La gouvernance IT en entreprise est l'ensemble des règles, des rôles et des instances qui garantissent que le système d'information sert réellement la stratégie de l'entreprise, maîtrise ses risques et optimise ses ressources. Elle répond à une question de direction générale, pas de service technique : l'informatique est-elle alignée sur le métier, et est-elle sous contrôle ?
Réponse rapide : La gouvernance IT répond à la question « l'informatique sert-elle le métier et est-elle maîtrisée ? », tandis que la gestion IT répond à « comment fait-on tourner les services au quotidien ? ». COBIT est le référentiel de gouvernance (stratégique), ITIL le référentiel de gestion des services (opérationnel) ; ils sont complémentaires, et la norme ISO/IEC 38500 sert de boussole au conseil d'administration. Au Maroc, l'enjeu est devenu concret : la CNDP est passée en phase de contrôle actif en février 2025, la loi 05-20 et la DNSSI imposent un socle de sécurité, et Maroc Digital 2030 pousse les entreprises vers plus de maturité.
Cet article explique, sans jargon, ce qu'est la gouvernance IT, pourquoi les moyennes et grandes entreprises marocaines en ont besoin maintenant, comment situer ITIL et COBIT l'un par rapport à l'autre, et quels rôles, processus et contrôles mettre en place pour démarrer.
Qu'est-ce que la gouvernance IT, et en quoi diffère-t-elle de la gestion IT au quotidien ?
La confusion la plus fréquente consiste à mélanger gouvernance et gestion. Ce sont deux étages différents. La gouvernance fixe la direction : elle évalue les besoins, oriente les investissements et surveille les résultats. C'est le rôle de la direction générale et du conseil d'administration. La gestion, elle, exécute : elle conçoit, livre et améliore les services informatiques au jour le jour, sous la responsabilité de la DSI et des équipes opérationnelles.
Une image simple : la gouvernance décide qu'on roule à droite et fixe la limite de vitesse ; la gestion conduit la voiture. Concrètement, la gouvernance répond à des questions comme « investit-on dans le bon ERP au regard de notre stratégie ? » ou « notre exposition au risque cyber est-elle acceptable ? ». La gestion répond à « comment résout-on cet incident en moins de quatre heures ? ». Beaucoup d'entreprises marocaines disposent d'une bonne gestion IT (des équipes qui réparent) mais d'aucune gouvernance (personne qui arbitre et contrôle au niveau stratégique). C'est précisément ce déséquilibre que les référentiels viennent corriger.
Pourquoi les moyennes et grandes entreprises marocaines en ont-elles besoin en 2025-2026 ?
Parce que le contexte a changé sur trois fronts à la fois. D'abord, le réglementaire. La CNDP a clôturé sa phase de sensibilisation de quinze ans en février 2025 et est passée au contrôle actif, avec des campagnes sectorielles et des mises en demeure adressées à plusieurs entreprises dès mai 2025. La conformité des données n'est plus optionnelle. Ensuite, la cybersécurité : la loi 05-20 et la Directive Nationale de la Sécurité des Systèmes d'Information (DNSSI) imposent un socle minimal aux administrations, établissements publics et infrastructures d'importance vitale, publiques comme privées.
Enfin, le macro-environnement. Maroc Digital 2030 mobilise 11 milliards de MAD pour 2024-2026, vise un cloud souverain et déploie des outils de maturité numérique pour les entreprises. Dans une économie composée à environ 95 % de PME (HCP, 2024), peu d'entreprises disposent d'un DSI étoffé. La gouvernance IT devient alors le moyen de structurer la décision technologique sans attendre une crise (audit CNDP, incident cyber, projet ERP dérapant) pour réagir.
ITIL ou COBIT : faut-il vraiment opposer les deux ?
Non, et c'est l'erreur la plus coûteuse. ITIL et COBIT ne couvrent pas la même chose. La majorité des organisations matures utilisent les deux : COBIT pour aligner l'IT sur les objectifs métier, ITIL pour faire tourner des services efficaces. Les chiffres du secteur le confirment : environ 95 % des entreprises utilisent l'un des grands référentiels de gouvernance, et plus de 65 % en combinent plusieurs (Invensis Learning).
