Partie 1: Analyse Approfondie et Application du Référentiel Cobit

I. Origine du COBIT 2019

COBIT (Control Objectives for Information and Related Technologies), créé par ISACA
(Information Systems Audit and Control Association) dans les années 1990, est un cadre
reconnu pour la gouvernance et la gestion des systèmes d’information. Conçu pour répondre aux
besoins actuels en matière de gestion des risques et de conformité, COBIT a évolué pour devenir
flexible et adaptable. Sa version la plus récente, COBIT 2019, permet aux entreprises de
personnaliser leur approche selon leurs besoins spécifiques tout en s’alignant sur les objectifs
stratégiques de l’organisation.
II. Objectifs fondamentaux de COBIT 2019
COBIT 2019 vise à maximiser la valeur des systèmes d’information tout en gérant les risques et en
assurant la conformité. Ses objectifs principaux sont :
1. Aligner l'I&T avec la stratégie d’entreprise : Garantir que les objectifs technologiques
soutiennent les priorités stratégiques pour maximiser la création de valeur.
2. Gérer efficacement les risques I&T : Identifier, évaluer et atténuer les risques, notamment
ceux liés à la cybersécurité et à la protection des données.
3. Assurer la conformité réglementaire : Veiller à ce que les processus I&T respectent les
exigences légales et contractuelles, réduisant ainsi les risques de non-conformité.
4. Améliorer la transparence et la prise de décision : Clarifier les responsabilités pour
faciliter des décisions éclairées à tous les niveaux.
5. Optimiser l’utilisation des ressources I&T : Favoriser une gestion efficace des
infrastructures, applications et compétences pour maximiser la productivité et réduire les gaspillages.
III. Composants principaux et structure de COBIT 2019
COBIT 2019 repose sur des composants clés qui forment un système de gouvernance complet et
adaptable. Ces composants, anciennement appelés "enablers", sont conçus pour assurer une
gestion cohérente et efficace des systèmes d’information, quelle que soit la taille de l'entreprise.
1. Objectifs de gouvernance et de gestion
Les objectifs de gouvernance et de gestion sont répartis en cinq domaines majeurs qui couvrent
l’ensemble des processus IT et métiers liés à la gouvernance des systèmes d’information :
❖ Évaluer, Diriger et Surveiller (EDM) : Ce domaine traite de la gouvernance stratégique de
l'I&T et permet de fixer les orientations stratégiques, d’évaluer les performances, et de
s’assurer que l’I&T soutient les objectifs de l’entreprise.
❖ Aligner, Planifier et Organiser (APO) : Ce domaine se concentre sur la planification et
l’organisation des ressources I&T en alignement avec les objectifs stratégiques de
l’entreprise.
❖ Construire, Acquérir et Mettre en Œuvre (BAI) : Ce domaine gère l’acquisition, la mise en
œuvre et l’intégration des solutions technologiques dans les processus métiers.
❖ Fournir, Servir et Soutenir (DSS) : Ce domaine concerne la livraison des services IT au
quotidien, ainsi que la gestion des incidents et de la sécurité opérationnelle.
❖ Surveiller, Évaluer et Apprécier (MEA) : Ce domaine couvre l'évaluation des performances
des systèmes d’information et leur conformité aux exigences internes et externes.
Ces objectifs sont organisés dans un modèle central qui regroupe 40 objectifs de gouvernance et de
gestion, via une cascade d’objectifs (goals cascade), garantissant que les actions en matière d'I&T
soutiennent directement la stratégie d'entreprise.
2. Composantes du système de gouvernance
COBIT 2019 identifie sept composantes essentielles à la bonne gouvernance des systèmes
d'information :
● Les Processus : Ils décrivent les pratiques et activités qui permettent d’atteindre des
