Mise en place du référentiel COBIT

L ’ existant et le choix COBIT

En premier lieu, est présenté l’Association, pour qu’une fois le contexte connu, l’adéquation du SI en place avec les objectifs métiers puisse être étudiée. Ensuite, l’étude des référentiels à disposition et leurs capacités à se conformer aux exigences de l’Association va permettre de conclure sur le choix du COBIT.

L’Association Rénovation

Pour présenter l’Association Rénovation, ses métiers et son organisation, ce chapitre s’appuie principalement sur les travaux réalisés et validés par les membres du Conseil d’Administration, disponibles sur le site officiel www.renovation.asso.fr . Des détails permettant d’appréhender la complexité du SI ont été ajoutés comme, par exemple, la couverture géographique et les exigences des financeurs.

Secteur social

Dans ce secteur, 3 types de missions sont confiés à l’Association.
Les établissements et services de protection de l’enfance sont confrontés depuis toujours à des situations de difficultés sociales et familiales, de carences éducatives et de maltraitances. Les prises en charge demandées par ces services peuvent se situer dans un accompagnement, une restauration des compétences familiales, la participation à des actions collectives. Deux établissements de l’Association sont chargés de ces missions : le SAF et l’AED.
L’accompagnement des personnes handicapées psychiques dans la cité est une exigence croissante qui suppose de réduire les temps en institution avec les risques de chronicisation qu’ils entraînent, et de développer les services en milieu naturel en articulation avec le soin: appartements, accompagnement à la vie sociale. Le SAVS est chargé de ces missions.
Enfin, l’insertion professionnelle des personnes handicapées est un droit, confirmé par la loi du 11 février 2005. L’établissement MEDIA s’inscrit dans ce cadre en privilégiant des actions spécifiques en faveur des personnes handicapées psychiques pour leur insertion en entreprise ou en situation de travail protégé.

Les principaux financeurs sont le Conseil Général et l’AGEFIPH

Les compétences nécessaires pour réaliser les missions confiées touchent 3 secteurs

Le premier est le domaine médical et paramédical et demande des médecins psychiatres et des psychologues. Le second est le domaine éducatif et réclame des éducateurs spécialisés, des sociologues et des assistants familiaux. Enfin, le dernier concerne la logistique et s’appuie sur des comptables et du personnel administratif.

MEDIA

Média Hand’treprise est un établissement mobilisé sur l’insertion professionnelle des travailleurs handicapés. Il gère un Cap Emploi conventionné avec l’AGEFIPH, le POLE EMPLOI, et le FIPHFP, chargé de développer l’accès à l’emploi. Cet établissement dispose également d’un service de maintien dans l’emploi des travailleurs handicapés financé par l’AGEFIPH.

AED

Le service d’action éducative à domicile intervient à titre préventif dans les familles lorsque la santé de l’enfant, sa sécurité, son entretien ou son éducation l’exige.Ce service est lié par convention au Conseil Général de la Gironde. Il travaille en articulation étroite avec la Direction Enfance-Famille et accomplit une mission fondamentale de prévention.

Postes Informatiques

Les postes informatiques sont de 3 types. Le plus répandu, environ 60% du parc est le poste lourd avec son disque dur, son lecteur DVD et son système d’exploitation le rendant, si besoin, indépendant des serveurs applicatifs. Les ordinateurs portables représententl’autre grande partie du parc avec environ 30% des machines. Ils ont les mêmes fonctionnalités que les postes lourds et présentent l’avantage d’être mobiles.
Enfin, le dernier type de terminal est le client léger. Contrairement aux postes lourds ils ne disposent pas de disque dur et leur système d’exploitation est limité puisque il ne permet que la navigation Internet et la connexion aux serveurs applicatifs via Citrix. Les principaux avantages de ces postes sont le prix et la conservation des performances initiales au fil du temps.
Majoritairement de la marque HP, ces terminaux fonctionnent sous le système d’exploitation (OS) Windows et sont accompagnés d’un service de maintenance garantissant un échange standard, le lendemain de la déclaration d’incident. La sécurité du réseau local est assurée sur ces terminaux via une application Antivirus, Firewall éditée par F-Secure.

Organisation du Département Informatique

Pour assurer la maintenance et les évolutions des services informatiques, l’Association s’est dotée d’un service informatique central confié à un cadre, le Responsable du Système d’Information (RSI). Ses relations avec les instances dirigeantes, les établissements et ses missions sont détaillées dans les paragraphes ci-dessous.