Le tableau ci-dessous résume la distinction utile pour un dirigeant.
| Critère | COBIT | ITIL | |---|---|---| | Nature | Référentiel de gouvernance | Référentiel de gestion des services | | Question posée | L'IT sert-elle le métier et est-elle maîtrisée ? | Comment livre-t-on de bons services au quotidien ? | | Portée | Toute l'entreprise (pas seulement la DSI) | Les services et opérations IT | | Propriétaire | Direction générale, conseil d'administration | DSI, équipes opérationnelles | | Horizon de résultats | 12 à 18 mois pour un déploiement complet | 3 à 6 mois sur un service donné |
La bonne lecture n'est donc pas « lequel choisir » mais « dans quel ordre les déployer ». Pour cadrer ce choix sereinement, notre conseil digital part toujours de la stratégie avant l'outil.
Que couvre concrètement COBIT, et à qui s'adresse-t-il ?
COBIT est le référentiel de l'ISACA pour la gouvernance et la gestion de l'information et de la technologie d'entreprise. Point important : il s'adresse à toute l'entreprise, pas seulement à la DSI. Il couvre l'« I&T d'entreprise », c'est-à-dire toute l'information et la technologie que l'organisation utilise pour atteindre ses objectifs.
COBIT 2019 définit 40 objectifs de gouvernance et de gestion, répartis en 5 domaines. Le domaine EDM (Évaluer, Diriger, Surveiller) regroupe les 5 objectifs de gouvernance qui relèvent de l'instance dirigeante : c'est le cœur stratégique. Les quatre autres domaines relèvent de la gestion : APO (Aligner, Planifier, Organiser), BAI (Construire, Acquérir, Implémenter), DSS (Délivrer, Servir, Supporter) et MEA (Surveiller, Évaluer, Apprécier).
Concrètement, COBIT répond à des questions de conseil d'administration : nos investissements IT créent-ils de la valeur ? Nos risques sont-ils identifiés et traités ? Sommes-nous conformes ? L'ISACA a d'ailleurs publié en 2025 un guide d'utilisation de COBIT pour gouverner les systèmes d'IA, signe que le cadre s'étend aux nouveaux usages que Maroc Digital 2030 encourage.
Que couvre ITIL 4, et quand l'adopter en premier ?
ITIL 4 est le référentiel de gestion des services informatiques. Il est structuré autour du Service Value System (SVS) et de 34 pratiques de gestion qui remplacent les anciens processus d'ITIL v3, ainsi que de quatre dimensions du service : organisations et personnes, information et technologie, partenaires et fournisseurs, flux de valeur et processus.
Pour un dirigeant, l'essentiel tient dans quelques pratiques opérationnelles très concrètes : la gestion des incidents (rétablir un service interrompu vite), la gestion des problèmes (traiter les causes profondes pour éviter la récurrence) et la gestion des demandes de service (traiter proprement les requêtes courantes). ITIL 4 repose en outre sur sept principes directeurs lisibles par tous : se concentrer sur la valeur, partir de l'existant, progresser de façon itérative avec des retours, collaborer et favoriser la visibilité, penser et travailler de manière globale, faire simple et pratique, optimiser et automatiser.
Quand commencer par ITIL ? Quand la douleur est opérationnelle : pannes à répétition, support désorganisé, insatisfaction des utilisateurs. ITIL donne des résultats visibles en 3 à 6 mois sur un service ciblé, ce qui en fait un excellent point de départ.
Où se situent la norme ISO/IEC 38500 et le conseil d'administration ?
Au-dessus de COBIT. La norme ISO/IEC 38500 est un standard fondé sur des principes, destiné aux conseils d'administration et aux dirigeants. Elle repose sur six principes : responsabilité, stratégie, acquisition, performance, conformité et comportement humain. Son rôle est de donner la direction au plus haut niveau, pas de décrire les processus détaillés.
La bonne articulation est donc une pyramide à trois niveaux. ISO/IEC 38500 sert de boussole au conseil d'administration : que voulons-nous de l'IT, quels principes guident nos décisions ? COBIT traduit ces principes en objectifs de gouvernance et de gestion mesurables. ITIL exécute, au niveau des services. Les trois sont complémentaires, pas concurrents.
