SlideShare une entreprise Scribd logo

Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)

ISACA Chapitre de Québec
ISACA Chapitre de Québec
Technologie
1  sur  6
Comment implanter COBIT 5 pour bien gouverner l’organisation ? ISACA - Section de Québec, le 7 novembre 2013 Compte-rendu de la table ronde d’experts Animateur / Modérateur : Dimitri Souleliac, ing.,CISSP Mise en contexte Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec les participants :  Paul Brousseau, Directeur, Richter  Robert Marchand, Consultant Expert  André Boutin, Consultant,Excelsa Technologies Consulting  Gilles Gravel, Consultant Expert  Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec Pourquoi COBIT 5? COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de l’entreprise est surtout d’expliquer pourquoi changer. Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois, COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Audelà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques inhérente à toute démarche de création de valeur.
Question du public :COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement donner l’impression d’apporter plus d’efficience et de valeur à l’organisation? Réponse :Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une implantation efficace à l’échelle de l’organisation. « …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus d’entreprise, et sans entreprise il n’y a plus decontrôles… » Quels sont les déclencheurs et les leviers possibles? Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des actifs, requis stratégique pour une introduction en bourse, etc.). Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de l’entreprise, à la base des relations d’affaires et de l’économie du savoir. … sans problèmes fondamentaux vus par les gestionnaires de l’organisation, il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5… COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement. Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés. De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader « Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs de conformité qui ne leur apporte pas de valeur. » En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est pas une option.
Est-ce compliqué d’implanter COBIT 5 ? On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois, l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la gouvernance et sur la valeur de l’information au sein de l’entreprise. « … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... » Les efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5 en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issusde TOGAF, ITIL ou PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne delahaut gestion afin d’être initiée correctement. Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant ainsi COBIT à la bonne place et sans ambiguïté. En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui n’est pas le cas pour une entreprise à propriétaire unique par exemple). « … il faut une organisation de taille significative pour implanter COBIT 5… toutefois la philosophie de création de la valeur ajoutée et de contrôle des risques s’applique à toute entreprise.. » Question du public :Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et à des niveaux stratégiques? Réponse :Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de presse :http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr). À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des unités, on ne peut pas imposer des moyens et des façons de faire issues de COBITen même temps que des responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des rôles et responsabilités est donc primordiale.
Question du public :Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de COBIT comme un outil de diagnostic de la maturité? Réponse :une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des approches d’implantation plus directes peuvent être envisagées. « … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles de maturité dans certains de leur processus. Alors des efforts d’évaluation de maturité doivent être prévus avant d’implanter COBIT... » Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et de l’importance de l’information pour l’entreprise. Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et surtout de communication. Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de connaissance, ainsi que les coûts de formation des ressources internes. Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies. Gestion du changement Qui sont les plus réticents? Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteursde l’entreprise qui sont aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement. En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées. Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui sont à la base porteuses du projet.
« En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit d’un bon indicateur de résistance aux changements à venir… » Question du public :Faut-il choisir un moment propice de décristallisationpour implanter COBIT 5 et mieux gérer le changement? Réponse :il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus prioritaires.De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne soit nécessairement relié à l’implantation de COBIT. Les ressources doivent s’impliquer comme acteur du changement et non commedes spectateurs qui se placent en observateurs des activités menées par un consultant externe. De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur niveau. Comment gérer la communication? Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes. Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des secteurs. Quelles sont les indicateurs à utiliser? Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et de leur importance pour l’organisation. « Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations » Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à 5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
Reddition : comment bien choisir des indicateurs de performance? Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse (Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées : Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires, Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et que les plus importants soient connus et fassent l’objet de plans de mitigations, Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu que l’on respecte les engagements et que les processus soient suivis, Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détaillerla performance des 37 processus, avec chacun des contrôles et leur efficacité. Une des meilleuresapproches est un tableau de bord équilibré (BalancedScorecard) qui couvre aussi bien des objectifs d’affaires, de risques, de reddition, de suivi et de contrôles. Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées dans COBIT 5.

