Les entreprises se tournent vers l’idée des meilleures pratiques, définies comme des procédures permettant d’obtenir des résultats optimaux, afin d’optimiser l’efficacité et la rentabilité. Les cadres de gouvernance tels que ISO 27001 et COBIT constituent des normes de discipline extrêmement détaillées, conçues pour gérer les risques, réduire les pertes et réduire la publicité négative. Bien que les normes ISO 27001 et COBIT traitent toutes deux de la gouvernance dans le domaine des technologies de l’information - contribuant à réduire les dépenses informatiques et les risques de sécurité liés aux technologies - ces méthodologies de premier plan diffèrent par leur objectif et leurs détails.
Les bases
L’Organisation internationale de normalisation publie la norme ISO 27001, qui sert de cadre à la gestion normalisée de la sécurité de l’information et se concentre strictement sur les meilleures pratiques en matière de sécurité. L'Institut de la gouvernance des technologies de l'information publie COBIT - Objectifs de contrôle pour l'information et les technologies connexes -, qui concerne l'ensemble des contrôles, mesures et processus informatiques. L'objectif plus large de COBIT est de combler le fossé entre les objectifs de l'entreprise et les processus informatiques.
Format
Le code de pratiques ISO 27001, essentiellement un guide d'audit qui définit les contrôles auxquels une organisation doit répondre, comprend huit sections principales sur 34 pages. La méthodologie beaucoup plus large de COBIT comprend 34 objectifs de contrôle de haut niveau et 318 objectifs de contrôle détaillés regroupés dans les domaines Planifier et Organiser, Acquérir et mettre en œuvre, Livrer et soutenir et surveiller. Ces directives offrent aux directions une direction pour contrôler les processus informatiques, les réalisations globales et les objectifs de l’entreprise. Contrairement à COBIT, ISO 27001 ne comporte pas de modèles de maturité, qui tentent de donner un aperçu de la manière dont les pratiques d’une organisation peuvent fournir des résultats durables.
Focus et fonction
L’accent mis sur l’adressage et l’audit par la norme ISO 27001 fait de la méthodologie un cadre de contrôle et de gestion plutôt qu’un cadre de processus. Bien qu'elle partage cette structure avec COBIT, ISO 27001 a un objectif plus spécifique - la sécurité - et s'adresse donc à la gestion de niveau inférieur. La méthodologie COBIT cible les besoins de niveau supérieur d'une entreprise et cherche à améliorer l'orientation commerciale globale via des contrôles et des métriques informatiques. En tant que tel, COBIT s'adresse aux plus hauts niveaux tels que les cadres supérieurs, les responsables informatiques et les auditeurs.
Considérations
ISO 27001 et COBIT ne doivent pas nécessairement se faire concurrence. En réalité, les deux cadres se complètent: Si la norme ISO 27001 est axée sur la sécurité, COBIT agit comme une sorte de cadre «global» qui aide à connecter ISO 27001 et d’autres cadres de gouvernance informatique tels que PMBOK et SEI CMM. Les deux systèmes proposent des données "quoi" plutôt que "comment", ce qui signifie qu'elles identifient et mesurent les résultats et suggèrent une direction, mais n'offrent pas de méthodes pour poursuivre ladite direction. Des cadres tels que ITIL, également complémentaire de COBIT et ISO 27001, répondent à la question «comment». Dans le monde de la gouvernance informatique, le terme ISO 17799 est souvent utilisé. Cette méthodologie, également appelée BS7799, est la précurseur de la norme ISO 27001, qui conserve une grande partie de ses fondements.