COBIT 2019 constitue le cadre de référence pour structurer la gouvernance et le management des technologies de l'information (EGIT) à travers 40 objectifs cœur. Le framework intègre des niveaux de cap…

COBIT 2019 constitue le cadre de référence pour structurer la gouvernance et le management des technologies de l'information (EGIT) à travers 40 objectifs cœur. Le framework intègre des niveaux de capacité inspirés du modèle CMMI pour évaluer concrètement la maturité des processus, permettant aux entreprises de passer d'une posture réactive à une gouvernance IT prévisible et alignée sur la stratégie métier.
En bref
Qu'est-ce que la maturité de la gouvernance des TI dans COBIT 2019 ?
La gouvernance des TI ne se limite pas à la conformité ou à la supervision technique. Elle désigne l'ensemble des dispositifs qui garantissent que l'information et la technologie créent de la valeur pour l'entreprise tout en gérant les risques associés. COBIT 2019 formalise cette discipline en intégrant plus de 25 ans de développement dans le domaine de l'EGIT (Enterprise Governance of IT).
Le cœur du référentiel repose sur 40 objectifs de gouvernance et de management. Chacun de ces objectifs décrit des processus et s'appuie sur des composants du système de gouvernance pour atteindre des résultats mesurables. Cette architecture permet de ne rien laisser au hasard : de la culture organisationnelle à la gestion des fournisseurs, en passant par la sécurité de l'information.
Les 40 objectifs de gouvernance et management
Les 40 objectifs couvrent l'ensemble du spectre IT. Ils distinguent la gouvernance (direction, prise de décision, évaluation des options et allocation des ressources) du management (exécution opérationnelle, planification, construction, déploiement et supervision). Cette séparation assure que le board et les directions métiers pilotent la stratégie, tandis que les équipes IT gèrent les livrables de manière structurée.
Les niveaux de capacité inspirés du CMMI
L'un des apports majeurs de COBIT 2019 réside dans son approche de la performance monitoring. Le Chapitre 6 du framework introduit des niveaux de capacité (capability levels) directement inspirés du modèle CMMI (Capability Maturity Model Integration). Contrairement à une évaluation binaire (conforme / non conforme), cette échelle positionne chaque processus sur un palier de maturité. Elle répond à deux questions essentielles : Où en sommes-nous ? et Où voulons-nous aller ? Un niveau de capacité élevé signifie que le processus est non seulement exécuté, mais aussi contrôlé, prévisible et en amélioration continue.
Un framework ouvert et personnalisable
COBIT 2019 n'est pas une méthode rigide. La famille de produits est conçue pour être ouverte et adaptable. Elle s'articule autour de plusieurs publications complémentaires :
Cette modularité garantit qu'une entreprise peut implémenter COBIT 2019 quel que soit son secteur, sa taille ou son niveau de maturité actuel.
Pourquoi la maturité COBIT dépasse l'évaluation ponctuelle
De nombreuses organisations confondent encore évaluation de maturité et audit de conformité. Or, la vision COBIT est dynamique. Elle ne vise pas à sanctionner des écarts à un instant T, mais à établir une trajectoire de progrès structurée.
| Critère | Approche ponctuelle (audit classique) | Vision maturité COBIT 2019 |
|---|---|---|
| Objectif | Vérifier la conformité à un instant T | Mesurer la capacité durable à atteindre les objectifs de gouvernance |
| Résultat | Liste d'écarts souvent non priorisés | Niveau de capacité positionné sur une échelle inspirée du CMMI |
| Progression | Statique | Dynamique : définit une cible et un chemin (« Where do we want to be? ») |
| Alignement métier | Faible ou indirect | Intégré : les 40 objectifs lient gouvernance IT et stratégie d'entreprise |
| Personnalisation | Rigidité du référentiel | Framework ouvert adapté au contexte de l'entreprise |
Comment évaluer et progresser en maturité avec COBIT 2019 en pratique
La mise en œuvre de COBIT 2019 suit une approche structurée en 7 phases. Chaque phase constitue une étape actionnable qui transforme l'intention stratégique en résultats opérationnels mesurables.
1. Identifier les drivers Toute démarche de maturité commence par une question simple : Pourquoi maintenant ? Les motivations peuvent être réglementaires (RGPD, NIS2), une attaque récente, une transformation digitale ou une exigence du conseil d'administration. Formaliser ces drivers justifie l'investissement et définit le périmètre.