objectifs spécifiques en matière de gouvernance et de gestion.
● Les Structures Organisationnelles : Ce sont les entités décisionnelles responsables de la
gouvernance, telles que les comités de direction ou les équipes techniques.
● Les Flux d'Informations : Ce composant traite de la gestion des informations critiques
utilisées dans les processus décisionnels.
 ● Les Compétences et Ressources Humaines : COBIT 2019 insiste sur la nécessité d’avoir
des compétences appropriées pour mener à bien les tâches de gouvernance.
● Les Politiques et Procédures : Elles définissent les règles et les lignes directrices qui
orientent les actions de l’organisation en matière d'I&T.
● La Culture, l’Éthique et le Comportement : Ce composant souligne l’importance d’une
culture organisationnelle saine et d’un comportement éthique dans la réussite des activités de
gouvernance.
● Les Services, Infrastructures et Applications : Ce composant inclut les technologies et
services utilisés pour soutenir le système de gouvernance.
3. Facteurs de conception (Design Factors)
COBIT 2019 introduit des facteurs de conception permettant de personnaliser la gouvernance selon
le contexte spécifique de chaque entreprise. Ces facteurs incluent la taille de l'entreprise, sa stratégie,
son modèle de sourcing IT et ses obligations réglementaires. Ils permettent d’adapter les processus
de gouvernance pour mieux répondre aux besoins particuliers de l’organisation.
IV. Application pratique de COBIT chez Nexor Systems
Nexor Systems fait face à un défi majeur en raison de l'absence d'un plan d'architecture détaillé pour
ses systèmes d'information. Dans ce contexte, l'implémentation de COBIT 2019 offre une solution
efficace pour structurer la gouvernance de la sécurité et mettre en place des contrôles adaptés.
Grâce à sa flexibilité, COBIT permet de compenser l'absence d’une architecture formelle tout en
garantissant une gestion proactive des risques.
1. Analyse des besoins de Nexor Systems
Sans plan d'architecture formel, la première étape de l'implémentation de COBIT est d'identifier les
besoins spécifiques en matière de sécurité. COBIT 2019 permet d’instaurer une gouvernance IT,
même sans une structure claire des systèmes, en mettant en œuvre des processus de gouvernance
adaptés. Les principaux besoins identifiés chez Nexor Systems sont :
● Protéger les informations sensibles (données clients, données financières).
● Gérer efficacement les risques IT, notamment ceux liés à la cybercriminalité.
● Garantir la conformité réglementaire avec les lois locales et les normes internationales.
● Améliorer la résilience opérationnelle en assurant la continuité des services IT.
2. Mise en place de contrôles de sécurité basés sur COBIT 2019
En l'absence d'un plan d'architecture IT détaillé, COBIT 2019 offre des contrôles de sécurité adaptés
aux besoins spécifiques de Nexor Systems. Ces contrôles reposent principalement sur les processus
des domaines Aligner, Planifier et Organiser (APO) et Surveiller, Évaluer et Apprécier (MEA).
a. Gestion des risques IT (APO12 - Managed Risk)
L’un des premiers processus à implémenter est la gestion des risques IT, qui permettra d'identifier,
évaluer et atténuer les menaces pesant sur les systèmes d’information de Nexor.
Étapes pratiques :
● Évaluation des risques : Utiliser des outils de cartographie des risques, tels que RiskWatch
ou RSA Archer, pour identifier les actifs critiques (données, applications, infrastructures) et
évaluer les zones vulnérables.
● Priorisation des risques : Classer les risques en fonction de leur impact potentiel sur
l’entreprise, en tenant compte de la probabilité d'occurrence et des conséquences
financières.
● Traitement des risques : Mettre en place des mesures comme le chiffrement des données