Recommandé

Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Digicomp Academy Suisse Romande SA
 

Recommandé

Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5ISACA Chapitre de Québec
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information Évolution des bonnes pratiques en sécurité de l’information
Évolution des bonnes pratiques en sécurité de l’information ISACA Chapitre de Québec
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référenceYann Riviere CCSK, CISSP, CRISC, CISM
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TIArsène Ngato
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTS
ISO 27002 COLLABORATION RSI ET AUTRES DEPARTEMENTSProf. Jacques Folon (Ph.D)
 
Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Les nouveautés de Cobit 5
Les nouveautés de Cobit 5Digicomp Academy Suisse Romande SA
 
Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000ISACA Chapitre de Québec
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobITAnthony Delannoy
 
Cobit
Cobit Cobit
Cobit Houda Elmoutaoukil
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidentsISACA Chapitre de Québec
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Cobit
CobitCobit
Cobitmoussadiom
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)Prof. Jacques Folon (Ph.D)
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITILJoseph Guindeba
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 
Cobit 4.1 Highlights
Cobit 4.1 HighlightsCobit 4.1 Highlights
Cobit 4.1 Highlightsgeoffharmer
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec
 

Contenu connexe

Tendances

Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performanceAntoine Vigneron
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Christophe Pekar
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Anasse Ej
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAlterest
 

Tendances (20)

Cobit5 - Outil de la performance
Cobit5 - Outil de la performanceCobit5 - Outil de la performance
Cobit5 - Outil de la performance
 
Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000Gouvernance ITIL:2011 - ISO/CEI 20000
Gouvernance ITIL:2011 - ISO/CEI 20000
 
SoutenanceCobIT
SoutenanceCobITSoutenanceCobIT
SoutenanceCobIT
 
Cobit
Cobit Cobit
Cobit
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...Formation CISA Certification CISA ISACA Certified Information System Auditor,...
Formation CISA Certification CISA ISACA Certified Information System Auditor,...
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Cobit
CobitCobit
Cobit
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
PECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalitésPECB Webinaire: Certification ISO 27001, mythes et réalités
PECB Webinaire: Certification ISO 27001, mythes et réalités
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)RSI face aux autres départements (ISO 27002)
RSI face aux autres départements (ISO 27002)
 
Introduction à ITIL
Introduction à ITILIntroduction à ITIL
Introduction à ITIL
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
Auditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilitésAuditer son plan de secours informatique et détecter ses vulnérabilités
Auditer son plan de secours informatique et détecter ses vulnérabilités
 

En vedette

Cobit 4.1 Highlights
Cobit 4.1 HighlightsCobit 4.1 Highlights
Cobit 4.1 Highlightsgeoffharmer
 
Commerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2CCommerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2CTechSolCom
 
Social commerce - Emailvision
Social commerce - EmailvisionSocial commerce - Emailvision
Social commerce - Emailvisionjulien_c
 
Commerce Électronique - Enjeux et tendances B2B
Commerce Électronique - Enjeux et tendances B2BCommerce Électronique - Enjeux et tendances B2B
Commerce Électronique - Enjeux et tendances B2BTechSolCom
 
Estetica objetivos 1 y 2
Estetica objetivos 1 y 2Estetica objetivos 1 y 2
Estetica objetivos 1 y 2uftpre15961205
 
ANRT Report - Morocco - French
ANRT Report - Morocco - FrenchANRT Report - Morocco - French
ANRT Report - Morocco - FrenchA.N.
 
Taller de programación clase #4
Taller de programación clase #4Taller de programación clase #4
Taller de programación clase #4Juan Cardona
 
Actes
ActesActes
ActesAnact
 
Cleantech Republic at Green Business Conference (IDC-La Tribune)
Cleantech Republic at Green Business Conference (IDC-La Tribune)Cleantech Republic at Green Business Conference (IDC-La Tribune)
Cleantech Republic at Green Business Conference (IDC-La Tribune)Stephane Parpinelli
 
Magnifique
MagnifiqueMagnifique
Magnifiquehalffast
 
Entrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal políticoEntrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal políticoOjos Que Sienten
 
Opi programme de mandature 2013 2015
Opi programme de mandature 2013 2015Opi programme de mandature 2013 2015
Opi programme de mandature 2013 2015opi-mali
 

En vedette (20)

Cobit 4.1 Highlights
Cobit 4.1 HighlightsCobit 4.1 Highlights
Cobit 4.1 Highlights
 
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Emailmarketing
EmailmarketingEmailmarketing
Emailmarketing
 
Guild Wars
Guild WarsGuild Wars
Guild Wars
 
E-learning: a tu ritmo.
E-learning: a tu ritmo.E-learning: a tu ritmo.
E-learning: a tu ritmo.
 