2. Évaluer l'existant (« Where are we now? ») Positionner l'entreprise sur les 40 objectifs et évaluer les niveaux de capacité actuels des processus concernés. Cette phase de diagnostic repose sur le COBIT 2019 Framework : Governance and Management Objectives et mobilise les composants du système de gouvernance. Le résultat est une photographie réaliste de la maturité IT.
3. Définir la cible (« Where do we want to be? ») Il n'est ni réaliste ni souhaitable de viser le niveau de maturité maximum sur l'ensemble des 40 objectifs. Le Design Guide aide à sélectionner les objectifs critiques pour le métier et à fixer un niveau de capacité cible cohérent avec la stratégie et les ressources disponibles.
4. Établir le plan d'action (« What needs to be done? ») Cette phase consiste à analyser l'écart entre le niveau actuel et le niveau cible. Le plan d'action détaille les évolutions nécessaires sur les processus, les compétences, les structures organisationnelles et les outils de supervision.
5. Déployer la solution (« How do we get there? ») L'Implementation Guide structure cette phase concrète de déploiement. Il s'agit de mettre en œuvre les changements prioritaires, d'intégrer les nouvelles pratiques dans le quotidien des équipes et de s'assurer que les responsabilités sont clairement assignées.
6. Mesurer les résultats (« Did we get there? ») Le monitoring de performance de COBIT 2019 entre en jeu. L'organisation vérifie si les niveaux de capacité cibles sont atteints et si les objectifs de gouvernance produisent les résultats attendus en termes de valeur et de maîtrise des risques.
7. Maintenir la dynamique (« How do we keep the momentum going? ») La maturité n'est pas un projet ponctuel. Cette dernière phase formalise la gouvernance continue, les cycles d'amélioration et la révision régulière des objectifs pour s'adapter aux évolutions métier et technologiques.
Points clés à retenir
Questions fréquentes
Quelle est la différence entre gouvernance et management dans COBIT 2019 ?
La gouvernance définit la direction, évalue les options, alloue les ressources et surveille la performance globale. Le management planifie, construit, exécute et supervise les activités opérationnelles pour atteindre les objectifs fixés. COBIT 2019 articule ces deux domaines au sein de ses 40 objectifs cœur.Comment COBIT 2019 évalue-t-il concrètement la maturité d'un processus ?
COBIT 2019 introduit des niveaux de capacité inspirés du CMMI (détaillés dans le Chapitre 6 du référentiel). Ces niveaux mesurent la capacité d'un processus à atteindre ses objectifs de manière performante et reproductible, permettant de situer l'entreprise sur une échelle de progression claire.Quels guides de référence utiliser pour implémenter COBIT 2019 ?
La famille de produits comprend quatre ouvrages clés : Introduction and Methodology, Governance and Management Objectives, le Design Guide et l'Implementation Guide. Le premier pose les concepts, le second détaille les objectifs, et les deux derniers guident respectivement la conception sur mesure et le déploiement opérationnel.Peut-on adopter COBIT 2019 si notre maturité IT est faible ?
Oui. Le framework est précisément conçu pour guider la progression depuis une évaluation initiale réaliste (« Where are we now? »). Son caractère ouvert et personnalisable permet de démarrer par les objectifs prioritaires sans viser l'exhaustivité immédiate.Combien de temps faut-il pour progresser en maturité avec COBIT ?
Il n'existe pas de délai universel. La durée dépend du périmètre retenu, de la cible de maturité définie lors de la phase « Where do we want to be? » et des ressources mobilisables. L'important est de suivre les 7 phases pour garantir une progression mesurable et durable.COBIT 2019 remplace-t-il le CMMI pour l'IT ?
Non. COBIT 2019 s'inspire du CMMI pour sa granularité sur les niveaux de capacité, mais il reste un framework dédié à la gouvernance des TI (EGIT). Son périmètre est plus large : il intègre l'alignement stratégique, la gestion des risques et la création de valeur, là où le CMMI est davantage centré sur le développement et l'amélioration des processus.Conclusion
COBIT 2019 offre bien plus qu'un référentiel de bonnes pratiques : il fournit une trajectoire de maturité actionnable, fondée sur 40 objectifs, des niveaux de capacité inspirés du CMMI et une approche d'implémentation en 7 phases. Pour les dirigeants et RSSI, c'est l'outil le plus abouti pour transformer la gouvernance IT en levier de performance durable.
Vous souhaitez savoir où se situe votre organisation aujourd'hui et quelle feuille de route adopter ? Faites le diagnostic de maturité gratuit sur MaturaScore. Vous obtiendrez une évaluation positionnée et un plan d'action assisté par IA, validé par un expert humain, pour démarrer votre progression dès demain.