A quoi sert un système d’information ?
 
Un système d’information (SI) est l’ensemble des moyens et des ressources informatiques dont dispose une entreprise pour recueillir, traiter, stocker et diffuser les données nécessaires à son activité.
(Larousse)
 
La raison d’être d’un système d’information est donc l’activité de l’entreprise.
Encore faut il que le système mis en place corresponde aux besoins de l’entreprise.
 
Pour vérifier que, voir mettre en œuvre, l’alignement du système d’information sur les besoins et la stratégie de l’entreprise, nous disposons d’outils.
 
Un outil, dans quel but ?
 
Lorsque l’on veut transporter 20 personnes d’un point A à un point B, il va de soit qu’un car est plus adapté qu’un coupé cabriolet.
 
Donc tout est assez simple :
- La stratégie : utiliser un véhicule motorisé,
- Le choix technologique: un car pouvant accueillir 20 personnes,
- La mise en place du choix : louer un car avec chauffeur,
- Les modes de contrôles : vérifier l’accréditation du loueur, vérifier que tout le monde est au départ et à l’arrivée (par ex.).
 
Cela ne va pas de soit dans une organisation voulant mettre en place un SI, surtout lorsque le contexte est évolutif (concurrence, développement…).
 
- Comment choisir le système d’information le mieux adapté à l’organisation ?
- Comment mettre en place ce système d’information ?
- Comment vérifier que ce qu’on a mis en place correspond à ce qui était attendu ?
- Comment vérifier périodiquement que le système d’information correspond toujours aux besoins, puisqu’au fil de l’eau l’organisation évolue ?
 
Jusqu’à encore récemment, un système d’information était un jeu de construction dont les briques étaient empilées les unes sur les autres en fonction des demandes.
Au final, un joli patchwork informatique couteux et pas forcement efficace.
 
Voilà pourquoi des outils ont été mis en place, afin de nous aider face à ces questionnements.
 
Je vais vous présenter Cobit (pour Contrôle Objectives for Information and related Technology) développé par l’ISACA est dont le but est de fournir aux gestionnaires, auditeurs et utilisateurs de TIC, des indicateurs, des processus et des meilleures pratiques pour les aider à maximiser les avantages issus du recours aux technologies de l'information et à l'élaboration de la gouvernance et du contrôle d'une entreprise.
 
 
Avant de commencer, pourquoi Cobit ?
 
Voici un exemple d’utilisation de Cobit, dont le but est de vous montrer son utilité.  
 
Je suis arrivé dans un service où aucune documentation, procédure, suivi/indicateur étaient en place.  
Cerise sur le gâteau, mon prédécesseur est parti en supprimant son répertoire de travail,  vidant ses tiroirs et en ne laissant aucune consigne à ses futurs ex-collaborateurs.
Il m’a juste laissé un système d’information bancale, puisque tout le monde s’en plaignait.  
Tous étaient insatisfait, mais étaient incapable de me dire pourquoi en dehors de « ça marche pas »
 
Plouf, plouf et un audit Cobit plus tard (2 jours de travail), le « ça marche pas » était scoré selon les processus Cobit :  
Les points forts (brillants par leurs absences) et points faibles ressortaient sur les rapports d’analyse.  
Nous étions en mesure de voir ce qu’il fallait travailler pour améliorer le système d’information… yavaipluka !
 
Un an après, rebelote sur l’audit Cobit :  
Le « ça ne marche pas » est devenu « ça marche mieux mais…peut mieux faire ». Ok, on sait ce qu’on doit travailler, mais on attend les budgets (avec 4 fois plus de budget on réglait les problèmes en une année, mais ne rêvons pas).
La roue de Deming était en marche pour l’amélioration continue et surtout, on savait dans quelle direction aller.
 
Voila un des intérêts de Cobit : avoir une photographie du système d’information existant afin de voir les points à travailler en fonction de la stratégie de l’entreprise.
 
Comment ça marche ?
 
Là, ça se complique.
Car contrairement à ITIL par exemple, Cobit dit quoi faire mais pas comment.  
Vous avez donc les axes de travail, à vous de mettre en œuvre le contenu.
 
En effet, ITIL vous explique comment mettre en place un help desk ou des indicateurs par ex.
Cobit lui vous dit : ben là t’es pas bon, tes systèmes (par ex.) sont absolument pas protégés, va falloir faire quelque chose… oui mais comment ?
Je le répète, Cobit n’a pas pour but de vous dire comment, à quoi serviriez vous sinon ?
 