Mesure de la performance des processus

Une fois les ressources affectées aux processus il devient possible de produire des informations de qualité en vue de répondre à des objectifs métiers. Il est nécessaire d’établir des mesures pour constater ou non la réussite du processus, et de mettre en place des indicateurs pour évaluer les tendances de succès ou d’échec.
Dans COBIT, ces deux notions sont appelées mesures de résultats (ou outcome measuresen anglais) pour indiquer si les objectifs ont été atteints, et indicateurs de performance (performance indicatoren anglais) pour indiquer si les objectifs pourront être atteints.
Des mesures de résultats sont disponibles, des objectifs métiers jusqu’aux activités de processus comme le montre la Figure 23- Lien entre Mesures de résultat et Objectifs.

ETAPE 0 : Sélection des processus

Pour déterminer les processus les plus pertinents à évaluer, 2 stratégies ont été retenues.
La première consiste à prendre connaissance de tous les processus COBIT et de retenir et prioriser les plus intéressants pour la Direction. Cette approche pourrait être qualifiée d’ascendante puisque le point de départ de l’analyse est l’ensemble des 34 processus, et le point d’arrivée est un filtrage et une priorisation de ces processus par la Direction. Cette stratégie a l’avantage de présenter le référentiel COBIT dans son intégralité.Dans la suite du document, cette stratégie sera référencée par STRAT1. Stratégie d’évaluation STRAT1 : Approche Ascendante.
La deuxième consiste à utiliser le référentiel COBIT pour déterminer quels sont les processus les plus révélateurs pour répondre aux objectifs métiers OBJ1, OBJ2 et OBJ3. On pourrait qualifier cette approche de descendante puisque le point de départ de l’analyse est une sélection d’objectifs métiers, et le point d’arrivée, un sousensemble de processus couvrant au mieux les objectifs initiaux. Cette stratégie a l’avantage d’assurer un maximum de cohérence entre objectifs métiers et processus COBIT.

Priorisation des catégories à évoluer

Stratégie 1

Toutes les (4) catégories sont retenues par la Direction. L’objectif fixé est de retenir au moins un processus de chaque catégorie pour avoir une vision étendue de COBIT. A ce moment là, ne sachant pas si la charge allouée est suffisante pour réaliser cet objectif, une priorisation doit être opérée. Voici donc l’ordre retenu (du plus important au moins important) :

Distribution et Support (DS)

Ce domaine concerne principalement les capacités actuelles du SI, à fournir les services demandés en conformité avec les besoins métiers et avec les règles de sécurité. Principalement adressé au RSI, ce domaine est privilégié puisque ce dernier vient de prendre ces fonctions, et qu’il mettra tout d’abord en œuvre l’implémentation de COBIT.

Acquisition et Implémentation (AI)

Ce domaine concerne l’identification des besoins et des solutions puis le développement ou l’acquisition de produits sur étagères, et enfin, leurs intégrations dans les processus d’affaires. La maintenance des systèmes existants et également pris en compte lors des acquisitions. Avec un projet à moyen terme, d’acquisition d’un logiciel de gestion de l’usager pour le secteur médico-social, cette catégorie est également privilégiée.

Planification et Organisation (PO)

Ce domaine consiste à définir la stratégie du SI pour faire contribuer au mieux le SI, et les objectifs de l’Association. La mise en œuvre de cette stratégie commence par une planification, puis est communiquée à la Direction. Il est alors possible de mettre en CNAM Bordeaux 2011 – 2012 54 place une organisation et une infrastructure technologique adéquate. Dans un premier temps, l’organisation et les performances de l’infrastructure technologiques en place vont être étudiées à travers la catégorie « Distribution et Support ». Une fois un premier bilan réalisé, les améliorations à mettre en place seront supportées par les processus de la présente catégorie.

Surveillance (ME)

Ce domaine consiste à évaluer régulièrement tous les processus en place et à vérifier leur conformité par rapport aux exigences de l’entreprise. La communication de ces résultats aux parties concernées fait également partie de ce domaine. Ce domaine est considéré comme le moins prioritaire, car des comptes-rendus réguliers de l’avancement de l’implémentation du référentiel, sont déjà planifiés avec le Direction et les Directeurs d’établissements.

Les objectifs métiers retenus

La Figure 27 – Traçabilité entre les objectifs métiers génériques de COBIT et ceux de l’Association présente la matrice de traçabilité retenue entre les 3 objectifs OBJ1, OBJ2 et OBJ3 et les objectifs métiers génériques proposés par COBIT.
Dans le contexte de l’Association, la différenciation entre la catégorie « Client » et « Interne » a peu de sens. En effet, si l’on considère que les clients sont les usagers, ces derniers n’ont pas accès au SI. Si l’on considère que les clients sont les financeurs, ce sont eux qui donnent accès à leur SI et non le contraire. Ainsi, dans la suite, les catégories « Client » et « Interne » ne seront pas différenciées et concerneront les utilisateurs du SI de l’Association.

