Qu’est-ce que COBIT 2019 ?
COBIT (Control Objectives for Information and Related Technologies) est un cadre de gouvernance et de gestion des systèmes d’information développé par l’ISACA. La version 2019 introduit un système de design flexible permettant d’adapter le cadre aux besoins spécifiques de chaque organisation.
Structure de COBIT 2019
COBIT 2019 s’organise autour de 40 objectifs de gouvernance et de gestion répartis en 5 domaines :
| Domaine | Abréviation | Objectifs | Nature |
|---|
| Évaluer, Diriger et Surveiller | EDM | 6 | Gouvernance |
| Aligner, Planifier et Organiser | APO | 14 | Gestion |
| Construire, Acquérir et Implémenter | BAI | 10 | Gestion |
| Livrer, Servir et Soutenir | DSS | 6 | Gestion |
| Surveiller, Évaluer et Apprécier | MEA | 4 | Gestion |
Scoping dans Gëstu Control
Tous les 40 objectifs ne sont pas forcément pertinents pour chaque organisation. Gëstu Control inclut une étape de scoping au démarrage d’une mission COBIT :
- Créez une mission avec le référentiel COBIT 2019
- L’interface de scoping s’affiche automatiquement
- Pour chaque objectif, indiquez s’il est In scope ou Out of scope
- Justifiez les exclusions (obligatoire pour l’audit)
- Validez le scope — seuls les objectifs inclus apparaîtront dans l’évaluation
Un scoping bien réalisé est crucial. Un auditeur externe s’appuiera sur vos justifications d’exclusion. Documentez précisément pourquoi un objectif ne s’applique pas à votre contexte.
Niveaux de maturité COBIT
Contrairement à ISO 27001 qui utilise conforme/non conforme, COBIT évalue chaque objectif sur une échelle de maturité de 0 à 5 :
| Niveau | Libellé | Description |
|---|
| 0 | Incomplet | Le processus n’est pas mis en œuvre |
| 1 | Initial | Le processus est mis en œuvre de façon ad hoc |
| 2 | Géré | Le processus est planifié et suivi |
| 3 | Établi | Le processus est défini et documenté |
| 4 | Prévisible | Le processus opère dans des limites définies |
| 5 | Optimisé | Le processus est continuellement amélioré |
Objectifs cibles
Pour chaque objectif dans votre mission, vous pouvez définir un niveau cible (le niveau que votre organisation souhaite atteindre) en plus du niveau actuel évalué.
L’écart entre niveau actuel et niveau cible constitue la base du plan d’action.
Rapport COBIT
Le rapport généré pour une mission COBIT inclut :
- Heatmap de maturité par domaine
- Comparaison niveau actuel vs niveau cible
- Objectifs prioritaires (écart le plus important)
- Recommandations par objectif
Ressources COBIT
COBIT 2019 est une norme propriétaire de l’ISACA. L’accès au référentiel complet nécessite un abonnement ISACA. Gëstu Control intègre les contrôles avec licence d’utilisation.
