COBIT et gouvernance sécurité

COBIT est un référentiel de gouvernance publié par l’ISACA pour aligner l’IT au métier. La dernière mise à jour de 2019 peut être mise à profit pour améliorer la gouvernance cyber. Le référentiel comprend quatre publications principales consacrées à une description méthodologique, aux objectifs de gouvernance et de management, à la mise en œuvre et à l’optimisation des solutions de gouvernance. Une publication particulière est dédiée à COBIT pour appliquer le référentiel cyber du NIST, de plus en plus utilisé aux Etats-Unis mais aussi en Europe.

COBIT

La gouvernance IT poursuit trois objectifs fondamentaux :

  • Participer à l’atteinte des objectifs métiers.
  • Optimiser la gestion des risques.
  • Améliorer la gestion des ressources.

Le référentiel fait la distinction entre les actions de gouvernance qui se placent sur le plan stratégique (et devraient ainsi impliquer les conseils d’administration) et les actions de management qui se focalisent sur la planification et l’opérationnel.

COBIT définit les composants pour construire et exploiter ce système de gouvernance. L’approche peut inspirer la gouvernance cyber et compléter d’autres référentiels disponibles, comme par exemple SABSA pour développer sa stratégie cyber.

Les apports de COBIT 2019

La version précédente, COBIT 5 date de 2012. Des documents intéressants comme par exemple COBIT 5 for Information Security décrivent comment adapter ce référentiel aux aspects cyber.

Les principales différences de la version 2019 sont les suivantes :

  • Nouveaux domaines de spécialisation dans la partie processus («Enabling Processes ») pour les aspects DEVOPS, petites et moyennes entreprises, risques et cybersécurité. C’est ce qui permet d’utiliser plus facilement adapter COBIT à la gouvernance cyber.
  • Description du modèle dans une version UML.
  • Concepts formulés pour faciliter de l’automatisation des solutions. Pour les aspects cyber, cela rejoint des initiatives comme SCAP. C’est aussi lié au besoin d’automatisation que l’on trouve dans les services de Cloud publics et privés et la multiplication des API.
  • L’évaluation des processus avec une approche s’inspirant de CMMI (Capability Maturity Model Integration). On compte maintenant 40 objectifs remplaçant les 37 processus de COBIT 5.
  • L’intégration des scénarios de risques. Le référentiel de l'ISACA sur la gestion des risques IT s'appuie sur COBIT pour le traitement des risques.

Les objectifs

Les 40 objectifs sont organisés selon les domaines suivants :

  • Les aspects gouvernance: évaluer, diriger et superviser. Par exemple la prise en compte des attentes des parties prenantes ou la gouvernance des risques.
  • Les aspects management: planification, conception et mise en œuvre, gestion des services (dont la sécurité), supervision et évaluation. Par exemple, l’innovation, les ressources humaines, les sous-traitants, les programmes et les projets, la conformité, le contrôle interne. En cyber sécurité, on manque de ressources humaines qualifiées par rapport aux besoins. Il est donc fondamental de bien gérer l’existant !

Les performances sont mesurées sur une échelle à 6 niveaux :

  • 0 : basiques absents.
  • 1 : activités menées de manière intuitive sans organisation.
  • 2 : activités complètes et définies.
  • 3 : processus définis.
  • 4 : processus définis et évalués d’une manière quantitative.
  • 5 : processus définis, mesurés avec un cycle d’amélioration.

 

  Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

CISSP, SABSA, COBIT, Gouvernance