Pour une entreprise marocaine, ce schéma a un avantage pratique : il évite le piège du « tout COBIT » disproportionné. Une PME ou une ETI peut se contenter d'adopter l'esprit de l'ISO/IEC 38500 au comité de direction, de sélectionner quelques objectifs COBIT prioritaires (risque, conformité, valeur des investissements) et de déployer ITIL là où la douleur opérationnelle est la plus forte.
Quels rôles, processus et contrôles mettre en place pour démarrer ?
La gouvernance n'existe que si quelqu'un en est responsable. Quatre briques suffisent pour démarrer.
Côté rôles : un comité de gouvernance IT (direction générale, DSI, direction financière, un référent métier) qui se réunit chaque trimestre pour arbitrer les investissements et revoir les risques ; un responsable de la conformité des données (lien direct avec la CNDP) ; un responsable sécurité (RSSI ou équivalent, même mutualisé).
Côté processus : un comité d'arbitrage des projets IT, un registre des risques tenu à jour, et un processus de gestion des incidents inspiré d'ITIL.
Côté contrôles : une cartographie des données (qui détient quoi, où, dans quel but), un suivi des accès, et des indicateurs simples (taux de disponibilité, délai de résolution des incidents, état des déclarations CNDP).
Le tout doit rester proportionné. Un audit de maturité initial, comme celui que propose ClaroDigi via son conseil digital, permet de calibrer l'effort sur votre taille réelle. Pour choisir le partenaire qui pilotera cette structuration, notre guide du cabinet de conseil IT au Maroc détaille les critères à vérifier.
Comment la gouvernance IT s'articule-t-elle avec la CNDP, la loi 05-20 et la DNSSI ?
La gouvernance IT est précisément le cadre qui transforme ces obligations légales en contrôles tenables. Côté données, la loi 09-08, supervisée par la CNDP, impose à toute organisation qui collecte, traite ou stocke des données personnelles (sites web, applications, CRM, bases RH) de déclarer ses traitements ou d'obtenir une autorisation préalable. Les sanctions sont concrètes : l'article 52 prévoit une amende de 10 000 à 100 000 MAD pour l'exploitation d'un fichier sans déclaration ou autorisation, jusqu'à 300 000 MAD pour les violations touchant des données sensibles, avec des peines de prison (de trois mois à environ un à deux ans).
Côté cybersécurité, la loi 05-20 (avec son décret d'application 2-21-406 de 2021) fixe des mesures de sécurité organisationnelles et techniques et désigne la DGSSI comme autorité nationale. La DNSSI impose un socle minimal aux administrations, établissements publics, collectivités et infrastructures d'importance vitale, publiques ou privées. Une gouvernance IT bien conçue relie ces deux exigences à votre cartographie des données et à votre registre des risques. Pour aller plus loin sur ce volet, consultez notre guide dédié à la sécurité et conformité des données en entreprise.
Par où commencer : une feuille de route pragmatique ?
La séquence qui fonctionne tient en quatre temps, étalés sur six à douze mois. Premier temps (mois 1-2) : un audit de maturité et une cartographie des données. On ne gouverne pas ce qu'on ne connaît pas. Deuxième temps (mois 2-4) : des gains rapides ITIL sur le service le plus douloureux (souvent la gestion des incidents et du support), pour démontrer la valeur vite. Troisième temps (en parallèle) : poser la couche de gouvernance, en sélectionnant quelques objectifs COBIT prioritaires (valeur des investissements, risque, conformité) plutôt qu'un déploiement intégral.
Quatrième temps : ancrer le tout dans des instances vivantes (comité trimestriel, registre des risques, indicateurs). Le déploiement COBIT complet demande typiquement 12 à 18 mois ; il n'est pas nécessaire de tout faire d'un coup. La règle d'or pour une entreprise marocaine : commencer petit, mesurer, étendre. Une gouvernance proportionnée et tenue vaut infiniment mieux qu'un référentiel ambitieux abandonné après six mois.
Vous souhaitez structurer la gouvernance IT de votre entreprise sans la surcharger ? Parlons-en : un premier audit de maturité suffit souvent à dessiner la bonne feuille de route.
