Gouvernance SI ISO 38500 COBIT 2019 CIGREF · AFAI · IFACI  Veille Réglementaire · Avril 2026 · 16 min

ISO 38500, COBIT 2019 et les Bonnes Pratiques CIGREF
Gouverner le SI par les Référentiels

La gouvernance des systèmes d'information a produit, depuis trente ans, une profusion de référentiels dont la coexistence crée autant de confusion que de clarté pour les organisations qui tentent de les opérationnaliser. ISO 38500, COBIT 2019, ITIL 4, Six Sigma IT, le guide d'audit CIGREF-AFAI-IFACI et les 90 bonnes pratiques du Club Européen de Gouvernance des SI posent chacun une vision partiellement différente du même objet. La vraie question n'est pas de choisir le bon référentiel, mais de comprendre leur complémentarité pour construire un cadre de gouvernance adapté à la taille, au secteur et à la maturité de l'organisation.

10vecteurs de gouvernance SI identifiés dans le Guide CIGREF-AFAI-IFACI 2019 pour l'entreprise numérique
40objectifs de gouvernance et de management dans COBIT 2019, organisés selon un cascade de 13 principes
6principes fondamentaux de l'ISO 38500 pour la gouvernance des technologies de l'information par l'entreprise
3,4défauts par million d'opportunités — niveau Six Sigma visé dans les processus IT à plus haute criticité
L'ISO 38500 — La Gouvernance IT Vue du Conseil d'Administration

La norme ISO/IEC 38500, publiée dans sa version révisée en 2015, pose une question fondamentale que peu d'organisations traitent sérieusement : comment les instances de gouvernance d'une entreprise (conseil d'administration, COMEX, conseil de surveillance) exercent-elles leur responsabilité sur l'utilisation des technologies de l'information ? La norme ne s'adresse pas aux DSI en priorité. Elle s'adresse aux dirigeants qui doivent apprécier, diriger et surveiller l'utilisation des TIC dans leur organisation, quelle que soit leur taille.

Les six principes de l'ISO 38500 forment un cadre intentionnellement simple, conçu pour guider des décisions de gouvernance sans prescrire les mécanismes organisationnels qui permettent de les appliquer. La responsabilité enjoint aux dirigeants d'accepter la responsabilité de leurs actions en matière de TIC. La stratégie requiert l'intégration des TIC dans la stratégie de l'organisation à long et court terme. L'acquisition impose que les décisions d'investissement IT soient prises sur des bases appropriées, claires et transparentes. La performance exige que les TIC soient déployées de manière à soutenir l'organisation et à lui fournir les services aux niveaux et dans la qualité requis. La conformité prescrit que les TIC respectent la législation et les réglementations applicables. Enfin, le comportement humain demande que les politiques TIC tiennent compte du facteur humain dans leur conception et leur mise en oeuvre.

Retour d'expérience — L'ISO 38500 à l'épreuve d'un audit CAC

Dans une ETI industrielle française cotée en 2023, les commissaires aux comptes ont inclus pour la première fois dans leur plan d'audit une revue des pratiques de gouvernance IT, motivée par la dépendance croissante des processus financiers aux systèmes d'information. L'organisation avait certifié ISO 38500 ses pratiques l'année précédente. L'audit a révélé un écart significatif entre les déclarations de gouvernance et les pratiques effectives sur le principe d'acquisition. Les décisions d'investissement IT étaient portées par la DSI sans business case formalisé validé par la direction financière pour les projets inférieurs à 500 000 euros. La certification s'était concentrée sur la documentation des principes sans vérifier leur application opérationnelle. La direction a mis en place un comité d'investissement IT trimestriel co-présidé par le CFO et le CIO, avec un canevas de business case standardisé.