 
L’audit Cobit
 
Les processus COBIT, au nombre de 34, sont regroupés en 4 étapes successives décomposant tout système d’information comme suit :
 
Planification et Organisation (PO)
Contient 11 processus.
Dans ce domaine nous cherchons à savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs.
   
Acquisition et Installation (AI ou AMP)
Contient 6 processus
Ici CobiT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.  
 
Distribution et Support (DS)
Contient 13 processus
L’objectif est de garantir l’efficacité et l’efficience des systèmes technologiques en action.  
   
Monitoring (M)
Contient 4 processus
Il convient ici de vérifier si la solution mise en place soit en adéquation avec les besoins de l’entreprise dans une vision stratégique.  
 
Il convient donc de mettre en place un questionnaire couvrant le champ des 34 processus Cobit afin de réaliser la photographie de son système d’information.  
 
Pour chaque groupe de processus, le choix de l’interviewé est primordiale.
La pertinence sur le choix de l’acteur rendra votre audit d’autant plus près de la réalité.
 
Le Questionnaire
 
Voici un exemple de questions pour le processus DS4.
DS4: Assurer la continuité du service (plan de secours)  
     
- Avez-vous établi quelque chose qui défini les rôles, les responsabilités, la méthodologie de gestion des risques à adopter, les règles et les structures pour documenter le plan de secours ?
- Avez-vous un guide d'utilisation du plan de secours ?
- Avez-vous un moyen de revenir en arrière si vous avez rencontré un incident grave dans votre SI ? (recharger une image par exemple)
- Avez-vous des procédures pour sauvegarder et reconstruire tout ou partie du SI ?
- Avez-vous des procédures de contrôle de changement afin de s'assurer de la mise à jour du plan de secours ?
- Afin d'avoir un plan de secours efficace, avez-vous des procédures de tests de ce plan ?
- Réalisez-vous des entrainements réguliers en suivant les procédures définies afin de lutter efficacement contre des incidents ou des désastres ?
La liste de questions n’est pas exhaustive, le questionnaire que je me suis concocté contient environ 300 questions.    
 
Pour chaque réponse, vous octroyez une note comme suit :
 
- Non applicable ou non géré par la partie interviewer : 0 point
- Rien est définit sur le point abordé (non applicable) : 0 point
- Quelques allusions mais rien de formalisé : 0.3 point
- La demande est formalisée mais non assimilé/maitrisé : 0.7 point
- La demande est formalisée et assimilée par les acteurs : 1 point
 
Et pour chaque processus, vous faites une moyenne pour qu’à la fin vous obteniez le résultat suivant :
 

 
Ce graphe radar permet d’avoir une vue d’ensemble de votre Système d’Information tel que COBIT le conçoit.
 
Comme on peut le voir ci dessus, les axes les plus faibles concernent (sans entrer dans le détail):
-       La stratégie du SI (PO2 à P05)
-       L’acquisition et la mise  en œuvre des technologies en les alignant avec les processus métiers de l’entreprise (AMP2 à AMP6)
-       La gestion du SI (DS3 à DS11)
   
Ici, on peut (par ex) en priorité travailler le processus DS5 et DS11 qui sont des processus dédiés à la stratégie  de sécurité et à la protection des données.
 
Je vous le rappelle encore une fois, Cobit dit quoi faire (ici travailler sur les processus faibles) mais pas comment.
 
C'est donc à vous, à partir de cette analyse, de votre contexte et des choix technologiques et organisationnelles de mettre en oeuvre le changement.

réservé.

Ceci est un premier jet, si quoique ce soit ne semble pas clair n'hésitez pas.

Bonjour, juste une question, ce n'est pas de la masturbation ce genre de méthode ?

C'est à dire? (merci d'intervenir avec pertinence)
 

Suite à correction, topic rouvert...

Intéressant, cependant on dirait un mix entre ITIL et ISO 27001 au vu de tes exemples.
 
 

 
Si on prend la représentation suivante des référentiels (le réf. en sécu date un peu, j'ai pas la représentation à jour):
 

 
On peut voir que:
- Cobit est lié à la stratégie
- CMMI au développement et à l'acquisition logiciel
- ITIL à l'opérationnel.
Le tout reposant sur le socle de la gestion de projet et se référent aux normes de sécurité (ISO 27001 y compris).
 