FAQ
Quelle est la différence entre ITIL et COBIT en une phrase ? COBIT est un référentiel de gouvernance qui vérifie que l'IT sert le métier et reste maîtrisée (niveau stratégique), tandis qu'ITIL est un référentiel de gestion des services qui organise la livraison opérationnelle au quotidien (incidents, problèmes, demandes). Ils sont complémentaires : COBIT décide et contrôle, ITIL exécute.
Faut-il choisir entre ITIL et COBIT ? Non. La majorité des organisations matures utilisent les deux : environ 95 % des entreprises emploient un grand référentiel et plus de 65 % en combinent plusieurs (Invensis Learning). La vraie question est l'ordre de déploiement : souvent des gains ITIL rapides d'abord, puis la couche de gouvernance COBIT en parallèle.
Une PME marocaine a-t-elle besoin de COBIT complet ? Rarement. Dans une économie composée à 95 % de PME, peu d'entreprises ont un DSI étoffé. Mieux vaut adopter l'esprit de l'ISO/IEC 38500 au comité de direction, sélectionner quelques objectifs COBIT prioritaires (risque, conformité, valeur) et déployer ITIL là où la douleur opérationnelle est la plus forte.
Quel lien entre gouvernance IT et CNDP ? La gouvernance IT est le cadre qui rend la conformité CNDP tenable. La loi 09-08 impose de déclarer ou faire autoriser tout traitement de données personnelles, avec des amendes de 10 000 à 100 000 MAD (jusqu'à 300 000 MAD pour les données sensibles) et des peines de prison. La cartographie des données, brique de base de la gouvernance, alimente directement vos déclarations.
Combien de temps pour mettre en place une gouvernance IT ? Les premiers gains ITIL apparaissent en 3 à 6 mois sur un service ciblé. Un déploiement COBIT complet demande typiquement 12 à 18 mois. La bonne approche consiste à séquencer : audit et cartographie d'abord, gains rapides ensuite, puis couche de gouvernance proportionnée installée progressivement plutôt qu'en une seule fois.
Sources
- ISACA, COBIT (gouvernance et gestion de l'I&T d'entreprise) : https://www.isaca.org/resources/cobit
- ManageEngine, COBIT 2019 (40 objectifs, domaines EDM/APO/BAI/DSS/MEA) : https://www.manageengine.com/products/service-desk/itsm/what-is-cobit-2019.html
- Atlassian, ITIL 4 (Service Value System, 34 pratiques, quatre dimensions) : https://www.atlassian.com/itsm/itil
- Freshworks, sept principes directeurs d'ITIL 4 : https://www.freshworks.com/itil/itil-4/
- Standarity, ISO/IEC 38500 (six principes, niveau conseil d'administration) : https://standarity.com/blog/iso-iec-38500-it-governance-board
- Invensis Learning, adoption des référentiels (~95 % / 65 %+) : https://www.invensislearning.com/blog/cobit-vs-itil/
- PDCA Consulting, horizons de déploiement ITIL/COBIT : https://pdcaconsulting.com/cobit-vs-itil-key-differences/
- CNDP, loi 09-08 : https://www.cndp.ma/loi-09-08/
- Lafrouji Avocats, fin de la phase de sensibilisation de la CNDP (février 2025) : https://lafroujiavocats.com/protection-donnees-maroc-cndp-maroc/
- Medias24, sanctions loi 09-08 (articles 52 et 56) : https://medias24.com/2023/07/01/donnees-personnelles-ce-que-prevoit-la-loi-en-cas-de-violations/
- DGSSI, loi 05-20 sur la cybersécurité : https://www.dgssi.gov.ma/fr/textes-legislatifs-et-reglementaires/loi-ndeg-05-20-relative-la-cybersecurite/
- DGSSI, DNSSI (directive nationale) : https://www.dgssi.gov.ma/en/publications/national-directive-information-system-security-ndiss/
- Le Desk, Maroc Digital 2030 (11 milliards MAD, 2024-2026) : https://ledesk.ma/2024/09/25/transition-numerique-les-details-de-la-strategie-maroc-digital-2030/
- ISACA, COBIT pour la gouvernance des systèmes d'IA (2025) : https://www.isaca.org/resources/white-papers/2025/leveraging-cobit-for-effective-ai-system-governance
Dernière vérification : 17 juin 2026.