R A M A D A N I A T E S 04
R A M A D A N I A T E S 04R A M A D A N I A T E S 04
R A M A D A N I A T E S 04
 
Commerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2CCommerce Électronique - Enjeux et tendances B2C
Commerce Électronique - Enjeux et tendances B2C
 
Social commerce - Emailvision
Social commerce - EmailvisionSocial commerce - Emailvision
Social commerce - Emailvision
 
Commerce Électronique - Enjeux et tendances B2B
Commerce Électronique - Enjeux et tendances B2BCommerce Électronique - Enjeux et tendances B2B
Commerce Électronique - Enjeux et tendances B2B
 
Estetica objetivos 1 y 2
Estetica objetivos 1 y 2Estetica objetivos 1 y 2
Estetica objetivos 1 y 2
 
La presse
La presseLa presse
La presse
 
Cas client OpenSi : site E-Consommables.fr
Cas client OpenSi : site E-Consommables.frCas client OpenSi : site E-Consommables.fr
Cas client OpenSi : site E-Consommables.fr
 
ANRT Report - Morocco - French
ANRT Report - Morocco - FrenchANRT Report - Morocco - French
ANRT Report - Morocco - French
 
Taller de programación clase #4
Taller de programación clase #4Taller de programación clase #4
Taller de programación clase #4
 
Actes
ActesActes
Actes
 
Cleantech Republic at Green Business Conference (IDC-La Tribune)
Cleantech Republic at Green Business Conference (IDC-La Tribune)Cleantech Republic at Green Business Conference (IDC-La Tribune)
Cleantech Republic at Green Business Conference (IDC-La Tribune)
 
Magnifique
MagnifiqueMagnifique
Magnifique
 
Entrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal políticoEntrevista a Gina Badenoch en Animal político
Entrevista a Gina Badenoch en Animal político
 
Opi programme de mandature 2013 2015
Opi programme de mandature 2013 2015Opi programme de mandature 2013 2015
Opi programme de mandature 2013 2015
 
3 Day Start Up Paris
3 Day Start Up Paris 3 Day Start Up Paris
3 Day Start Up Paris
 

Similaire à Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)

Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCERTyou Formation
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientMielabelo
 
Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...mohamed mbitel
 
JDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueJDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueBruno A. Bonechi
 
#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard PerrinOCTO Technology
 
Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0PhilippeC
 
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeDynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeEric NIZARD
 
Les Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsLes Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsBruno A. Bonechi
 
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan Consulting
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing SolutionsOCTO Technology
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesAntoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...polenumerique33
 
Petit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookPetit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookOCTO Technology
 
#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - TotalOCTO Technology
 
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...Bruno A. Bonechi
 
Les Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueLes Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueBruno A. Bonechi
 
Bpifrance le lab - Acquerir pour bondir - extraits
Bpifrance le lab - Acquerir pour bondir - extraitsBpifrance le lab - Acquerir pour bondir - extraits
Bpifrance le lab - Acquerir pour bondir - extraitsBpifrance
 
IBM Cognos Collaboration
IBM Cognos CollaborationIBM Cognos Collaboration
IBM Cognos CollaborationVincent Perrin
 

Similaire à Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07) (20)

Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-siCobitf formation-cobit-foundation-et-la-gouvernance-des-si
Cobitf formation-cobit-foundation-et-la-gouvernance-des-si
 
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-siCobf formation-cobit-foundation-et-la-gouvernance-des-si
Cobf formation-cobit-foundation-et-la-gouvernance-des-si
 
Aligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le clientAligner son organisation IT sur la création de valeurs pour le client
Aligner son organisation IT sur la création de valeurs pour le client
 
Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...Présentation soutenance thèse mastère management et direction de projets E...
Présentation soutenance thèse mastère management et direction de projets E...
 
JDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numériqueJDN - Les 5 règles de la transformation numérique
JDN - Les 5 règles de la transformation numérique
 
#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin#PortraitDeCDO - MACSF - Edouard Perrin
#PortraitDeCDO - MACSF - Edouard Perrin
 
Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0Conduite du changement dans un projet portail 2.0
Conduite du changement dans un projet portail 2.0
 
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborativeDynamiser pour réussir : les enjeux d'une infogérance collaborative
Dynamiser pour réussir : les enjeux d'une infogérance collaborative
 
Les Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisationsLes Echos - Transformation digitale et impacts sur les organisations
Les Echos - Transformation digitale et impacts sur les organisations
 
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
Magellan consulting > Gestion de programmes complexes : comment réussir ? Les...
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
#PortraitDeCDO - François-Régis Martin - BNP Paribas Leasing Solutions
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Petit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le BookPetit-déjeuner OCTO Management 3.0 - Le Book
Petit-déjeuner OCTO Management 3.0 - Le Book
 
#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total#PortraitDeCDO - Juliette De Maupeou - Total
#PortraitDeCDO - Juliette De Maupeou - Total
 
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
JDN - Les 7 piliers d'une stratégie de transformation numérique pour les dire...
 
Les Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numériqueLes Echos - Les 5 règles de la transformation numérique
Les Echos - Les 5 règles de la transformation numérique
 
Bpifrance le lab - Acquerir pour bondir - extraits
Bpifrance le lab - Acquerir pour bondir - extraitsBpifrance le lab - Acquerir pour bondir - extraits
Bpifrance le lab - Acquerir pour bondir - extraits
 
IBM Cognos Collaboration
IBM Cognos CollaborationIBM Cognos Collaboration
IBM Cognos Collaboration
 

Plus de ISACA Chapitre de Québec

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIIISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATAISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...ISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
Vie privée et sécurité de l'information dans les nuages : Réalisme ou utopie?...
 

Compte-rendu du panel d'experts sur COBIT - ISACA Québec (2013-11-07)

