Chap2 gouvernance des SI.pptx
- 1. Cadre de référence pour la gouvernance des SI Anis BOUBAKRI
- 2. La gouvernance des systèmes d'information (SI) est un processus de gestion qui vise à s'assurer que les SI sont alignés sur les objectifs stratégiques de l'entreprise, qu'ils sont gérés de manière efficace et efficiente, et qu'ils sont en mesure de fournir de la valeur à l'entreprise.
- 3. Modèle de la gouvernance des SI: • Dans le cadre de la gouvernance des SI, il existe différents modèles de gouvernance, qui ont pour objectif de guider les entreprises dans leur processus de gouvernance des SI. Ces modèles peuvent être utilisés comme références pour élaborer une stratégie de gouvernance des SI adaptée aux besoins de l'entreprise. Les modèles les plus couramment utilisés sont :
- 4. Le modèle COBIT • Le modèle COBIT (Control Objectives for Information and Related Technology) : COBIT est un cadre de référence qui vise à aider les entreprises à gérer et à contrôler efficacement leurs SI. COBIT couvre l'ensemble du cycle de vie des SI, de la planification à la mise en œuvre, en passant par l'exploitation et l'amélioration continue.
- 5. Le modèle ITIL Le modèle ITIL (Information Technology Infrastructure Library) : ITIL est un cadre de référence pour la gestion des services informatiques. ITIL fournit des bonnes pratiques pour la gestion de services informatiques, depuis la planification jusqu'à la mise en œuvre et l'amélioration continue.
- 6. Le modèle ISO 38500 Le modèle ISO 38500 : ISO 38500 est une norme internationale qui vise à aider les entreprises à gouverner efficacement leurs SI. ISO 38500 fournit un ensemble de principes, de processus et de bonnes pratiques pour la gouvernance des SI.
- 7. Les normes de la gouvernance des SI Les normes de la gouvernance des SI sont des outils essentiels pour les entreprises qui cherchent à améliorer leur gouvernance des SI et à atteindre les objectifs de leur organisation. Voici des détails sur les normes les plus couramment utilisées dans la gouvernance des SI : • La norme ISO/IEC 38500 • Le standard ISO/IEC 27001 • Le standard ISO/IEC 20000
- 8. La norme ISO/IEC 38500 La norme ISO/IEC 38500 : Cette norme internationale fournit un cadre de référence pour la gouvernance des SI. Elle décrit les principes de gouvernance des SI et fournit des recommandations pour leur mise en œuvre. La norme ISO/IEC 38500 se concentre sur les rôles et les responsabilités de la direction de l'entreprise dans la gouvernance des SI. Elle établit également des principes pour l'utilisation et la gestion des SI dans le contexte des objectifs stratégiques de l'entreprise. En utilisant cette norme, les entreprises peuvent s'assurer que leur gouvernance des SI est alignée sur leur stratégie globale.
- 9. Le standard ISO/IEC 27001 Le standard ISO/IEC 27001 : Ce standard définit les exigences relatives à la mise en place d'un système de management de la sécurité de l'information (SMSI). Il fournit un cadre de référence pour la gestion de la sécurité de l'information. Le SMSI est une approche systématique de la gestion de la sécurité de l'information dans l'entreprise. Le standard ISO/IEC 27001 fournit des exigences pour la mise en place d'un SMSI, y compris des directives pour l'évaluation des risques, la mise en place de politiques de sécurité de l'information et l'identification et la gestion des incidents de sécurité. Ce standard est largement utilisé pour garantir la confidentialité, l'intégrité et la disponibilité des informations dans les organisations.
- 10. Le standard ISO/IEC 20000 Le standard ISO/IEC 20000 : Ce standard définit les exigences relatives à la mise en place d'un système de management des services informatiques (SMSI). Il fournit un cadre de référence pour la gestion des services informatiques. Le SMSI est une approche systématique de la gestion des services informatiques dans l'entreprise. Le standard ISO/IEC 20000 fournit des exigences pour la mise en place d'un SMSI, y compris des directives pour la gestion des niveaux de service, la gestion des incidents, la gestion des problèmes, la gestion de la continuité des services et la gestion des changements. Ce standard est largement utilisé pour garantir la qualité des services informatiques fournis aux utilisateurs.
- 11. • En utilisant ces normes dans leur processus de gouvernance des SI, les entreprises peuvent améliorer leur gestion des SI, leur sécurité de l'information et la qualité de leurs services informatiques. Ces normes sont également utiles pour garantir la conformité aux réglementations et aux exigences légales.
- 12. Exercice 1: • Votre entreprise souhaite améliorer sa gouvernance des SI en se basant sur le modèle COBIT. Vous avez été chargé(e) de proposer une solution pour mettre en place un processus de gestion des risques basé sur COBIT. • Proposez les étapes clés pour mettre en place ce processus de gestion des risques, en expliquant comment chaque étape contribuera à améliorer la gouvernance des SI de l'entreprise.
- 13. Solution: Étapes clés : 1.Identifier les actifs informatiques : La première étape pour mettre en place un processus de gestion des risques basé sur COBIT consiste à identifier tous les actifs informatiques de l'entreprise. Cela inclut les applications, les bases de données, les serveurs, les équipements réseaux, les données sensibles, etc. Cette étape permettra à l'entreprise de comprendre l'étendue de son environnement informatique et de commencer à évaluer les risques associés à chaque actif. 2.Évaluer les risques : Une fois les actifs informatiques identifiés, l'entreprise doit évaluer les risques associés à chaque actif. Cette évaluation doit prendre en compte l'impact potentiel sur l'entreprise en cas de violation de la sécurité, ainsi que la probabilité que cela se produise. COBIT propose des outils pour évaluer les risques, tels que le cadre de gestion des risques et le tableau de bord des risques.
- 14. 3.Définir les contrôles de sécurité : Après avoir évalué les risques, l'entreprise doit définir les contrôles de sécurité nécessaires pour minimiser les risques identifiés. Ces contrôles peuvent inclure des politiques de sécurité, des procédures de sécurité, des mesures de sécurité techniques, etc. Les contrôles de sécurité doivent être adaptés aux risques identifiés pour assurer leur efficacité. 4.Mettre en place les contrôles de sécurité : Une fois que les contrôles de sécurité ont été définis, l'entreprise doit les mettre en place dans son environnement informatique. Cette étape peut impliquer la mise à jour des politiques de sécurité, la mise en œuvre de nouveaux outils de sécurité, la formation des employés sur les pratiques de sécurité, etc. Cette étape est importante pour assurer que les contrôles de sécurité sont effectifs et opérationnels.
- 15. 5.Évaluer l'efficacité des contrôles de sécurité : La dernière étape consiste à évaluer l'efficacité des contrôles de sécurité mis en place. Cela peut être effectué en utilisant des outils de surveillance, tels que des audits de sécurité ou des analyses de vulnérabilité. Cette évaluation permettra à l'entreprise de s'assurer que les risques identifiés sont bien gérés et que les contrôles de sécurité sont efficaces. En suivant ces étapes, l'entreprise pourra mettre en place un processus de gestion des risques basé sur COBIT qui contribuera à améliorer la gouvernance des SI de l'entreprise. En identifiant les actifs informatiques, en évaluant les risques, en définissant les contrôles de sécurité, en les mettant en place et en évaluant leur efficacité, l'entreprise sera mieux équipée pour gérer les risques liés à ses systèmes informatiques.