• Bookmark

Élaborer une structure de gouvernance et de gestion pour le commerce électronique en utilisant COBIT 5

Par Chidi Henry Emeribe, CISA, Fondation COBIT 5

COBIT Focus | 16 mars 2015 Anglais | Italien | Japonais | Portugais | Espagnol

Une compagnie établie à Lagos, Nigeria, exploite une entreprise de vente et de distribution de sa marque de chaussures dans des points de vente physiques de la région de Lagos. En vue de développer ses opérations à des régions en dehors de ses points de vente physiques, tout comme pour avoir une meilleure représentation concurrentielle sur le marché nigérien, les décideurs de l'entreprise ont choisi d'utiliser l'Internet comme plateforme de choix pour satisfaire ce besoin.


Une société de conseil a été mandatée pour l'aider à réaliser son rêve d'utiliser la plateforme Internet. LA société de conseil avait le mandat suivant du conseil d'administration de l'entreprise :

  • Développer un site Web de commerce électronique pour l'entreprise afin d’agir comme vitrine pour la marque de la compagnie de chaussures.
  • Fournir une structure de gouvernance et de gestion pour la plateforme de commerce électronique, afin de s'assurer que les nouveaux facteurs de risques impliqués dans la conduite des affaires par voie électronique soient gérés. Et, s'assurer que la plateforme soit maintenue à des coûts optimaux avec une utilisation optimale des ressources.
  • Fournir un soutien à l’ensemble du projet pour une période prolongée, de manière à agir comme bras technologique de l'industrie de la chaussure.

Certaines des principales caractéristiques du site Web comportaient :

  • Une vitrine qui affiche un produit; dans ce cas-ci, des marques de chaussures
  • La possibilité de naviguer à travers les catégories de produits, de choisir une marque de chaussure, de l'ajouter au panier d'achats et de payer avec une carte de crédit ou de débit.
  • L'inscription obligatoire avant de traiter toute transaction avec les renseignements de l'utilisateur recueillis sur le site Web.
  • Le traitement du paiement par un fournisseur externe hébergé par un pays digne de confiance et qui soit conforme à la norme Payment Card Industry sur la sécurité des données (PCI DSS).
  • Un moteur de commerce électronique prenant en charge :
    • La gestion de l'inventaire
    • La gestion des produits
    • La gestion de commandes
    • L’expédition

En d'autres mots, en plus d'être une vitrine pour la présentation et l'achat de produits, le site Web héberge également tous les processus clés, que l'on retrouve habituellement dans une petite boutique de vente au détail ou de gros.


Le projet de site Web possède un budget limité. Pour cette raison, la compagnie a choisi d'héberger le site sur une plateforme d'hébergement partagée avec un fournisseur d'hébergement Web de confiance, avec qui la société de conseil transige depuis les dix dernières années. Le logiciel à code ouvert (ou open-source software - OSS) Drupal a été choisi comme plateforme de développement Web, tandis que Drupal Ubercart propulse le moteur de commerce électronique. Ces choix de plateformes visent à optimiser les coûts, en fournissant une assurance raisonnable que les risques associés aux pannes et aux attaques malveillantes sont évitables.


La criticité des processus hébergés dans ce petit site de commerce électronique a créé une quantité de défis pour la société de conseil.


Les principaux défis étaient :

  • Assurer la confidentialité, l'intégrité et la disponibilité de toutes les transactions sur le site Web
  • Assurer la confidentialité de tous les renseignements personnels (PII) stockés sur le site Web
  • Éviter le temps d'arrêt du site Web
  • Gérer tous les tiers fournisseurs de services, considérant la criticité des processus sous leur contrôle

Afin de gérer ces défis (facteurs de risque) efficacement, en optimisant les coûts et en créant toujours une valeur pour toutes les parties prenantes, la société de conseil, a choisi d'obtenir des orientations du référentiel COBIT 5, comme partie intégrante de son mandat confié par l'entreprise.


