance du SI. Depuis sa création en 1996, il a évolué d’une grille d’audit informatique vers un cadre de contrôle et finalement un cadre de gouvernance du SI avec la publication de COBIT 5 en 2012. COBIT 5 est un référentiel complet en termes de couverture, qui doit être adapté à chaque entreprise, en tenant compte de la nature de ses activités et de ses besoins spécifiques, du caractère unique de sa fonction informatique et de divers facteurs internes et externes.

COBIT 5 a été conçu pour s’aligner avec les autres normes, cadres, méthodologies et meilleures pratiques du marché tels que ITIL, ISO31000, ISO 27001, etc. Ses 37 processus se recouvrent avec ceux définis dans les autres normes et référentiels et fait de COBIT 5 un cadre dominant l’entreprise de façon globale, de bout en bout.

Mais dans cet exposé nous allons nous intéresser à la version COBIT 5 for risk, en 2013 Risk IT fut intégré avec COBIT 5 en se basant sur le constat que les entreprises obtiennent un retour sur investissement, en prenant des risques, mais que parfois elles tentent d’éliminer des risques qui contribuent réellement à la création d’un profit. Risk IT fut conçu pour aider les entreprises à optimiser leurs retours sur opportunités en gérant plus efficacement les risques plutôt qu’en essayant de les éliminer complètement.

Cobit 5 intègre aussi des principes pour la gouvernance des technologies d’informations

[pic 5]

Cobit For risk s’intéresse:

- À permettre aux parties prenantes d’acquérir une meilleure compréhension de l’état actuel et des effets du risque dans toute l’entreprise

- À donner des conseils sur la façon de gérer le risque à tous les niveaux, y compris un vaste ensemble de mesures de mitigation de risque

- À donner des conseils sur la façon de mettre en place la culture appropriée du risque dans l’entreprise

- Aux orientations sur l’évaluation des risques qui permettent aux parties prenantes d’examiner le coût des mesures d’atténuation et les ressources nécessaires contre le risque de perte

- Aux possibilités d’intégrer la gestion des risques informatiques avec celle des risques d’entreprise.

- À l’amélioration de la communication et la compréhension entre toutes les parties prenantes internes et externes[pic 6]

Pour appliquer le Risk IT l’entreprise doit d’abord, préparer le terrain en appliquant un processus appelé IPM les initiales de, Identifier, priorisé qui sont 2 procès d’analyse de risques et enfin la 3eme phase la mobilisation, mettre en œuvre la décision des 2 premières phases

La question que toute entreprise doit se posé est sa représentation du risque comment elle le voit comment elle le perçois en tenant compte des composants du risque organisationnels, et normalement ce qu’on appelle IPM, fait partie de la stratégie de base, tout entreprise emploie cette façon pour détecter ces menaces, afin de dresser une liste qui servira de mettre une priorité à chacune de ces menaces et enfin se mobilisé pour mettre en œuvre la stratégie choisi et donc optimisé toutes ses chances pour atteindre ses objectifs, voici les composant sur lesquels l’entreprises s’appuie dans le schéma ci-dessous :

[pic 7]

Ces composants sont aussi appelés facilitateurs ou leviers, en premier temps l’organisation va se concentrer sur les politiques et les cadres de gestion qu’on va vouloir utiliser , ensuite les processus qu’on va vouloir mettre en place, en 3eme les structures organisationnels, comment sont prises les décisions, qui sont les responsables actuels des gestion de risque de l’organisation, ensuite nous allons intéresser à l’aspect culturel de l’entreprise et de gens travaillant dans celle-ci c’est l’éthique et le comportemental car le plus grand facteur de risque dans une entreprises est l’humain, et finalement dans le coté ressources de l’entreprise, c’est l’information qui est génératrice de création de valeurs, ensuite il y a des services, des infrastructures et des applications comme les logiciels et système d’information qu’on utilise au sein de notre organisme et finalement l’élément 7 qui est les ressources humaines les individus travaillant à l’entreprise et quels sont leur compétences et savoir-faire.

C’est sur ses 7 éléments que l’entreprise va se baser pour mettre en place le processus de gestion de risques qui vont être cohérent avec les objectifs de notre organisation.

Dans ce chapitre on a vu la définitions de Cobit son rôle au sein de l’entreprise spécialement au niveau de la gestion des risques, et dans la dernière section on a vu les leviers sur lesquelles Cobit se base pour donner