Tous ces référentiels ne sont pas compartimentés exclusivement à leur domaine (Cobit et Itil font allusion à l'acquisition logiciel qui est le coeur de CMMI par ex.).
Forcement, lorsqu'on s'intéresse au SI, il y a des points imparables: sécurité des données pour n'en citer qu'un.  
Donc on retrouve des similitudes.
 
C'est d'autant plus vrai depuis ITIL V3, qui a l'air de vouloir étendre son périmètre.  
Il faut dire que l'OGC (fondateurs d'ITIL) semble vouloir s'accaparer le périmètre des autres référentiels (ITIL étendu à certains points de la gouvernance ou même à la gestion de projet avec Prince2).  
Itil V3 est d'ailleurs assez critiqué sur la qualité des points liés à la gouvernance par ex.
 
Mais, je te renvoie sur la représentation ci dessus, chaque référentiel est (considéré comme)le meilleur dans son domaine.

COBIT est super demandé dans le monde de la banque.
 
A savoir que Cobit 5 va sortir au debut 2012 et ça sera une grose grosse refonte des concepts
 
je vais faire ma formation Cobit foundation dans 2 semaines, je vous tiendrais au courant.

Ce n'est pas une refonte mais une extension du périmètre de la version 4.1
 
 
http://www.isaca.org/About-ISACA/P [...] rench.aspx
COBIT 5 étoffera et étendra COBIT 4.1 en établissant des rapports avec d’autres cadres de référence, normes et ressources d’envergure (dont ceux de l’ITIL, l’ISO, l’ISF, l’OCDE, l’AICPA et du NIST) et en intégrant d’autres directives de l’ISACA, notamment Val IT, Risk IT, le cadre de référence d’assurance des TI et le modèle opérationnel de sécurité de l’information (BMIS—Business Model for Information Security) dans un ensemble cohésif et complet. Cela aidera les entreprises à mettre en place des systèmes d’information de confiance, dont elles peuvent tirer de la valeur.

pour info, ce qui perce en ce moment, ce n'est pas cobit qui donne un état des lieux... (quand il n'y a pas de processus de revue ou de certification entreprise) ..  
ce qui pointe le nez c'est le Lean IT.
 
les SI aujourd'hui ont surtout besoin d'un pilotage, et si possible un management de la qualité.
c'est accompagnement dans le changement.
pas l'état des lieux.
 
Cobit reste une méthode pour faire emerger les points à améliorer.

mmm je ne sais pas d'ou tu tiens tes infos sur LeanIt, mais moi j'ai surtout l'impression que Cobit est a la mode ( cequi ne veut pas dire que c'est mieux)
 
Bon je viens  de faire ma Cobit foundation, et c'est vraiment super interessant pour se sortir de la vision operationnel de l'IT est plonge vers une vision estrategique.
Par contre si dans ton entreprise n'a encore rien mis en place comme referenciel ( ITIL/ ISO 2700 / etc etc) ben ça sert a rien.
 
 
edit :
Lean It ca a l'air d'etre kif kif avec VAL IT, ou je me gourre ?

san marco> Tu confonds démarche et outil.
 
Le lean est une démarche d'optimisation de la plus value et d'élimination du gaspillage (tâches inutiles par ex).
Pour mettre en place un lean, tu utilises des outils comme par ex le kaizen, les 5S (pour la prod).
 
Dans l'IT c'est pareil, pour mettre en place une démarche Lean, tu utilises des outils: Cobit, CMMI, ITIL...
 
beastyboy> Je ne suis pas d'accord sur le fait que si rien n'a été mis en place, Cobit ne sert à rien.
Les référentiels fonctionnent très bien indépendamment les uns des autres.
Cobit permet de vérifier l'alignement entre IT et stratégie (entreprise, métiers, pki...)  
C'est la 1ère étape vers la mise en place de référentiels (ou 2ème si on privilégie la gestion projet)

Bonjour,
 
Je vous remercie d’avoir répondu mais et je n’ai pas trouvé réellement la réponse recherchée qui consiste en une application en milieu « réel ». Avez-vous pratiqué chez un client/ société cette méthode ? J’avoue mon scepticisme car cela me semble un peu léger (absence de test, de réel contrôle, de concordance de données...)
 
Merci de votre retour sur la réalisation.  

Oui bien sure.
Mais ce n'est pas une méthode, c'est un référentiel.
 