Gérer les défis avec la cascade d’objectifs de COBIT 5

COBIT 5 possède une cascade d’objectifs qui peut être utilisée pour mettre en correspondance les besoins des parties prenantes dans toute entreprise ou projet, avec les besoins spécifiques de l'entreprise, eux-mêmes pris en charge par des objectifs spécifiques reliés aux TI. Ces objectifs reliés aux TI sont davantage liés aux objectifs facilitants qui soutiennent l'atteinte des objectifs généraux et des exigences des parties prenantes.1


En tant que parties prenantes dans ce projet, les besoins de l'entreprise portent sur la réalisation de bénéfices en provenance de la gestion du site Web de commerce électronique, de l’utilisation optimale des ressources et en s'assurant que tous les risques associés à l'hébergement du site sur l'Internet sont gérés.


Ces besoins ont été adaptés aux objectifs d’entreprise de la cascade d’objectifs de COBIT 5 suivants :2

  1. Gestion du risque d’affaires
  2. Continuité et disponibilité des services d’affaires
  3. Optimisation des coûts de livraison des services

Ces objectifs d'entreprise sont soutenus par les objectifs liés aux TI suivants :3

  1. Gestion du risque d’affaires lié aux TI
  2. Transparence des coûts, des bénéfices et des risques liés aux TI
  3. Sécurité de l'information, des infrastructures de traitement et des applications
  4. Optimisation des actifs, des ressources et des capacités des TI
  5. Disponibilité d’informations fiables et utiles pour la prise de décision
  6. Personnel des TI et des unités d’affaires compétent et motivé

Les objectifs liés aux TI ont été mis en correspondance aux processus suivants, qui sont des aides indispensables COBIT 5 :4

  1. EDM02 Assurer la livraison des bénéfices
  2. EDM03 Assurer l’optimisation du risque
  3. EDM04 Assurer l’optimisation des ressources
  4. EDM05 Assurer aux parties prenantes la transparence
  5. APO01 Gérer le cadre de gestion des TI
  6. APO03 Gérer l’architecture d’entreprise
  7. APO04 Gérer l’innovation
  8. APO06 Gérer le budget et les coûts
  9. APO07 Gérer les ressources humaines
  10. APO09 Gérer les accords de service
  11. APO12 Gérer les risques
  12. APO13 Gérer la sécurité
  13. BAI01 Gérer des programmes et les projets
  14. BAI04 Gérer la disponibilité et la capacité
  15. BAI06 Gérer les changements
  16. BAI09 Gérer les actifs
  17. BAI10 Gérer la configuration
  18. DSS01 Gérer les opérations
  19. DSS02 Gérer les demandes de service et les incidents
  20. DSS03 Gérer les problèmes
  21. DSS04 Gérer la continuité
  22. DSS05 Gérer les services de sécurité
  23. DSS06 Gérer les contrôles des processus d’affaires
  24. MEA01 Surveiller, évaluer et mesurer la performance et la conformité
  25. MEA02 Surveiller, évaluer et mesurer le système de contrôle interne
  26. MEA03 Surveiller, évaluer et mesurer la conformité aux exigences externes

La mise en correspondance donne une image des processus qui ont été nécessaires pour s'assurer que le projet du service de conseil détenait une structure de gouvernance et de gestion.


Les dimensions de l'aide indispensable et la gestion de la performance de l'aide indispensable sur lesquelles se concentrer pour rendre les processus extrêmement solides.


Les processus ci-dessus doivent aussi être examinés ensemble avec les autres facilitateurs :

  1. Principes, politiques et référentiels
  2. Structures organisationnelles
  3. Culture, éthique et comportement
  4. Information
  5. Services, infrastructure et applications
  6. Personnes, aptitudes et compétences

La concentration était également nécessaire sur les dimensions des facilitateurs de COBIT 5 et leur gestion de la performance.


Ceci donnait l’assurance que la société de conseil avait les structures de gouvernance et de gestion pour garantir que les besoins des parties prenantes, pour le site de commerce électronique, étaient abordés avec une utilisation optimale des ressources et que de tous les risques associés au choix de la plateforme de commerce électronique étaient optimisés.