Informatique

Pour la première mise en application de COBIT, ce sont les performances du service informatique interne à l’Association, à travers son RSI, qui vont être suivies. Les performances des services des sous-traitants seront observées ultérieurement. Ne disposant que d’une ressource, il est impossible de garantir un délai de résolution constant (SLA pour Service Level Agreement en anglais). En effet, pendant les absences du RSI, n’étant pas remplacé, les délais ne pourraient être tenus.
Néanmoins, il est possible de mettre en place un objectif de délai de service (SLO pour Service Level Objective en anglais). Ainsi, c’est le pourcentage d’incidents résolus dans les délais fixés par les contrats d’objectifs (SLO) qui est retenu comme mesure de résultat. Soit DS08-MR-INFO01 cette mesure.

Processus

Afin de pouvoir fixer des objectifs de délais de service interne, il est nécessaire de suivre les capacités de résolutions par type de demandes. C’est pourquoi la durée de vie moyenne des incidents par type est retenue comme mesure de résultat. Soit DS08-MR-PRO01cette mesure.

Activité

En lien direct avec les objectifs de délais de services, les incidents ouverts et fermés doivent être suivis périodiquement. Cela permet de déterminer les capacités de traitement du service interne et de planifier les résolutions des incidents en fonction des disponibilités du RSI. Parmi ces incidents, les plus chronophages, pour le service interne, sont ceux qui réclament une intervention sur site ou qui ne peuvent être délégués à des services extérieurs. Aussi, 2 mesures de résultat ont été retenues:
 Nombre d’incidents enregistrés par mois. DS08-MR-ACT01 cette mesure de résultat.
 Nombre d’incidents résolus par mois. DS08-MR-ACT02cette mesure de résultat.

DS03

Métier

Dans l’optique de garantir une adéquation convenable entre la charge de travail et les missions confiées à ses services, en relation directe avec OBJ2, le nombre de ressources humaines en surcharge est retenu par la Direction Générale. Soit DS03-MR-MET01cette mesure de résultat. OBJ1 et OBJ3 ne sont pas impliqués directement dans ce processus.

Informatique

Pour la première mise en application de COBIT, la charge de travail du service informatique interne à l’Association, à travers son RSI, va être suivie. Alors que le processus DS08 contrôle la performance du service informatique interne, le présent processus est l’occasion de suivre la charge allouée aux projets SI et au service desk. L’objectif est de pouvoir détecter la sur-utilisation chronique du RSI par le Service Desk au dépend des projets SI. Aussi, la répartition de charge entre les projets SI et le service Desk est retenue comme mesure de résultat. Soit DS03-MR-INFO01cette mesure.

Processus

Le suivi du respect des objectifs de délais pour le service Desk étant assuré via le processus DS08, le processus DS03 s’attache à la gestion des projets SI. Ainsi les 2 mesures de résultats suivantes sont retenues :
 Nombre de projets SIen cours. Soit DS03-MR-PRO01cette mesure de résultat.
 Nombre de projet dans les délais. Soit DS03-MR-PRO02 cette mesure de résultat.

Activité

Pour s’assurer que les délais alloués aux projets SI sont respectés, il est nécessaire de revoir régulièrement les plannings et de s’assurer que les décalages éventuels sont bien transmis aux parties prenantes.
C’est pourquoi la fréquence des mises à jour et des validations du planning est retenue comme principale mesure de résultat. Soit DS03-MR-ACT01cette mesure de résultat.

DS04

Métier

Pour la Direction, à travers les objectifs OBJ1 et OBJ3, le nombre d’heures perdues dû à une indisponibilité des ressources matérielles est retenu comme mesure de résultat. Soit DS04-MR-MET01cette mesure.

La mise en service du Référentiel COBIT

L’audit des 4 processus a révélé des écarts importants entre les attendues de la Direction et l’existant. Leurs analyses, réalisées conjointement entre les dirigeants et le RSI, a mis en évidence les points à améliorer.
A ce stade, COBIT n’étant pas prescriptif, l’Association doit déterminer, seule, les moyens à mettre en œuvre. Une fois ces actions engagées, le contrôle de leur efficacité sera réalisé en suivant la démarche PDCA. Cette dernière est bien sûr intégrée dans COBIT, mais aussi dans l’esprit de l’Association à travers sa méthodologie : Organiser, Agir et Evaluer (voir Figure 1 – Organisation hiérarchique de l’Association).

ETAPE 5 : Projets d’améliorations

Définitions des projets d’amélioration

Pour combler les écarts identifiés précédemment, 4 projets ont été discernés. Le premier, concerne la définition et la mise en place d’un service desk interne à l’Association, qui couvre les processus DS8 et DS3. Le second, concerne la gestion des projets SI de l’Association, qui couvre le processus DS3. Enfin les deux derniers, concernent la mise en place des plans de continuité et de sécurité de l’Association, ils couvrent respectivement les processus DS4 et DS5.