sensibles, des firewalls robustes, et des politiques de gestion des accès.
b. Politiques de sécurité basées sur les objectifs de Nexor (APO13 - Managed
Security)
COBIT 2019 recommande la mise en place de politiques de sécurité alignées avec les objectifs
stratégiques de Nexor.
Étapes pratiques :
● Politique de gestion des accès : Définir des règles d'accès strictes basées sur les rôles
(RBAC) et implémenter un système de gestion des identités et des accès (IAM) comme Okta
ou Azure Active Directory pour centraliser la gestion des accès.
 ● Sécurité des applications et des données : Mettre en place des procédures de protection
des données (chiffrement, sauvegarde régulière, gestion des clés), ainsi que des contrôles
pour surveiller l'intégrité des applications utilisées dans les opérations quotidiennes.
● Politique de réponse aux incidents : Établir une stratégie claire de réponse aux incidents
de sécurité, avec des procédures bien définies pour détecter, signaler et traiter les incidents.
COBIT 2019 recommande une surveillance proactive (DSS05 - Managed Security Services)
pour identifier rapidement les anomalies et déclencher une réponse appropriée.
3. Renforcement de la gouvernance par la surveillance continue (MEA01 - Managed
Performance and Conformance Monitoring)
COBIT 2019 encourage la surveillance continue pour s'assurer que les contrôles de sécurité sont
efficaces. Chez Nexor Systems, cela peut être réalisé même sans une architecture formelle grâce à
des outils de suivi et d’évaluation des performances.
Étapes pratiques :
● Suivi des indicateurs de performance (KPI) : Définir des KPI tels que le nombre d'incidents
de sécurité détectés ou le taux de conformité aux régulations. Utiliser des outils comme
Splunk ou SIEM pour une surveillance en temps réel, permettant une réponse rapide en cas
d'incident.
● Audit de sécurité régulier : Effectuer des audits internes pour évaluer l’efficacité des
mesures de sécurité et garantir leur conformité aux normes. Cela permet d’ajuster les
contrôles en fonction des besoins de l’entreprise.
V. Étude de cas : Mise en œuvre de COBIT pour résoudre un incident de sécurité chez Nexor
Systems
Contexte
Nexor Systems a été victime d'une attaque de phishing qui a compromis les informations
d’identification d’un technicien de maintenance, permettant à un attaquant d'accéder à des systèmes
critiques. Cet incident a révélé des lacunes dans la gestion des accès et la réponse aux incidents de
sécurité.
Cas d'étude réel : Target Corporation (2013)
Une étude de cas pertinente pour illustrer un incident de phishing et la réponse efficace basée sur
COBIT est celle de Target Corporation. En 2013, Target a subi une attaque majeure où les
informations d'identification d'un prestataire de services de chauffage, ventilation et climatisation ont
été compromises à travers une attaque de phishing. L'attaquant a utilisé ces identifiants pour accéder
au réseau interne de Target, compromettant les informations de carte de crédit de plus de 40 millions
de clients.
L'enquête a révélé que Target n'avait pas mis en place une gestion stricte des accès pour ses
prestataires, ni des contrôles d'accès basés sur les rôles (RBAC). De plus, les systèmes d'alerte en
cas de comportement anormal n'ont pas été correctement exploités. Cette faille de sécurité a coûté à
Target des millions de dollars en amendes et en coûts de remédiation, sans compter les dommages à
sa réputation.
Leçons pour Nexor Systems :
● Utiliser une authentification multi-facteurs (MFA) et le contrôle d’accès basé sur les
rôles (RBAC) pour limiter l’accès.
● Mettre en place une surveillance proactive pour détecter les comportements suspects.