  • 1. Comment implanter COBIT 5 pour bien gouverner l’organisation ? ISACA - Section de Québec, le 7 novembre 2013 Compte-rendu de la table ronde d’experts Animateur / Modérateur : Dimitri Souleliac, ing.,CISSP Mise en contexte Cinq questions ont été posées aux experts ci-dessous dans le cadre d’un échange ouvert et d’interactions avec les participants :  Paul Brousseau, Directeur, Richter  Robert Marchand, Consultant Expert  André Boutin, Consultant,Excelsa Technologies Consulting  Gilles Gravel, Consultant Expert  Marc Lafrance, VP, Planification, Architecture et Gouvernance, Caisse de dépôt et placements du Québec Pourquoi COBIT 5? COBIT 5 est un cadre de référence qui permet de définir un langage commun. Toutefois, la création de sens est primordiale dans tout projet d’implantation car cela va permettre d’établir les liens avec la mission de l’entreprise est surtout d’expliquer pourquoi changer. Dans un premier temps on est porté à parler de contrôles de conformité, encore associés à COBIT 4.1. Toutefois, COBIT 5 amène d’avantage de sens en se rapprochant des risques organisationnels et des risques d’affaires. Audelà du contrôle, le rôle du vérificateur change de dimension dans une logique de réduction des risques inhérente à toute démarche de création de valeur.
  • 2. Question du public :COBIT est toujours introduit par le biais d’une conformité. Est-ce que COBIT peut réellement donner l’impression d’apporter plus d’efficience et de valeur à l’organisation? Réponse :Il faut garder à l’esprit que si COBIT n’est pas relié à la mission de l’entreprise et simplement vécu comme une obligation de conformité, alors les difficultés seront trop importantes pour permettre une implantation efficace à l’échelle de l’organisation. « …COBIT 5 va s’attaquer aux vrais éléments pour donner de la valeur ajoutée à l’entreprise tout en contrôlant les risques. Sans valeur ajoutée, il n’y pas plus d’entreprise, et sans entreprise il n’y a plus decontrôles… » Quels sont les déclencheurs et les leviers possibles? Chaque organisation est différente, mais dans tous les cas des raisons profondes doivent être à la source du changement (incidents de sécurité, nécessité de démontrer une bonne gestion des investissements ou des actifs, requis stratégique pour une introduction en bourse, etc.). Par ailleurs, l’arrivée d’un nouveau responsable des technologies de l’information (CIO) ou un besoin de conformité externe peuvent être des déclencheurs. Toutefois, des difficultés vécues concernant la gestion de l’Information, le besoin d’innover ou de se démarquer par rapport à la compétition peuvent constituer des éléments déclencheurs d’une implantation de COBIT 5. En tout cas, l’information demeure la richesse de l’entreprise, à la base des relations d’affaires et de l’économie du savoir. … sans problèmes fondamentaux vus par les gestionnaires de l’organisation, il peut être difficile d’obtenir l’adhésion pour implanter COBIT 5… COBIT 5 étant plus descriptif, il est très facile de réaliser des diagnostics ponctuels, sans nécessairement améliorer les processus. En conséquence, sans déclencheur relié à des problèmes de gouvernance affectant des processus fondamentaux de planification ou d’organisation, il est très difficile d’insuffler le changement. Dépendamment des entreprises, l’implantation de COBIT 5 ne vient pas nécessairement du CIO. En effet, le président (CEO) peut être le déclencheur car il souhaite être à l’avant-garde ou conquérir de nouveaux marchés. De plus, COBIT 5 positionne les éléments d’architecture d’entreprise en tant que processus au service des affaires. Au-delà des problèmes, vus en tant que facteurs déclencheurs, COBIT 5 peut être implanté pour soutenir une démarche d’avant-garde et positionner l’entreprise comme un leader « Sans histoire valable, des secteurs entiers de l’entreprise peuvent ne pas être alignés et passer à côté d’un projet qu’ils voient comme une initiative des secteurs de conformité qui ne leur apporte pas de valeur. » En conclusion, on peut implanter COBIT pour des raisons de gouvernance, mais dans tous les cas il est primordial de trouver une « histoire » qui permet de raccrocher les personnes et leur faire comprendre pourquoi ce n’est pas une option.