 

Je ne comprends pas bien ou vous voulez en venir?
 
- Absence de test: tester quoi?
Il s'agit d'auditer des processus. Vous ne testez pas des processus, vous vérifiez s'il sont conforme à un niveau de qualité requis (ou de bonnes pratiques dans notre cas).
 
- De réel contrôle: pour faire suite à ce qui est dit ci dessus, un audit n'est ce pas un contrôle?
 
- Concordance de données: on ne traite pas des données mais des processus, je ne comprends pas de quoi vous parlez.
 
 
Le but de Cobit est de vérifier si les processus IT mis en place permettent aux métiers et à l'entreprise d'atteindre les objectifs visés (Cf. stratégie de l'entreprise).
En gros, mais vraiement très gros, si ton objectif est d'aller sur la lune, on veut être sure que les processus IT utilisés permettent de contruire des fusées et pas des voitures.
Ca parait con comme exemple, je le conçois, mais lorsqu'on voit dans certaines entreprises le différentiel astronomique entre le SI est les besoins... on est pas très loin de mon exemple.
Une fois qu'on s'est assuré que nos processus IT permettent bien de construire des fusées, on entre dans la phase d'amélioration continue (tous les référentiels appliquent le principe de la roue de Deming): comment améliorer les processus pour améliorer la performance, réduire les coûts... en gardant toujours en tête la stratégie d'entreprise.
Ensuite lorsqu'on atteind le niveau le plus haut de maturité, il faut s'y tenir car comme dans tous les domaines, dès qu'on relache son attention la qualité en patie (ex. de Toyota qui etait pourtant le champion du lean)

Voici un exemple de questions pour le processus DS4.
DS4: Assurer la continuité du service (plan de secours)  
     
- Avez-vous établi quelque chose qui défini les rôles, les responsabilités, la méthodologie de gestion des risques à adopter, les règles et les structures pour documenter le plan de secours ?
- Avez-vous un guide d'utilisation du plan de secours ?
- Avez-vous un moyen de revenir en arrière si vous avez rencontré un incident grave dans votre SI ? (recharger une image par exemple)
- Avez-vous des procédures pour sauvegarder et reconstruire tout ou partie du SI ?
- Avez-vous des procédures de contrôle de changement afin de s'assurer de la mise à jour du plan de secours ?
- Afin d'avoir un plan de secours efficace, avez-vous des procédures de tests de ce plan ?
- Réalisez-vous des entrainements réguliers en suivant les procédures définies afin de lutter efficacement contre des incidents ou des désastres ?
La liste de questions n’est pas exhaustive, le questionnaire que je me suis concocté contient environ 300 questions.  
 
Bonjour ,  
Peux tu m'envoyer ton questionnaire avec les 300 questions concoctés ?  
Ce serait vraiment sympa !!  
Cdt  

+1 moi aussi
le wikipedia serait à mettre en 1st page également
http://fr.wikipedia.org/wiki/CobiT
 
Edit : et sinon au niveau des formations, y a pas mieux que ça (par exemple) ?
http://www.ib-formation.fr/formati [...] ntaux.html

Comme l'a demandé pabx, je serai moi-même à la recherche du formulaire si par hasard une âme charitable me le céderai.
Merci

pabx n'est pas très partagé snif snif ;(

Je crois que pabx est également demandeur et non détenteur
Bref, cette section du forum me parait anormalement calme !

Vous trouverez les infos dans le Control Objective Cobit.
Dans chaque processus vous avez le but à atteindre: 1 but => 1 question

Merci beaucoup micraln !

La version 5 de Cobit vient de sortir il y a quelques jours.

What's new ?

Je n'ai pas eu la version 5 dans les mains, je ne voudrai pas dire de bétises.
Il y a une présentation des nouveautés sur le site de l'ISACA:
http://www.isaca.org/COBIT/Documen [...] th-4.1.ppt
 
Pour faire court (en oubliant pas mal de trucs), la nouvelle version de Cobit est une "refonte" de Cobit 4.1 + ValIT + RiskIT.
- ValIT concerne la gouvernance des investissements informatiques
- RiskIT, concerne le management des risques

Bonjour à tous
 
Moi je vois un autre aspect de la chose, que vous ne partagez peut etre pas car vous travaillez dans de grandes structures qui baignent déjà dans la certification et la normalisation depuis des années.  
 