Étapes pour résoudre l'incident avec COBIT 2019

Étape 1 : Analyse des risques (APO12 - Managed Risk)
● Cartographier les risques liés au phishing et aux identifiants compromis.
● Évaluer les systèmes critiques et les impacts potentiels (perte financière, atteinte à la
réputation).
Les résultats de cette analyse permettent à Nexor de comprendre où se situent les vulnérabilités
principales, comme la formation insuffisante des employés à la reconnaissance des courriels de
phishing ou le manque de surveillance proactive des activités suspectes.
Étape 2 : Renforcement des contrôles d'accès (APO13 - Managed Security)
● Mise en place d’un contrôle d’accès basé sur les rôles (RBAC) : Limiter l'accès aux
systèmes sensibles selon les rôles des utilisateurs.
● Activation de l'authentification multi-facteurs (MFA) : Exiger une double authentification
pour l’accès aux systèmes.
● Surveillance des activités anormales : Mettre en place des systèmes de détection
d’anomalies pour surveiller les activités suspectes en temps réel.
Étape 3 : Gestion proactive des incidents (DSS05 - Managed Security Services)
● Établissement d’une équipe de réponse dédiée à la gestion des incidents.
● Déploiement de procédures d'escalade : Désactiver l’accès des comptes compromis
immédiatement et identifier les systèmes touchés.
● Investigation post-incident : Mener une analyse post-incident pour identifier les failles et
adopter des mesures correctives (ex. : renforcer les filtres de sécurité pour les courriels).
Étape 4 : Formation et sensibilisation des employés (BAI05 - Managed Organizational Change)
● Programmes de sensibilisation au phishing : Former régulièrement les employés sur les
cyberattaques.
● Politiques de formation continue : Mettre en place des formations en cybersécurité sur la
gestion des mots de passe et la reconnaissance des emails suspects.
Étape 5 : Surveillance continue et amélioration (MEA03 - Managed Compliance with External
Requirements)
● Audits de sécurité réguliers : Planifier des audits pour évaluer l’efficacité des contrôles
(RBAC, MFA, formation).
● Suivi des incidents et amélioration continue : Maintenir un registre des incidents et
analyser les failles récurrentes pour les corriger.
Conclusion
En appliquant les principes de COBIT 2019, Nexor Systems peut non seulement résoudre
efficacement l’incident de phishing, mais aussi renforcer à long terme la sécurité de ses systèmes
d’information. Cette approche proactive, basée sur la gestion des risques, la sensibilisation des
employés et des contrôles renforcés, assurera la résilience de Nexor face aux menaces futures tout
en respectant les normes de sécurité.
Partie 2 : Stratégie de Sécurité et Communication au Directeur

I. Élaboration d'une Stratégie de Sécurité

Dans le contexte actuel de Nexor Systems, où il n'existe pas de plan d'architecture détaillé des
systèmes, la mise en place d'une stratégie de sécurité efficace nécessite une approche pragmatique
et progressive. Nous allons nous appuyer sur les principes du référentiel COBIT pour garantir une
gestion optimale de la sécurité, même dans des circonstances imparfaites. Voici les étapes-clés de
cette stratégie :

1. Évaluation et identification des actifs critiques

La première étape consiste à effectuer une évaluation complète pour identifier les actifs critiques de
l'entreprise, tels que les données sensibles, les systèmes financiers, les applications centrales et les
infrastructures réseaux. En l'absence d'un plan d'architecture formalisé, un audit IT doit être mené
pour inventorier ces actifs en détail et évaluer leur niveau de risque associé.

Outils et ressources nécessaires :

● Outils d'audit IT : Nessus, Qualys pour l'inventaire des actifs et l'analyse des vulnérabilités.
● Outils de gestion des actifs : ServiceNow, ManageEngine pour la gestion des actifs IT et
leur suivi.
● Processus COBIT : APO12 (Gérer les risques) sera utilisé pour effectuer cette analyse
initiale, permettant d'évaluer les vulnérabilités et prioriser les risques.

2. Mise en œuvre de mesures de sécurité prioritaires

Une fois les actifs critiques identifiés, il devient crucial de prioriser leur protection. Les systèmes
sensibles doivent immédiatement bénéficier de mesures de renforcement, telles que des contrôles
d'accès basés sur les rôles (RBAC), le chiffrement des données sensibles, et une surveillance accrue
des systèmes.

Outils et ressources nécessaires :

● Systèmes de contrôle d'accès : Cisco Identity Services Engine (ISE), Okta pour la mise
en place du RBAC.
● Solutions de chiffrement : BitLocker, VeraCrypt pour protéger les données sensibles.
● Outils de surveillance et gestion des vulnérabilités : Splunk, AlienVault pour la détection
des intrusions et la surveillance continue des systèmes.
● Processus COBIT : DSS05 (Gérer la sécurité des services) sera appliqué pour la mise en
place des mesures de protection, telles que l'installation de pare-feux, systèmes de détection
d'intrusion (IDS), et la gestion des vulnérabilités.

3. Surveillance continue et gestion des incidents

Nexor Systems doit adopter une stratégie de surveillance continue pour détecter toute activité
suspecte sur les systèmes IT. La mise en œuvre de cette surveillance proactive est essentielle pour
anticiper et réagir rapidement aux incidents de sécurité, notamment en l'absence d'un plan
d'architecture formalisé.

