Qu’est-ce que COBIT ? Guide pratique du framework de gouvernance IT de l’ISACA

Les entreprises se tournent vers COBIT® lorsque leurs besoins de gouvernance couvrent plusieurs domaines (qualité des données, gestion des services, opérations de sécurité) plutôt qu’un seul périmètre bien délimité. Le framework COBIT s’articule avec des frameworks plus spécialisés. Conçu spécifiquement pour l’intégration, il sert de couche de gouvernance à l’échelle de l’entreprise, tandis que les équipes s’appuient sur des modèles spécifiques à chaque domaine pour la profondeur opérationnelle.

COBIT est le framework de l’ISACA dédié à la gouvernance et à la gestion de l’information et de la technologie en entreprise. Ce n’est pas un framework spécifique aux données. Son ambition est plus large : aider les entreprises à aligner l’IT sur leurs objectifs stratégiques, à maîtriser les risques et à optimiser les ressources grâce à un système de gouvernance structuré.

COBIT 2019 est la version actuelle, qui succède à COBIT 5. Globalement, COBIT vise à aider les entreprises à créer de la valeur à partir de l’information et de la technologie, en équilibrant la concrétisation des bénéfices avec la maîtrise des risques et l’optimisation des ressources. C’est pourquoi il couvre l’audit, l’architecture, la sécurité, la conformité et les opérations, et ne se cantonne pas aux équipes data.

Si COBIT 2019 reste largement utilisé, c’est notamment parce qu’il est conçu pour être adapté. L’ISACA a pensé ce framework de manière à ce que chaque entreprise puisse façonner son système de gouvernance en fonction de son contexte propre. Cela suppose de prendre en compte des variables comme la stratégie de l’entreprise, son profil de risque, son modèle de sourcing, sa taille ou encore son approche de mise en œuvre.

C’est aussi pour cette raison que COBIT se positionne généralement au-dessus de frameworks plus spécialisés. COBIT offre le cadre global de gouvernance qui aide l’entreprise à décider comment les autres frameworks doivent être pilotés, suivis et alignés sur ses objectifs. COBIT vient par exemple compléter des frameworks tels qu’ITIL et TOGAF. Là où TOGAF guide la conception de l’architecture d’entreprise et ITIL la livraison et la gestion des services, COBIT veille à ce que les deux soient alignés avec les objectifs business, la gestion des risques et la création de valeur.

Le plus simple pour comprendre COBIT 2019 est d’examiner ses trois couches imbriquées : les principes qui orientent le système de gouvernance, les composants qui le constituent, et les domaines et objectifs qui structurent le travail concret de gouvernance et de gestion.

La première couche réunit les principes du système de gouvernance, qui définissent les règles de conception de son fonctionnement. Dans COBIT 2019, les principes sont les suivants :

La deuxième couche se compose de sept composants du système de gouvernance, les briques avec lesquelles une organisation travaille concrètement :

COBIT structure le travail concret de gouvernance et de management autour de 40 objectifs de gouvernance et de management répartis en cinq domaines. C’est la partie de COBIT avec laquelle la plupart des équipes interagissent lorsqu’elles évaluent la maturité, attribuent les responsabilités ou relient les attentes de gouvernance aux pratiques opérationnelles.

COBIT n’est pas interchangeable avec des frameworks de gestion des données comme DCAM. COBIT agit comme une couche de stratégie de gouvernance appliquée à l’information et à la technologie de l’entreprise, tandis que des frameworks spécialisés comme DAMA-DMBOK et DCAM approfondissent la manière dont les données sont définies, prises en charge par les data stewards, mesurées et gérées au quotidien.

COBIT considère les données comme un élément influencé par l’architecture, la sécurité, la responsabilité, les opérations et l’assurance, plutôt que comme un domaine isolé doté de son propre dispositif de contrôle indépendant. Dans COBIT, la gouvernance des données est portée par APO14 (Gestion des données), ainsi que par des objectifs connexes tels que APO01 (Gestion du cadre informatique), APO03 (Gestion de l’architecture d’entreprise), APO13 (Gestion de la sécurité) et DSS05 (Gestion des services de sécurité).

Un conseil d’administration, une fonction d’audit ou un bureau de gouvernance peuvent s’appuyer sur COBIT pour définir les attentes en matière de supervision, de responsabilité, de reporting et de contrôle. Les équipes data utilisent ensuite des frameworks spécialisés ou des standards opérationnels internes pour préciser les pratiques de data stewardship, de métadonnées, de qualité et de cycle de vie. Lorsque les frameworks sont utilisés conjointement, COBIT met souvent en évidence les écarts de gouvernance, tandis que le framework data vient compléter la couche processus sous-jacente.

Snowflake peut soutenir un certain nombre d’objectifs COBIT.

Snowflake Horizon Catalog est une couche de gouvernance et de découverte qui facilite l’application des contrôles d’accès, identifie les données sensibles via la classification, prend en charge le Dynamic Data Masking et les Row Access Policies, et permet de visualiser la traçabilité des données. Cette combinaison est précieuse pour opérationnaliser APO14, car la gestion des données repose sur la capacité à identifier les actifs, à leur associer un contexte de gouvernance et à appliquer les politiques de manière plus cohérente dans tous les environnements. La supervision de la qualité des données de Snowflake soutient également APO14 en permettant aux équipes d’associer des contrôles mesurables aux données gouvernées.

Le contrôle d’accès basé sur les rôles (RBAC), les politiques réseau, le Dynamic Data Masking et l’application de politiques au niveau des lignes sont autant de mécanismes intégrés qui aident à contrôler les accès, à protéger les données sensibles et à rendre les contrôles plus auditables. Ces fonctionnalités contribuent aux objectifs de sécurité et de services de sécurité en plaçant les règles d’accès et de protection au plus près des données gouvernées.

La vue ACCESS_HISTORY de Snowflake enregistre l’ensemble des activités de lecture et d’écriture. Elle est accessible via les schémas ACCOUNT_USAGE et ORGANIZATION_USAGE. Une vue Account Usage répertoriant l’historique des requêtes des 365 derniers jours est également disponible. Le schéma ACCOUNT_USAGE fournit en outre des données d’utilisation historiques et des métadonnées d’objets au niveau du compte. Les équipes d’audit, de gouvernance et de conformité disposent ainsi d’une couche de preuves concrète pour vérifier que les accès et les usages respectent les politiques en vigueur.

Les métadonnées partagées de Snowflake, la traçabilité des données, le modèle d’autorisations et les données d’utilisation peuvent alimenter les travaux d’architecture d’entreprise, en particulier lorsque les équipes ont besoin de savoir où résident les données gouvernées, comment elles circulent et quels mécanismes de contrôle natifs sont disponibles sur la plateforme. C’est précieux, car la gouvernance de l’architecture repose sur des informations exactes concernant les plateformes réellement utilisées et leurs surfaces de contrôle.

Les entreprises utilisent COBIT comme un langage de gouvernance capable de s’étendre de la supervision par le conseil d’administration jusqu’aux preuves opérationnelles, tout en distinguant clairement la gouvernance de la gestion. Il permet aux entreprises d’adapter le système à leur propre contexte et laisse la place à des cadres plus spécialisés en complément. Voilà pourquoi il s’invite simultanément dans les discussions portant sur l’audit, la sécurité, la conformité, l’architecture et la gouvernance des données.

Pour les équipes de gouvernance des données, la manière la plus concrète d’aborder COBIT est de le considérer comme la couche qui indique au reste de l’organisation comment la gouvernance des données doit être pilotée, contrôlée et reliée à la gouvernance globale du SI.