  • 3. Est-ce compliqué d’implanter COBIT 5 ? On n’implante pas COBIT 5 en soit, mais des processus, des contrôles et des redditions de comptes. Toutefois, l’objectif est d’implanter un cadre de gouvernance qui apporte de la valeur ajoutée, tout en optimisant les ressources et réduisant les risques. Avec COBIT 5, nous avons désormais un cadre principalement axé sur la gouvernance et sur la valeur de l’information au sein de l’entreprise. « … le passage de COBIT 4.1 à 5 est un véritable saut quantique… on sort des contrôles pour s’en aller vers les processus d’affaires, tout en impliquant la haute direction... » Les efforts nécessaires à l’implantation dépendent de la taille de l’organisation. Toutefois, la première marche est la plus difficile car elle semble toujours plus haute que les autres. La difficulté n’est pas d’implanter COBIT 5 en soit car cela ne diffère pas de l’implantation d’autres référentiels ou de processus issusde TOGAF, ITIL ou PMBOK qui sont largement connus dans les entreprises. Le plus important est que la démarche vienne delahaut gestion afin d’être initiée correctement. Par ailleurs, il est plus facile d’implanter COBIT 5 que la version 4.1. En effet, le positionnement de la gouvernance et l’adhésion à haut niveau est maintenant beaucoup plus claire avec moins d’éléments étant sujets à interprétation. De plus, des efforts d’alignements avec d’autres référentiels ont été faits, positionnant ainsi COBIT à la bonne place et sans ambiguïté. En pratique, il existe une taille minimale requise pour implanter COBIT car cela suppose des coûts incompressibles qui peuvent être difficiles à supporter pour des petites structures. Par ailleurs, la gouvernance présuppose la notion de responsabilités partagées et donc l’existence de plusieurs rôles dans l’entreprise (ce qui n’est pas le cas pour une entreprise à propriétaire unique par exemple). « … il faut une organisation de taille significative pour implanter COBIT 5… toutefois la philosophie de création de la valeur ajoutée et de contrôle des risques s’applique à toute entreprise.. » Question du public :Connaissez-vous des expériences d’implantation de COBIT dans le milieu gouvernemental et à des niveaux stratégiques? Réponse :Certains ministères ont implantés COBIT pour répondre à la loi 133 du Québec (portant sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement). Dernièrement le gouvernement de l’Afrique du Sud a implanté COBIT 5 (voir communiqué de presse :http://bit.ly/13w7Swz et documents officiels : http://bit.ly/1gWVGvr). À noter que dans le cadre d’une organisation qui possède une entité supérieure fédératrice, il peut y avoir un enjeu à implanter COBIT dans les autres unités qui s’y rattachent. En effet, dépendamment de l’autonomie des unités, on ne peut pas imposer des moyens et des façons de faire issues de COBITen même temps que des responsabilités, au risque de faire perdre l’imputabilité aux responsables de l’unité concernée. La définition des rôles et responsabilités est donc primordiale.
  • 4. Question du public :Doit tenir compte du niveau de maturité avant d’implanter COBIT ou alors se servir de COBIT comme un outil de diagnostic de la maturité? Réponse :une bonne avenue est de proposer l’implantation de COBIT et parallèlement de réaliser les diagnostics pour identifier les zones de faible maturité concernant les 5 piliers de la gouvernance informatique de l’ITGI (voir http://bit.ly/1dKDfWz). Toutefois, cela dépend de la taille des organisations et de leur maturité car il existe des clivages importants entre les grandes entreprises et les structures de moins 500 employés, pour qui des approches d’implantation plus directes peuvent être envisagées. « … il est surprenant de voir des grandes entreprises qui ont des niveaux très faibles de maturité dans certains de leur processus. Alors des efforts d’évaluation de maturité doivent être prévus avant d’implanter COBIT... » Le secteur d’activité est également un facteur important pour déterminer la complexité d’implantation de COBIT. En effet, certaines entreprises du secteur primaire ont de nombreux employés mais peu d’information à manipuler, ainsi qu’une faible informatisation de leurs processus. Il faut donc se poser la question de la valeur et de l’importance de l’information pour l’entreprise. Concernant les coûts d’implantation, il faut prévoir une personne à temps plein pendant toute la durée du projet (1 an) qui va faire le lien entre tous les processus et les contrôles (vue globale). Cette personne va également jouer le rôle de facilitateur avec les différents propriétaires de processus. En plus d’une ressource dédiée, 1 semaine/personne par processus doit être ajouté, sans oublier les efforts de gestion de projet et surtout de communication. Bien souvent, une ressource externe qui va apporter un regard neuf est nécessaire du fait que l’implantation de COBIT 5 est un projet de transformation organisationnelle. Par ailleurs, il est nécessaire de prévoir le transfert de connaissance, ainsi que les coûts de formation des ressources internes. Enfin, il faut être conscient que si l’organisation n’est pas prête ou que le projet est mené comme un projet TI parmi d’autres alors les risque d’échecs sont important, aussi grandes soient les sommes d’argent investies. Gestion du changement Qui sont les plus réticents? Bien souvent, le niveau de gestion intermédiaire est le plus réticent (directeurs de section, directeurs intermédiaires, chefs de division, coordonnateurs). De façon pragmatique, la gestion du changement vient avec la dimension du changement qui peut varier d’une unité à l’autre. Toutefois, les acteursde l’entreprise qui sont aux opérations souhaitent que les problèmes se règlent et son bien souvent de bons moteurs du changement. En tout cas, il est important de bien maîtriser les rumeurs et de s’assurer que les personnes sont bien informées. Par ailleurs, la résistance au changement peut venir de personnes qui ont peur de se faire reprocher de ne pas avoir fait les choses correctement et, de façon plus étonnante, les réticences peuvent venir des équipes TI qui sont à la base porteuses du projet.