COBIT 2019 — Le Référentiel de Gouvernance le Plus Complet

COBIT 2019, publié par l'ISACA en 2018 pour sa version actuelle, constitue le référentiel de gouvernance et de management des technologies de l'information le plus complet disponible. Sa force principale réside dans sa capacité à connecter les objectifs stratégiques de l'entreprise aux objectifs d'alignement des systèmes d'information, puis aux objectifs spécifiques de gouvernance et de management. Cette cascade d'objectifs, organisée sur trois niveaux, permet à chaque organisation de sélectionner les pratiques pertinentes pour son contexte plutôt que d'appliquer mécaniquement l'intégralité du référentiel.

COBIT 2019 distingue clairement la gouvernance du management. La gouvernance évalue les besoins, les conditions et les options des parties prenantes ; elle oriente en définissant les priorités et les décisions ; elle surveille les performances et la conformité par rapport aux orientations. Le management planifie, construit, exécute et surveille les activités en alignement avec les orientations fixées par les instances de gouvernance. Cette distinction, théoriquement évidente, est massivement ignorée dans la pratique. Dans une grande majorité d'organisations, le DSI assure à la fois la gouvernance et le management de l'IT, sans séparation claire des rôles et des instances, ce qui produit des conflits d'intérêts structurels et une confusion dans la chaîne de responsabilité.

Les Domaines COBIT 2019 et leur Pertinence Opérationnelle

COBIT 2019 organise ses 40 objectifs autour de deux domaines principaux et de cinq sous-domaines. Le domaine Gouvernance couvre l'évaluation, l'orientation et la surveillance (EDM : Evaluate, Direct and Monitor). Le domaine Management couvre l'alignement, la planification et l'organisation (APO), la construction, l'acquisition et la mise en oeuvre (BAI), la livraison, les services et le support (DSS), et enfin la surveillance et l'évaluation (MEA).

EDM
Gouvernance
5 objectifs couvrant la création de valeur, la gestion des risques, l'optimisation des ressources, l'engagement des parties prenantes et la conformité aux exigences.
APO
Alignement et Planification
14 objectifs incluant la stratégie IT, l'architecture d'entreprise, l'innovation, la gestion des ressources humaines, des risques, de la sécurité et de la qualité.
BAI
Build, Acquire, Implement
11 objectifs sur les programmes et projets, la définition des besoins, les solutions, les changements, la connaissance organisationnelle et les actifs.
DSS
Livraison et Support
6 objectifs couvrant la gestion des opérations IT, des actifs, de la sécurité, des demandes de service, des problèmes et de la continuité d'activité.
MEA
Surveillance et Évaluation
4 objectifs sur la surveillance des performances, du système de contrôle interne, de la conformité aux exigences externes et de l'assurance.
Le Guide CIGREF-AFAI-IFACI — La Référence Française pour l'Entreprise Numérique

Le Guide d'Audit de la Gouvernance du Système d'Information de l'Entreprise Numérique, publié dans sa deuxième édition en 2019 par le CIGREF, l'AFAI (chapitre français de l'ISACA) et l'IFACI, constitue la référence opérationnelle la plus adaptée au contexte des grandes entreprises et des administrations françaises. Sa force principale est d'intégrer les enjeux de la transformation numérique dans un cadre d'audit structuré autour de dix vecteurs.