Service DESK

Ce service plus connu dans l’Association sous le nom de « l’informaticien », est chargé d’assister les utilisateurs du SI sur un plan matériel et applicatif. Bien qu’en grande partie délégué à la société ALFA, « l’informaticien » reste fortement utile pour gérer les blocages et pour toutes questions ayant un rapport évident, ou non, avec un ordinateur.

Ordonnancement des projets

La mise en place des 4 projets précités, doit permettre d’améliorer les résultats d’évaluation des 4 processus COBIT retenus. A la suite de ces réalisations, disposant d’un recul suffisant, il sera possible d’évaluer la charge nécessaire à la poursuite de l’activité.
Avant d’envisager ce déploiement, il convient de définir un programme d’entrée en vigueur auxprojets déjà identifiés.
Puisque il est nécessaire de connaitre les capacités de la ressource RSI et de disposer d’outil de planning, les projets « Gestion de projets » et service Desk doivent être déployés conjointement.
A leurs suites viendront respectivement les projets « plan de sécurité » et « plan de continuité ». Les impacts de l’exploitation d’une faille de sécurité peuvent en effet être plus pénalisants qu’un arrêt des services et sont surtout moins facilement détectés.

Conception des projets d’amélioration

Pour les raisons indiquées dans le chapitre précédent, les projets « Gestion de projets » et service desk sont conçus en priorité et conjointement. Les deux autres seront étudiés une fois les capacités du RSI connues.

Service DESK

Avant d’organiser le service desk une première étude est décidée. Elle consiste à enregistrer et traiter les incidents comme ils viennent. De cette manière, il sera possible de définir les premières tendances concernant.

Conclusion

L’étude des référentiels COBIT, CMMI et ITIL dans le contexte de l’Association a permis de conclure que COBIT était le choix le mieux adapté.
Pour la Direction Générale, l’implémentation de COBIT a permis de mettre en place un compte-rendu périodique faisant état des performances et des capacités du Service informatique. Sur ce point, le référentiel ITIL aurait conduit au même résultat. COBIT offre également une bonne vision des projets en cours, de leurs avancements et de leur planification. CMMI aurait également était un bon candidat sur cette partie. Pour les utilisateurs, la mise à disposition de l’état de leurs demandes au Service Desk sera une réalité en août 2012 avec la mise à disposition d’un Intranet répondant au nom de Picasso. Là encore, ITIL aurait conduit au même résultat. Pour le RSI, les capacités de planification sont devenues réelles. Ainsi, les mises en place des plans de sécurité et de continuité ne sont plus perçues comme l’affaire de « l’informaticien » et sont intégrés dans le planning du Service.
Concernant le plan de sécurité, COBIT et ITIL semblent tous les deux capables d’apporter une réponse satisfaisante. Un référentiel est pourtant capable de détailler d’avantage ce point : ISO27001. Dans la mesure du possible, un seul référentiel sera retenu.

 

Le rapport de stage ou le pfe est un document d’analyse, de synthèse et d’évaluation de votre apprentissage, c’est pour cela rapport-gratuit.com propose le téléchargement des modèles complet de projet de fin d’étude, rapport de stage, mémoire, pfe, thèse, pour connaître la méthodologie à avoir et savoir comment construire les parties d’un projet de fin d’étude.

Table des matières
1 L’existant et le choix COBIT
1.1 L’Association Rénovation
1.2 Le SI
1.3 Les Objectifs Métiers
1.4 Choix du Référentiel d’évaluation
2 Mise en place du référentiel COBIT
2.1 Les moyens disponibles
2.2 Le plan d’implémentation
2.3 ETAPE 0 : Sélection des processus
2.4 ETAPE 1 : Compatibilité COBIT QUICKSTART
2.5 ETAPE 2 : Evaluation de l’état courant
2.6 ETAPE 3 : Détermination des nouveaux objectifs
2.7 ETAPE 4 : Analyse des écarts
3 La mise en service du Référentiel COBIT
3.1 ETAPE 5 : Projets d’améliorations
3.2 ETAPE 6 : Réalisation des améliorations
3.3 ETAPE 7 : Contrôle et Actions
4 Conclusion
5 Annexes
5.1 Compte-rendu de l’outil de planification Open Project
5.2 Objectifs prioritaires
5.3 Stratégies de choix des processus à auditer
5.4 Catégories et Processus COBIT
5.5 Modèle de maturité générique
5.6 Traçabilité Objectifs métiers / Processus
6 Table des Figures
7 Bibliographie

Rapport PFE, mémoire et thèse PDFTélécharger le rapport complet

Télécharger aussi :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *