COBIT est un référentiel de gouvernance publié par l’ISACA pour aligner l’IT au métier. La dernière mise à jour de 2019 peut être mise à profit pour améliorer la gouvernance cyber. Le référentiel comprend quatre publications principales consacrées à une description méthodologique, aux objectifs de gouvernance et de management, à la mise en œuvre et à l’optimisation des solutions de gouvernance. Une publication particulière est dédiée à COBIT pour appliquer le référentiel cyber du NIST, de plus en plus utilisé aux Etats-Unis mais aussi en Europe.

Le programme du CISSP en vigueur depuis le 1er mai 2021 aborde dans le domaine 1 plusieurs concepts fondamentaux qui font partie des basiques de la fonction du CISO (voir les 10 conseils pour bien démarrer dans cette fonction, parties 1 et 2). Il s’agit notamment des aspects gouvernance, conformité, régulation, documentation, gestion des sous-traitants et programmes de sensibilisation. La norme ISO 27014 fournit une série de bonnes pratiques pour mettre en place une gouvernance en cybersécurité. D’autres référentiels font partie du programme du CISSP comme COBIT, SABSA, la norme ISO 38500 (gouvernance IT), le NIST CSF et le référentiel CIS.

Le référentiel COBIT est proposé par l’ISACA. Il traite de la gouvernance et du management de l’IT en entreprise et fait partie du domaine EGIT (Entreprise Governance of Information & Technology). Les bénéfices d’une bonne gouvernance IT sont d’apporter une plus-value aux métiers en créant de la valeur, en optimisant la gestion des risques et des ressources. COBIT fait partie du corpus documentaire au programme du CISSP. Ce référentiel est abordé plus particulièrement dans le domaine 1 du programme du CISSP. Cet article propose une synthèse des concepts fondamentaux de ce référentiel. Même s’il n’est pas dédié à cela, COBIT peut aussi aider à mettre en place une gouvernance sécurité.