Vecteur 1 — Stratégie
Intégration des enjeux numériques dans le plan stratégique. Alignement entre la feuille de route SI et les paliers de transformation métier. Indicateurs financiers et non-financiers de suivi (CAPEX, OPEX, GPEC, bilan carbone IT).
Vecteur 2 — Innovation
Organisation adaptée à l'innovation, veille technologique structurée, rapidité de traitement des initiatives. Les méthodes agiles permettent à de petites équipes cross-fonctionnelles de tester et de valider des hypothèses en cycles courts.
Vecteur 3 — Risques
Cadre de gestion des risques numériques connecté aux enjeux métiers et stratégiques. Contrôles embarqués dans les applications. Réactivité face aux incidents majeurs avec des procédures testées, pas seulement documentées.
Vecteur 4 — Données
Gestion, valorisation et protection des données. Critères de qualité documentés (traçabilité, intégrité, fraîcheur, exactitude, exhaustivité, cohérence, disponibilité). Gouvernance des données personnelles au titre du RGPD.
Vecteur 5 — Architecture
Cartographie des applications, données, flux et infrastructures. Feuille de route SI déclinant la stratégie numérique. Articulation Core IT / Fast IT pour concilier stabilité opérationnelle et agilité d'innovation.
Vecteur 6 — Portefeuille de Projets
Business cases adaptés à chaque type de projet, priorités de lancement fondées sur une évaluation bénéfice-risque, référentiel des projets partagé avec les directions métiers et la direction générale.
Vecteur 7 — Projets
Gouvernance de projet claire et reconnue, méthode adaptée à la nature du projet (agile ou prédictive), recettes techniques et fonctionnelles formalisées, conformité réglementaire et sécuritaire intégrée dès la conception.
Vecteur 8 — Ressources Humaines
Organisation et management des talents numériques, gestion des compétences en tension (cloud, data, cybersécurité, IA), modèle de sourcing adapté à la stratégie IT et aux capacités internes.
Vecteur 9 — Prestataires et Fournisseurs
Référentiel de gestion des prestataires, SLA définis et mesurés, audit des fournisseurs critiques, gestion des risques de dépendance et de concentration sur un seul prestataire ou un seul hyperscaler.
Vecteur 10 — Budget
Pilotage financier du SI distinguant CAPEX et OPEX, allocation du budget entre RUN et BUILD, transparence du coût de possession, benchmarking par rapport aux ratios sectoriels.
Six Sigma dans les SI — La Rigueur Quantitative de l'Amélioration Continue

Six Sigma, développé par Motorola dans les années 1980 et popularisé par General Electric sous Jack Welch dans les années 1990, a été progressivement adapté aux environnements de services IT. La méthodologie vise à réduire la variation des processus jusqu'à atteindre 3,4 défauts par million d'opportunités (DPMO), niveau symbolique du sigma six. L'adaptation aux SI (Six Sigma for IT Management) produit une approche data-driven de l'amélioration des processus IT qui complète les référentiels de gouvernance en leur apportant la rigueur quantitative qu'ils décrivent sans la prescrire.

Six Sigma pour la gestion des incidents
Mesure du DPMO sur le processus de résolution des incidents
Analyse des causes racines par diagramme de Pareto et Ishikawa
Identification des variables qui influencent le MTTR
Contrôle statistique des améliorations pour éviter la régression
Intégration dans les cartes de contrôle du processus ITSM
Six Sigma pour la gestion de projet IT
Mesure de la Voice of Customer (VOC) pour définir les CTQ
Identification et réduction des défauts en phase de recette
Analyse des causes de dépassement de délais et de budget
Démarche DMAIC appliquée aux livrables de projet
Cartographie des processus de développement et test
Les Bonnes Pratiques CEGSI — 90 Points d'Attention pour la Gouvernance SI

Le Club Européen pour la Gouvernance des Systèmes d'Information (CEGSI) a publié un référentiel de bonnes pratiques organisé en quatre chapitres couvrant l'intégralité du cycle de vie d'un système d'information. Ce référentiel, conçu à partir de retours d'expérience d'organisations de taille et de secteurs variés, présente la particularité de traiter la gouvernance des SI comme un continuum allant de la conception à l'exploitation, en passant par le pilotage et la gestion de l'évolution.

Le premier chapitre, consacré à la gouvernance de la conception des SI, pose 25 pratiques fondamentales dont l'intégration du futur système dans la stratégie de l'entreprise, l'évaluation de la création de valeur, la définition d'une architecture adaptée et la désignation d'un responsable identifié. Le deuxième chapitre, sur la gouvernance du fonctionnement, couvre 22 pratiques incluant la sécurité des opérations, l'audit périodique, le contrôle des anomalies et la documentation. Le troisième chapitre sur le pilotage (23 pratiques) et le quatrième sur la gestion de l'évolution (28 pratiques) complètent ce dispositif avec une attention particulière aux tests préalables à la mise en production et à la formation des utilisateurs.

Cas Pratique — Mise en Place d'un Cadre de Gouvernance dans une ESN de Taille Intermédiaire

Une entreprise de services numériques française de 1 200 collaborateurs, opérant en régie et en forfait pour des clients du secteur bancaire et des institutions publiques, a engagé en 2022 un programme de gouvernance IT motivé par les exigences croissantes de ses donneurs d'ordres en matière d'audit et de certification. Elle ne disposait d'aucun référentiel formalisé, d'une DSI organisée de manière purement opérationnelle et d'aucun processus documenté de gestion des risques IT.

La démarche a consisté à utiliser COBIT 2019 comme référentiel primaire pour définir les objectifs de gouvernance prioritaires, l'ISO 38500 pour structurer le dialogue avec le COMEX sur les responsabilités de gouvernance, et le guide CIGREF sur les vecteurs Données, Sécurité et Projets comme base opérationnelle d'audit interne trimestriel. En 18 mois, l'organisation a atteint un niveau de maturité COBIT de 2,4 sur 5 en moyenne sur ses processus clés, a obtenu la certification ISO 27001 et a construit un tableau de bord de gouvernance SI présenté semestriellement au conseil d'administration. Ses clients bancaires ont intégré ces éléments dans leurs audits fournisseurs annuels, réduisant de 60 % le temps consacré aux questionnaires de conformité.

Comparer et Choisir — La Matrice de Sélection des Référentiels

La question du référentiel à privilégier est fondamentalement une question de contexte. Il n'existe pas de hiérarchie universelle entre ISO 38500, COBIT 2019, le guide CIGREF et le référentiel CEGSI. Chacun répond à un niveau différent de la chaîne de gouvernance, à une audience différente et à une finalité différente.

ISO 38500 est le référentiel d'entrée pour les dirigeants qui souhaitent comprendre leur responsabilité en matière de gouvernance IT sans entrer dans le détail des processus. COBIT 2019 est le référentiel de référence pour construire un cadre de gouvernance et de management complet, adapter les pratiques à la maturité et au contexte de l'organisation, et mesurer les progrès de manière quantifiée. Le guide CIGREF est la référence opérationnelle pour les DSI des grandes entreprises et administrations françaises qui souhaitent aligner leurs pratiques sur les standards de place et préparer un audit de gouvernance. Le référentiel CEGSI convient à des organisations de taille plus modeste qui cherchent une entrée accessible et progressive dans une démarche de gouvernance structurée. Et Six Sigma IT s'applique aux organisations qui souhaitent introduire une rigueur quantitative dans l'amélioration continue de leurs processus de service, particulièrement dans les centres de services mutualisés à fort volume de transactions.

La Gouvernance par les Référentiels — Une Maturité qui se Construit

L'erreur la plus fréquente dans les démarches de gouvernance par les référentiels est de traiter la certification ou l'adoption d'un référentiel comme une finalité en soi. Un COBIT 2019 implémenté produit une valeur proportionnelle à l'appropriation réelle de ses pratiques par les équipes, à la pertinence des objectifs sélectionnés au regard du contexte de l'organisation, et à la régularité des revues d'amélioration. Un référentiel formellement adopté mais opérationnellement ignoré produit des coûts de documentation sans aucun bénéfice de gouvernance.

La gouvernance des systèmes d'information est une pratique managériale avant d'être une pratique documentaire. Les référentiels sont des instruments de dialogue entre les parties prenantes : dirigeants, DSI, auditeurs, régulateurs et partenaires. Leur valeur réelle émerge de l'usage qu'en font des acteurs qui ont compris leurs fondements doctrinaux, pas de la conformité mécanique à leurs prescriptions.