Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

mehari Vs Cobit

No description
by

karim teak

on 22 September 2013

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of mehari Vs Cobit

MEHARI
vs
COBIT

By SAHID
this is suppose to be an incomplete thought it is completed on the next slide
americanize
Now although to me the idea of our own superheroes murdering each other and having fights to the death is an uncanny idea.
As a result both companies increased their output in innovation and creativity and brought wonderful entertainment that can be enjoyed over generations.
1-Introduction Général
2-Méhari
-Définition
-Historique
-Les concepts de Méhari
-Démarche générale
-La classification des types d'actif
-L'exposition aux risques
-Les scénarios de risques
-Les sous-services
Plan
-Le plan d'actions
-La base de données Méhari
-Outils Méhari
3-Cobit
Un système d’information (SI) est l’ensemble des moyens et des ressources informatiques dont dispose une entreprise pour recueillir, traiter, stocker et diffuser les données nécessaires à son activité.
(Larousse)
On distingue généralement trois grandes catégories de systèmes, selon les types d'applications informatiques:

Les systèmes de conception :
calcul numérique ,conception assistée par ordinateur,..... ;

Les systèmes industriels ou embarqués
, qui fonctionne fonctionnent selon des techniques temps réel ;

Les systèmes d'information et de gestion
, qui emploient des techniques de gestion.
Domaines de la
gouvernance
des SI
Alignement
stratégique
Apport de valeur
Géstion des Risques
Gestion des
ressources
Mesure de la
performance
- Comment choisir le
SI
le mieux adapté à l’organisation ?
- Comment mettre en place ce
SI
?
- Comment vérifier que ce qu’on a mis en place correspond aux objectifs ?
- Comment vérifier périodiquement que le
SI
correspond toujours aux besoins, puisqu’au fil de l’eau l’organisation évolue ?
Un outil, dans quel but ?
Définition ?
La méthode Méhari résulte des travaux de
Jean-Philippe Jouas
et de
Albert Harari
, alors chez Bull (le premier
DS
du Groupe, le second responsable des méthodes au sein de cette Direction) et de leur consolidation au sein de la commission Méthodes du Clusif (Club de la Sécurité des Systèmes d'Information Français).
MEHARI
(ME
thode
H
armonisée d'
A
nalyse de
RI
sques)
:
est une méthodologie intégrée d’évaluation et de management des risques associés à l’information et à ses traitements.
MEHARI respecte les lignes directrices tracées par la norme ISO 27005:2009 et permet une intégration dans une démarche qui permet d’être utilisée aussi dansle cadre d’un SMSI(ISO 27001:2005) grâce à sa capacité à impliquer et sensibiliser la Direction de l’entité comme les responsables opérationnels.(CLUSIF)
Historique
Version n°1 du MEHARI
1996
Version n°2 du MEHARI
2000
2007
2010
Version n°4 du MEHARI
Une assistance à la classification des actifs.
Version n°6 du MEHARI
Dévelopment ET Publication de
la premiere version
MEHARI

issue des deux methode
MARION
ET
MELISA
Assurer,au sein de l'entreprise et pour l'ensemble de ses unitées,l'equlibre des moyens et la coherance des controles.
Délégué aux unités opérationnelles autonomes les décisions nécessaires a la sécurité de l inforamtion.

Bâtire la sécurité sur une base unique d'appreciation
.
2004
Des changements de vocabilaires et concepts pour s'aligner sur ISO 27005.

Une nouvelle structure des scénario de risque qui définit désormais plusieurs niveaux d’actifs.

Des clarifications sur les définitions de termes telles que Menaces.
Amélioration de certaines fonctions dans la justification des mesures de sécurité.
Une cotation de l’état de la sécurité selon les points de contrôle de l’ISO 27002.
- L’analyse des enjeux de la sécurité
- L’analyse des vulnérabilités
- L’analyse des risques
- Le pilotage de la sécurité
Version n°3 du MEHRI
DEMARCHE 2010
DEMARCHE 2007
Cadre méthodologique
L’analyse
(ou appréciation) des risques
L’analyse des enjeux.
Les diagnostics
de sécurité
Different
perspectives
Méhari
Phase
préparatoire
La prise en compte du
de la mission d’analyse
et
de traitement des risques
des principaux paramètres
de l’analyse des risquesy
La
Planification
des
actions
immédiates
La
planification
des
mesures
à décider
dans le cadre courant
Stratégique
Technique
Organisationnel
L
’Analyse
des
Enjeux
et la
Classification
des
actifs
Le diagnostic de la qualité des services de sécurité
L’appréciation des risquesy

Contexte
La Fixation
Le Cadrage
Stratégique
Phase opérationnelle
d’analyse des risques
Le diagnostic de la qualité
des
services de sécurité
L’appréciation
des
risques
L’analyse des enjeux
et
la classification des actifs
Échelle de valeur
des dysfonctionnements
Classification
des
actifs
Tableau
d’impact
intrinsèque
Établissement
du schéma
d’audit
Diagnostic de la qualité
des services de sécurité
Sélection des
scénarios de risque
Estimation des risques
3. Phase de planification
et
de traitement des risques
La planification des
mesures à décider
dans le cadre courant
La mise en place du
pilotage du
traitement des risques
La planification
des
actions immédiates
Sélection des risques à
traiter en priorité absolue
Choix des mesures à mettre
en œuvre immédiatement
Stratégie de traitement
et priorités
Choix des mesures
et planification
Organisation du
pilotage
Indicateurs et
tableau de bord
Les auditeurs et consultants

Les responsables des SI

La Direction Générale

Les Directions métiers
Les acteurs concernés





Evaluation
( Définition de niveaux de maturité)
Comment utiliser COBIT ?
Planning et organisation (
10
processus).

Comment utiliser les technologies afin que l'entreprise atteigne ses objectifs ?

Acquisition et mise en place (
7
processus).

Comment définir, acquérir et mettre en œuvre des technologies en adéquation avec les objectifs de l’entreprise ?

Fourniture du service et support (
13
processus).

Comment garantir l'efficacité des systèmes technologiques en action ?

Surveillance (
4
processus).

Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une

perspective stratégique ?
Les Domaines (4 Domaines)

PO1 Définir un plan informatique stratégique

PO2 Définir l’architecture de l’information

PO3 Déterminer l’orientation technologique

PO4 Définir les processus, l’organisation et les relations de travail

PO5 Gérer les investissements informatiques

PO6 Faire connaître les buts et les orientations du management

PO7 Gérer les ressources humaines de l’informatique

PO8 Gérer la qualité

PO9 Évaluer et gérer les risques

PO10 Gérer les projets
planning et organisation

AI1 Trouver des solutions informatiques

AI2 Acquérir des applications et en assurer la maintenance

AI3 Acquérir une infrastructure technique et en assurer la maintenance

AI4 Faciliter le fonctionnement et l’utilisation

AI5 Acquérir des ressources informatiques

AI6 Gérer les changements

AI7 Installer et valider les solutions et les modifications
Acquisition et mise en place
DS1 Définir et gérer les niveaux de services
DS2 Gérer les services tiers
DS3 Gérer la performance et la capacité
DS4 Assurer un service continu
DS5 Assurer la sécurité des systèmes
DS6 Identifier et imputer les coûts
DS7 Instruire et former les utilisateurs
DS8 Gérer le service d’assistance client et les incidents
DS9 Gérer la configuration
DS10 Gérer les problèmes
DS11 Gérer les données
DS12 Gérer l’environnement physique
DS13 Gérer l’exploitation
fourniture du service et support
Surveillance

SE1 Surveiller et évaluer la performance des SI

SE2 Surveiller et évaluer le contrôle interne

SE3 S’assurer de la conformité aux obligations externes

SE4 Mettre en place une gouvernance des SI
Schéma détaillée de COBIT

- L'efficacité : qualité et pertinence de l’information

- L'efficience: rapidité de délivrance

- La confidentialité

- L'intégrité, : exactitude de l’information

- La disponibilité

- La conformité : respect des règles et lois

- La fiabilité : exactitudes des informations transmises par le management


- Les compétences : le personnel, efficacité des collaborateurs (internes et externes)

- Les applications : ensemble des procédures de traitement

- Les techniques : équipement; logiciels , réseaux …

- l'infrastructure : ensemble des installations , data center ..

- Les données : informations au sens global (format, structure
…)
Critères et Ressources
COBIT :

Est une méthodologie d’évaluation des services informatiques au sein de l’entreprise.

Est une démarche qui s'appuie sur un référentiel de bonnes pratiques, des indicateurs d'objectifs

(KGI)
et de performance
(KPI)


BUT : permettre de mettre les processus sous contrôle afin de disposer des données permettant à

l'entreprise d'atteindre ses objectifs .

Alignement des technologies sur la stratégie de l’entreprise.
Pour être plus précis…
Inexistant :
Pas de processus / Entreprise non consciente

Initial :
quelques processus / Entreprise prend conscience

Répétitif :
Processus avec modèle répétable / Entreprise traite au cas par cas

Défini :
Processus formalisés, pas de responsabilités définies, pas de suivi qualité

Géré et mesurable :
Processus surveillés, Responsabilités définies, suivi de la qualité, Personnel formé

Optimisé :
Amélioration du processus existant, l’entreprise assure une veille afin de mettre à jour ses méthodes
Les niveaux de maturité : de 0 à 5
La situation actuelle de l'organisation,

La situation des entreprises dans un domaine métier équivalent,

La stratégie d'amélioration de l'entreprise (ce vers quoi elle souhaite aller).
Le modèle de maturité permet de définir :
- Des processus plus simples et plus compréhensibles.

- Une vision compréhensible par les métiers de ce que fait l’informatique.

- De la valeur ajoutée des systèmes d’information.

- Un meilleur alignement de l’informatique sur l’activité de l’entreprise (orientation métier).

- Une attribution claire des responsabilités (approche par processus).

- Une aide à la décision, aux choix, aux investissements…

- Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en phase avec les objectifs de l’entreprise en terme de systèmes d’information.

- Une auto évaluation

-Une comparaison avec d’autres entreprises ayant un même domaine métier
Qu’est ce qu’apporte COBIT ?

COBIT se conforme à d'autres standards informatiques plus détaillés et aux bonnes pratiques, il agit comme intégrateur de ces différents guides en réunissant les objectifs clés dans un même cadre de référence général qui fait aussi le lien avec les exigences de gouvernance et les exigences opérationnelles.
CobiT est organisé en trois niveaux pour appuyer la direction et la fonction conseil, les métiers et le management des SI ainsi que la gouvernance, la sécurité et le contrôle.
Ce schéma de produit basé sur COBIT présente les produits généralement applicables et leur public principal. Il existe également des produits dérivés pour des fonctions particulières (Objectifs dec ontrôle des SI pour SarbanesOxley,) dans des domaines comme la sécurité (Bases de sécurité COBIT et Gouvernance de la sécurité de l'information: Recommandations destinées aux conseils d'administration et aux directions générales) ou pour des entreprises spécifiques (COBIT Quick start pour les petites et moyennes entreprises ou pour les grandes entreprises qui souhaitent accélérer la mise en œuvre d'un programme plus large de gouvernance des SI
Contenu de Cobit

Les produits COBIT s'organisent en trois niveaux (figure 3 )

conçus pour apporter leur aide aux :

Dirigeants et administrateurs,

Directions opérationnelles et informatiques,

Professionnels de la gouvernance, de l'assurance, du contrôle et de la sécurité.
Les produits COBIT
Cadres de référence :
ils permettent de structurer les objectifs de la gouvernance des SI et les bonnes pratiques, par domaine informatique et par processus, et de les relier aux exigences métiers .

Objectifs de contrôle :
ils fournissent un large éventail d'exigences élevées dont la direction doit tenir compte pour mettre en œuvre un contrôle efficace de chaque processus informatique.

Guide de mise en place de la gouvernance informatique :
Utilisation de COBIT et Val IT, 2ème Édition : ce guide fournit une feuille de route générique pour mettre en place la gouvernance des SI en utilisant les ressources de COBIT et Val IT

Pratiques de contrôle COBIT:
Recommandations pour atteindre les objectifs de contrôle et réussir la gouvernance des SI, 2ème édition : conseils sur l'importance des contrôles et sur la façon de les mettre en place.

Guide d'Audit de l’informatique :
Utilisation de COBIT : ce guide fournit des conseils sur la façon d'utiliser COBIT pour favoriser différentes types d'audit ainsi que des propositions de procédures d'évaluation pour tous les processus informatiques et les objectifs de contrôle.

professionnels de la gouvernance, de l'assurance, du contrôle et de la sécurité


Le schéma de contenu COBIT de la figure 3 présente les principaux publics,

leurs questions sur la gouvernance des SI et les produits qui permettent

généralement d'y apporter des réponses. Il existe également des produits

dérivés pour des fonctions particulières, dans des domaines comme la

sécurité ou pour des entreprises spécifiques.
« COBIT 5 » est basé sur un modèle de référence de processus révisé avec un nouveau domaine de la gouvernance et de plusieurs procédés nouveaux ou modifiés qui couvrent désormais l'entreprise et activités de bout en bout, c'est à dire, commerciaux et informatiques fonctionnent domaines.

COBIT 5 consolide COBIT 4.1, Val IT et Risk IT dans un cadre, et a été mis à jour pour l'aligner sur les meilleures pratiques actuelles, par exemple ITILV3 2011 TOGAF.

Le nouveau modèle peut être utilisé comme un guide pour ajuster si nécessaire le propre modèle de processus de l'entreprise (comme COBIT 4.1).
L’Apport cobit 5
Val IT 2.0
COBIT 4.1
COBIT 5
COBIT 5 a clarifié les processus au niveau de la gestion et intégré COBIT 4.1, Val IT et le contenu du Risk IT dans un seul modèle de référence de processus.
Les nouveaux et modifiés procédés suite

- Répondre aux besoins des parties prenantes ;

- Couvrir les besoins de l’entreprise de manière globale et complète ;

- Utiliser un seul framework intégré ;

- Favoriser une approche globale ;

- Séparer les activités de gouvernance et de management.
5 principes et 7 facteurs de développement

- Processus, principes et frameworks ;
- Structure et organisation ;
- Les ressources humaines ;
- Expertises et compétences ;
- Culture ;
- Ethique et comportement ;
- Services, infrastructure, applications et information.
 
5 principes et 7 facteurs de développement

- Sécurité de l’information ;

- Gestion du risque ;

- Gouvernance et maganement de l’IT ;

- Activité d’assurance ;

- Conformité légale et réglementaire ;

- Reporting RSE.
Cobit5
a été conçu pour  répondre aux besoins des entreprises en matière de modèle d’affaires, d’environnement technologique, de secteur économique et de culture d’entreprise. Il peut être utilisé à des fins différentes, par exemple :

RISK IT
est le référentiel de management du système d’information et des technologies par les risques. C’est un guide de principes directeurs et de bonnes pratiques. Il aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques.  Il a été réalisé par une centaine d’experts internationaux de l’ISACA
Risk it

En traitant à la fois des aspects de gouvernance et des principes de gestion, RISK IT est conçu pour servir de socle au management par les risques informatiques. Il s’appuie sur des normes reconnues comme COSO ERM, ISO 31000 et ISO 27005 et assure ainsi le lien à la fois avec le management des risques de l’entreprise et les risques relatifs à la sécurité de l’information.
Risk it
D’autre part, sa structure modulaire en domaines, processus et activités permet de l’enrichir naturellement de référentiels, normes ou méthodes plus spécifiques de tel processus ou activité (par exemple, EBIOS ou MEHARI pour l’analyse des risques).  Il peut néanmoins être utilisé seul puisqu’il intègre naturellement les grands principes de management des risques de l’entreprise, les bonnes pratiques essentielles de contrôle et de management de l’informatique. 
Risk it


RISK IT participe à la mise en place et à l’amélioration de la gouvernance de l’informatique, ce d’autant mieux qu’il est interfacé avec COBIT et ValIT
Risk it

 Le Référentiel RISK IT présente de façon détaillée le modèle de management par les risques informatiques reposant sur 3 domaines, 9 processus et 47 bonnes pratiques. Les domaines et processus retenus sont les suivants 
Le Référentiel RISK IT
Gouvernance des risques (GR)

GR1
Établir et maintenir une vision commune des risques
GR2
Intégrer le management des risques informatiques au management des risques de l’entreprise (MRE)
GR3
Prendre en compte les risques dans les décisions affaire/métier 
Evaluation des risques (ER)
ER1
Collecter les données
ER2
Analyser les risques
ER3
Maintenir le profil de risque
Traitement des risques

TR1
Exprimer les risques
TR2
Gérer les risques
TR3
Réagir aux événements.
chaque guide a ses forces et faiblesses

„ aucun d’eux n’est « l’OUTIL » universel

„ Il faut optimiser l’outil en fonction des objectifs visés

„ La force des guides est dans leurs «spécifités» et complémentarités.
Conclusion : COBIT une norme ?
La clef de la gouvernance est le Contrôle ; Le COBIT est un référentiel
de gouvernance des SI qui décompose tout système informatique en

34 processus,

les quels sont répartis en
4 domaines
fonctionnels,

Ces domaines permettant de couvrir
318 objectifs.
COBIT Socle de le Gouvernance SI
 La Gouvernance des Technologies de l’Information est axée sur la technologie de l’information et de la

communication Cette discipline, en phase avec les objectifs de l’entreprise, s’intéresse plus particulièrement :

La gestion des risques,

A l’optimisation des investissements et des ressources,

Ala création de valeurs et à la performance des technologies de l’information.

« Il s’agit d’une démarche de Management. »
bien évidemment concernés par la mise en place et l’utilisation de COBIT

(parties prenantes dans les processus)
Audit : 318 Objectifs
Liste permettant de cadrer les entretiens et de ne rien oublier. Peut être complété par des spécificités du
domaine de l’entreprise.
Pilotage du Système d’informations :
Mise en place : Définition des objectifs, choix et gestion des ressources, choix et gestion des processus

(Prendre ce que l’on a besoin)
Les Critères sont les suivants (7) :
Pour atteindre ces Critères , le SI dispose des ressources suivantes (5)
:
RiskIT
Les 5 principes sont  les suivants :
Les 7 facteurs pour atteindre les objectifs de l’entreprise :
Cobit  5 a été conçu pour  répondre aux besoins des entreprises en matière de modèle d’affaires, d’environnement technologique, de secteur économique et de culture d’entreprise. Il peut être utilisé à des fins différentes, par exemple :
- Sécurité de l’information ;
- Gestion du risque ;
- Gouvernance et maganement de l’IT ;
- Activité d’assurance ;
- Conformité légale et réglementaire ;
- Reporting RSE.
Full transcript