En fait, je me demande plutôt comment intégrer toutes ces démarches au sein d'une PME qui n'est pas encore directement confrontée à ces besoins d'organisation mais dont on sent qu'encore un peu plus et ca ne va pas le faire. Je pense à mon propre cas, on est 10, on a des services de hosting physique et virtuels en datacenter, on est ISP avec des pearing par exemple, on a des services de hosting web dynamiques etc. Et j'ai l'impression que tout fonctionne très bien car l'effectif fait que la communication reste facile et on se souvient facilement d'un client ou d'une config. Sauf que si on est amenés à grandir aussi vite que l'année dernière (+100% effectif), il faudrait peut être penser à quelque chose de plus précis que "c'est bien d'ecrire des procédures, on en fait une de temps en temps, la on a fait un site redondant, mais on teste pas en conditions réelles on fait juste que le tester avant mise en prod".
 
J'ai l'impression que certains patrons de PME voient trop la maximisation de productivité et ne jugent pas indispensable la mise en place d'une telle politique au niveau organisationnel. Le problème c'est la transition, à partir de quand devient il critique de s'organiser selon des bonnes pratiques, et non au feeling ?
 
Merci pour vos réponses.

Dès qu'on entreprend quelque chose, un minimum de méthodologie et d'organisation sont necessaires.
L'organisation et le feeling sont antinomique.
Donc à partir de 1.
 
Il faut appliquer intelligement un référentiel; c'est une boite à outils.  
Lorsqu'on veut enfoncer un clou, on n'utilise pas tout le contenu de sa caisse à outil... alors que lorsuq'on veut construire une maison, oui.
Là c'est pareil.
 
Après je ne comprends pas trop la remarque sur la maximisation de productivité dans le contexte Cobit, ce n'est pas sont rôle.

C'était pour dire que la maximisation de productivité voulue par les décideurs ne laisse pas forcément la place à Cobit. Sinon je suis d'accord, appliquer les outils dont on a besoin.

Je ne suis pas d'accord, mais rien ne sert de polémiquer la dessus, ce n'et pas le sujet.

C'est ce que j'exprimais mais je ne voulais pas généraliser du tout, c'était meme plutot un question. Du genre est ce vraiment le cas ou bien me fais je des illusions ? Je n'ai pas beaucoup d'expérience professionnelle (2 ans de stages en IT).

Cobit n'a rien à voir avec la productivité.
Il s'agit de stratégie (alignement stratégique des SI sur la stratégie d'entreprise).
 
En IT, les référentiels liés à la productivité sont ITIL (production) ou CMMI (developpement) par exemple.
 
Pour les considérations d'ordre métaphysique, il y a nombre de topics dans la section emploi du forum.

Okay Merci

Bonjour tout le monde ,  
Cobit est une norme ou un cadre de réference mature développez par l’ISACA (Information Systems Audit and Control Association)  pour gouverner les Système d'information (S.I) des entreprises,voir la documentation : http://www.isaca.org/Knowledge-Cen [...] 4-1-FR.pdf  
   
Je cherche depuis des jours l'outil Cobit advisor     et ceci en raison de bien assimiler et mettre en pratique des exemples et des cas d'audit de système d'information pour bien comprendre la norme Cobit  
Voici une charte qui présente Cobit advisor: http://www.afai.fr/public/doc/20.pdf  , or je n'arrive pas à le trouver et le télécharger juste une version d'évalution  
Donc si vous pouvez m'aider je vous serai reconnaisson et merci d'avance  

Je crois qu'il n'existe plus.
J'en avais trouvé un mais il etait vendu plus de 10k€ (je crois que c'était un editeur espagnol qui faisait ça).
Du coup j'avais construit mon propre outil d'audit basé sur la version 3 de Cobit.

Bonsoir micraln ,
en fait je ne veut qu'un outil n'importe le quel basé sur le cobit ceci pour des raisons 100% pédagogique, plus précisément et comme j'ai dit avant je veut juste mettre en pratique ce que j'ai apprit en cours, alors si c'est possible de m'aider je vous serai reconnaisson  
respectueusement

Il faut prendre les objectifs cobit et réaliser le questionnaire (voir mon 1er post).
Je ne diffuse pas le mien, désolé.