Implantation

L'implantation de COBIT 5 présentait plusieurs défis, y compris :

  • Où commencer et quoi implanter d'abord
  • Adapter la terminologie des orientations de COBIT 5 aux exigences précises et identifiables de la société de conseil et de l'environnement particulier
  • Compresser et partager le tableau Responsable, approuve, Consulté et Informé (RACI) parmi de plus petits groupes de rôles
  • La majorité des processus abordent les mêmes objectifs liés aux TI

Les actions suivantes ont été entreprises pour surmonter les obstacles d'implantation :

  • La société de conseil a adopté une approche progressive d'implantation, choisissant d'implanter les processus et d'autres facilitateurs, qui produisaient des gains rapides, puis de passer ensuite aux scénarios plus complexes. La priorité a été accordée aux orientations qui contribuaient à la confidentialité, la disponibilité et l'intégrité du projet de commerce électronique.
  • La société de conseil a appliqué la terminologie COBIT 5 à ses terminologies d'objectifs spécifiques de l'entreprise et dans les entités identifiables.
  • Les tableaux RACI donnaient des connaissances des rôles organisationnels qui devraient être en place pour atteindre les objectifs de processus. Ceux-ci ont été réduits pour les mettre en correspondance aux rôles existants dans la société de conseil. Bien qu'il y ait eu des chevauchements, ils appliquaient la propriété du processus au sein de la société de conseil.
  • Lorsque les objectifs liés aux TI étaient mis en correspondance à plus d'un objectif de processus, l'énoncé de l'objectif du processus et la description de l'activité ont été utilisés pour choisir lequel implanter en priorité, en gardant en tête l'objectif du projet de commerce électronique.

Les avantages suivants ont été initialement déterminés en utilisant le guide de mise en œuvre de COBIT 5 (COBIT 5 implementation) :

  • Les tableaux RACI personnalisés de la société de conseil ont aidé à appliquer la propriété du processus à l'échelle de l'entreprise.
  • Les orientations étape par étape des activités du processus COBIT 5 sur la réalisation des objectifs a été adoptée par le service de conseil et élaborée en une liste de choses à faire.
  • Les objectifs du processus et les indicateurs ont donné de bonnes connaissances sur ce qui devait être atteint.
  • Les intrants/extrants (I/O) de la pratique de gouvernance ont fourni une riche source d'orientation des ressources sur les outils pour atteindre les objectifs de gouvernance et de gestion.

Après l'implantation, les avantages initialement identifiables d'instituer une structure de gouvernance ne se sont pas seulement réalisés avec succès, mais ont aussi aidé la société de conseil à conserver des processus viables pour aborder le projet du site Web de commerce électronique, mais aussi pour l'exploitation quotidienne de ses affaires.


Un événement déclencheur

Le projet du site Web de commerce électronique présentait d'immenses défis et présentait un nouveau risque pour l'exploitation de l'entreprise et a donc agi comme événement déclencheur pour que la société de conseil adopte la gouvernance et la gestion de ses processus. COBIT 5 a été adopté comme référentiel d'orientation. Finalement, une structure durable de gouvernance et de gestion a été établie pour l'ensemble de l'entreprise.


Les rôles organisationnels et la propriété du processus sont maintenant plus fermement établis, les processus ont été créés et optimisés et les objectifs initiaux de l'entreprise de Gestion des risques d'affaires, de Continuité et de disponibilité du service d'affaires et d'Optimisation des coûts de livraison des services ont été largement atteints.


Chidi Henry Emeribe, CISA, Fondation COBIT 5

Est actuellement le consultant principal pour Greengate Consult Limited, une société de conseil environnemental et en TI établie au Nigéria. Il possède plus de 12 années d'expérience dans le domaine des TI. Son expertise couvre les domaines de la sécurité de l'information, les audits, la gouvernance et l'assurance. Il a aussi travaillé de façon exhaustive dans les domaines de l'installation, de l'entretien et du soutien de l'infrastructure des systèmes d'information. Emeribe possède une connaissance pratique de la gestion du cycle de vie des SI et de l'infrastructure, de l'audit des SI, de la gouvernance des TI, de la prestation et du soutien de services de TI, de la protection des actifs de l'information, de l'infonuagique et des évaluations de capacité de processus.


Notes de fin

1 ISACA, COBIT 5, 2012, p. 17
2 Ibid, app. D, p. 55
3 Ibid, app. B, p. 49
4 Ibid, app. C, p. 51

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.