Outils et ressources nécessaires :

● SIEM : Splunk, IBM QRadar pour la gestion des événements et des informations de sécurité
(SIEM) et la détection proactive des menaces.
● Outils de gestion des incidents : ServiceNow ITSM, SolarWinds Security Event
Manager pour assurer une gestion efficace des incidents.
● Processus COBIT : DSS02 (Gérer les opérations) sera utilisé pour définir des procédures de
surveillance continue et de gestion des incidents.

4. Plan de continuité et de réponse aux incidents

Un plan de réponse aux incidents doit être mis en place pour garantir la résilience des systèmes de
Nexor. En cas de faille de sécurité, une réponse rapide est cruciale pour minimiser les dommages et
rétablir les services dans les plus brefs délais.

Outils et ressources nécessaires :

● Outils de gestion de la continuité : Zerto, Veeam pour assurer la reprise après sinistre et la
continuité des services.
● Solutions de gestion des incidents : ServiceNow ITSM, PagerDuty pour coordonner les
équipes et automatiser la réponse aux incidents.
● Processus COBIT : DSS04 (Gérer la continuité des services) sera appliqué pour élaborer un
plan de réponse aux incidents, incluant des tests réguliers et une amélioration continue des
processus de reprise.

5. Formation des utilisateurs et sensibilisation à la sécurité

L'un des principaux risques pour une entreprise sans plan d'architecture défini reste le facteur
humain. Nexor Systems doit investir dans une formation continue de ses employés pour les
sensibiliser aux menaces cybernétiques et à l’importance d'adopter les meilleures pratiques en
matière de sécurité.

Outils et ressources nécessaires :

● Plateformes de formation : KnowBe4, Cofense pour organiser des formations et des

simulations de phishing.
● Outils de gestion des compétences : SAP SuccessFactors, Cornerstone OnDemand
pour suivre les progrès des utilisateurs et planifier les programmes de sensibilisation.
● Processus COBIT : APO07 (Gérer les ressources humaines) sera utilisé pour structurer et
exécuter des programmes de sensibilisation à la sécurité de manière régulière.

II. Plaidoyer personnalisé au Directeur

Monsieur le Directeur,

La citation de Confucius : "L'expérience est une lanterne que l'on porte sur le dos et qui n'éclaire
jamais que le chemin parcouru", résonne fortement avec mon approche de la gestion des risques et
de la sécurité. Bien que mon expérience directe puisse encore sembler limitée, je suis fermement
convaincue que l'expérience ne se limite pas seulement à ce que l'on a vécu soi-même, mais qu'elle
inclut également l'apprentissage et l'application des savoirs accumulés par d'autres.

En tant que candidate pour le poste de Responsable de la Sécurité des Systèmes d'Information
(RSSI), je m'efforce d'éclairer mon chemin en me basant sur des cadres de référence comme le
COBIT 2019, qui regroupe les meilleures pratiques en matière de gouvernance et de gestion des
systèmes d'information. Ce cadre fournit des outils et des recommandations fiables que j’utiliserai
pour structurer la sécurité de vos systèmes malgré l'absence d'un plan d'architecture détaillé.

Mon approche proactive repose sur la capacité à tirer parti des enseignements collectifs, en
garantissant une gestion rigoureuse des risques, une conformité avec les normes, et une amélioration
continue des processus. COBIT offre un guide structuré qui m'aidera à pallier les lacunes actuelles en
termes d’architecture, en mettant en place une surveillance continue, des contrôles renforcés, et une
réponse rapide aux incidents.

En somme, bien que mon expérience personnelle puisse ne pas encore inclure toutes les situations
que vous avez rencontrées, je saurai mobiliser les ressources et les connaissances partagées par
l'industrie pour sécuriser efficacement vos systèmes, tout en garantissant la résilience de Nexor
Systems face aux cybermenaces futures.

Cordialement.
Collaboration : Rôle de chaque membre du groupe

Chaque membre du groupe a d'abord tenté de réaliser le travail individuellement, en se concentrant

sur les différentes parties du devoir. Ensuite, nous nous sommes réunis pour discuter de chaque
section, échanger des idées et ajuster nos approches respectives. Cela nous a permis d'améliorer et
de finaliser ensemble la rédaction finale.