 
Bonjour,
 
J'aime ce que tu as écrit et ça m'aide à mieux saisir Cobit vis-à-vis ITIL. Je connais ITIL et maintenant j'essaye de comprendre comment appliquer CoBit dans mon milieu. Une environnement informatique qui fonctionne bien mais je trouve qu'on ne s'aligne pas aux métiers entreprise et je ne sais pas quoi faire pour proposer COBIT. peux-tu me donner une idée par ou commencer?
 
 
Merci,

Bonjour khan1934,

La 1ère étape est de faire un audit Cobit.
Pour se faire, il faut prendre tous les objectifs du référentiel (qui sont classés par processus) et construire un questionnaire. Voir le 1er post.
Tu obtiens une photographie de ton SI selon les objectifs Cobit (en général on présente les résultats sous forme de graphique radar).

Une fois que tu as ta photographie, tu vas discuter avec les directions métier et la direction afin de connaitre leurs priorités.
Mais de ton coté aussi tu peux voir des faiblesses.
Ex: sécurisation des données, contrôles des données, procédure d'acquisition de logiciel, support, étude du besoin, etc. etc.
Tu fixes aussi des objectifs à atteindre.
Ex: pour la sécurisation des données, tu obtiens un score de 50%. Tu décides d'atteindre un score de 75% pour la fin d'année.

Une fois que tu as tes axes d'amélioration et les objectifs à atteindre, il faut prioriser: on ne peut pas tout faire en même temps à moins d'avoir de bons budgets et les ressources nécessaires.
Tu définis donc ton schéma directeur à 1, 2 ou 3 ans.

A la fin de chaque année, tu réalises un nouvel audit Cobit.
Et tu vérifies si tu as atteins tes objectifs, et tu réalignes ton schéma directeur en fonction.

Je donne ici un ex. de mise en place.
J'avais fait un audit Cobit et j'avais remarqué un SI de pauvre qualité.
On ne pouvait pas tout faire, on s'est donc concentré sur les points suivants:
1/La stratégie du service informatique et entre métiers et service informatique,
2/L’acquisition et la maintenance de l’infrastructure,
3/Le mode projet,
4/La mise en place de procédures et documentation,
5/Le plan de secours : assurer la continuité de service.

point 1: on a mis en place des questionnaires besoin et satisfaction ainsi que des réunions régulières avec les métiers pour avoir plus de contact avec les métiers.
point 2: on a mis en place des règles de gestion d'appel d'offre
point 3: on s'est appuyé sur un référentiel en gestion de projet et mis en place des procedures
point 4: redaction de procedures
point 5: mise en place de la virtualisation et d'une ferme redonnée

Voilà, n'hésites pas si je n'ai pas été assez clair.

Est-ce que Cobit Quickstart est une bonne base pour les PME ? Je travaille (dur) pour arriver à 9001 et 14001, mais on ne peut pas laisser le SI de côté.
 
Ou, même dans une petite PME, faut-il passer sur Cobit v5 ?
 
BTW, quelqu'un a une idée des coûts pour un premier audit sans certification et, à terme, une certif ?

Bonjour,

La démarche Cobit est différente des normes ISO citées (voir les objectifs ci-dessus, j'en parle).
Et aucune certification "cobit" n'est délivrée pour l'entreprise à ma connaissance (ce sont les personnes que l'on certifie).

Cobit quickstart est un cobit allégé (moins de processus).

Pour ma part, je ne vois pas trop l'intérêt de celui-ci.
Le plus compliqué, comme dans n'importe quel référentiel, c'est ce l'approprier: une fois intégré, qu'on réalise un audit sur tous les processus ou seulement une partie ne change pas grand chose (le temps à y passer est presque le même).

En ce qui concerne la version a utiliser, mieux vaut commencer avec la version antérieur (4.1) voir la version 3.
En effet, elles sont moins dense que la version 5 (j'ai pas lu le référentiel v5 mais j'ai lu les MAJ).

Pour les couts:
La partie interview, pour une PME, c'est moins d'une journée (il faut bien choisir tes interlocuteurs pour être sur d'avoir toutes les réponses).
Pour l'analyse, si tu prépares bien ton truc avec Excel par ex. (ça m'a pris 2 ou 3 jours pour le construire... mais j'utilise toujours le même) ça dure le temps de remplir le fichier... tu auras l'analyses directement.
Quant au questionnaire, il m'a bien fallut une semaine pour le réaliser (mais j'utilise toujours la même trame de base)

j'espère que ceci répond à la question, sinon n'hésites pas.