  • 5. « En pratique, on s’aperçoit rapidement qu’il y a des personnes réticentes… lorsqu’on fait circuler un questionnaire de diagnostic et que les personnes n’y répondent pas, il s’agit d’un bon indicateur de résistance aux changements à venir… » Question du public :Faut-il choisir un moment propice de décristallisationpour implanter COBIT 5 et mieux gérer le changement? Réponse :il peut être important de choisir une période de décristallisation de l’organisation, sinon l’implantation de COBIT peut entrer en compétition avec les autres projets des lignes d’affaires qui sont généralement plus prioritaires.De plus, les structures évoluent et changent en fonction des problèmes rencontrés, sans que cela ne soit nécessairement relié à l’implantation de COBIT. Les ressources doivent s’impliquer comme acteur du changement et non commedes spectateurs qui se placent en observateurs des activités menées par un consultant externe. De plus, des facteurs de motivation peuvent être l’atteinte d’objectifs à la fin de l’année, mais aussi d’indicateurs qui démontrent que des problèmes sont résolus, comme par exemple la baisse du nombre d’incidents. À noter que ces indicateurs de performance doivent être définis avec les gestionnaires qui vivent les problèmes à leur niveau. Comment gérer la communication? Le défi d’un plan de communication est de garder les parties impliquées informées, sans oublier les « parties intéressées » qui pourraient se démobiliser. En effet, comme les processus ne sont tous implantés en même temps, il est crucial de maintenir l’intérêt de l’ensemble des parties prenantes. Par ailleurs, le facteur de succès le plus important réside dans le fait d’avoir un appui à haut niveau et l’implication d’un « champion » ayant toute la force pour communiquer et diffuser le projet dans chacun des secteurs. Quelles sont les indicateurs à utiliser? Lors d’une implantation, il est important d’identifier les processus les plus critiques et de se fixer des objectifs de maturité réalistes et ne pas viser un niveau 5 en partant. En fonction du contexte d’affaires de l’entreprise, il est possible de ne choisir qu’une partie des processus en première itération, en fonction de leur valeur ajoutée et de leur importance pour l’organisation. « Les critères de maturité sont très différents dans COBIT 5 … les évaluations de capacités sont plus rigoureuses et alignées sur ISO 15504, enlevant la subjectivité des évaluations » Dans COBIT 5, la notion de capacité est utilisée plutôt que celle de maturité avec une échelle à 6 niveaux (de 0 à 5) pour les 37 processus. Lors de l’exercice d’évaluation, il faut prendre en compte le fait que les unités opérationnelles peuvent avoir tendance à se sous-évaluer afin de mettre l’emphase sur un besoin de rehaussement des moyens (budgets, temps, etc.). À contrario, le niveau de gestion peut avoir tendance à surévaluer la maturité, sauf dans le cas d’un gestionnaire qui serait nouvellement arrivé en poste.
  • 6. Reddition : comment bien choisir des indicateurs de performance? Le plus important dans la reddition de compte est de bien comprendre qui est l’audience et à qui on s’adresse (Conseil d’administration, Comité de direction, Comité de risques opérationnels, etc.). De plus, il faut éviter de démultiplier les redditions sur un même sujet et adapter le message en fonction des instances visées : Le Conseil d’administration doit comprendre dans quelle mesure la stratégie est alignée sur les affaires, Le Comité de risques opérationnels doit avoir la conviction que l’ensemble des risques sont couverts et que les plus importants soient connus et fassent l’objet de plans de mitigations, Le Comité de vérification doit avoir la connaissance des vulnérabilités plus tactiques et être convaincu que l’on respecte les engagements et que les processus soient suivis, Les tableaux de bords opérationnels au niveau des Comités de gestion TI doivent détaillerla performance des 37 processus, avec chacun des contrôles et leur efficacité. Une des meilleuresapproches est un tableau de bord équilibré (BalancedScorecard) qui couvre aussi bien des objectifs d’affaires, de risques, de reddition, de suivi et de contrôles. Enfin, il est très important que les indicateurs de performance proviennent des secteurs d’affaires et non qu’ils adhérent à des indicateurs décidés par ailleurs. Il s’agit alors de traduire les contrôles en indicateurs de performance qui ont du sens pour les affaires, dans une approche de personnalisation des métriques proposées dans COBIT 5.