Actualité 17 Juin 2004
ACTI 2004 stigmatise le
risque informatique Co-organisées par l’IFACI et l’AFAI, les Journées de l’Audit et du Conseil en Technologies de l’Information se sont focalisées cette année sur le risque informatique et la place du Contrôle et de l’Audit Interne dans sa maîtrise Les lambris du Cercle National des Armées place Saint Augustin et sa magnifique salle coloniale aux fresques asiatiques accueillaient à nouveau les Journées de l’Audit et du Conseil en Technologies de l’Information organisées par l’IFACI (l’Institut de l’Audit interne) et l’AFAI (l’Association Française de l’Audit et du Conseil Informatiques) qui cette année avaient choisi comme thème principal le risque informatique. Cette thématique devait être abordée sous deux angles complémentaires : Le Contrôle Interne du Système d’Information, lequel faisait l’objet des débats de la journée d’ouverture ainsi que le Système d’Informations pris comme « acteur » du Contrôle Interne, qui devait concentrer toutes les réflexions de la seconde et dernière journée du colloque. Parmi les thèmes abordés cette année nous avons retenu notamment : « l’impact des évolutions réglementaires » présenté par Vincent Manière du Cabinet Protiviti qui abordait entre autre pour les entreprises cotées le Sarbanes - Oxley Act sections 302, 409, 906 et 404 ainsi que la Loi sur la Sécurité Financière, articles 117, 120, 122, de même que Bâle II pour la réforme du ratio de solvabilité des banques. Par ailleurs « La mise en conformité des Systèmes d’Information avec les nouvelles réglementations » faisait l’objet de témoignages d’entreprises telles que la SCOR ou encore Eurodysney. De même François Vidaux, Consultant du cabinet EXOS se prêtait à la didactique de la « cartographie » et à « l’évaluation des risques informatiques » devant un public d’auditeurs internes pas obligatoirement rompus aux arcanes de l’informatique, et réciproquement des informaticiens non forcément auditeurs internes. Enfin Philippe Trouchaud, Administrateur de l’AFAI et Associé de PriceWaterhouseCoopers présentait les résultats d’une enquête menée conjointement par l’AFAI, la DFCG (Association des Directeurs Financiers et des Contôleurs de Gestion), le CIGREF et les sociétés AG2R, Carrefour et Danone. Dans son exposé sur la cartographie des risques informatiques François Vidaux devait rappeler que : « l’informatique est une source de risques ». Et, observant l’existence de méta processus il s’interrogeait : « connaît-on bien ses propres processus » ? Selon lui, la problématique posée par l’informatique dans une entreprise serait « simple si le schéma applicatif était unique ». Or en raison de la diversité des applications et de la variété des systèmes mis en oeuvre d’un site à l’autre ou d’un service à l’autre, « malgré les moyens mis en œuvre, le risque informatique peut rester élevé ». L’enquête présentée par Philippe Trouchaud sera sur ce point tout à fait éloquente quand à la faible évaluation de ce risque par les entreprises. Toujours selon François Vidaux il existerait des facteurs aggravants qu’il devait tenter de lister : "l’absence de politique de sécurité par la DG, la non prise en compte des Parcs Applicatifs, la faiblesse du Contôle Interne (l’inventaire du contrôle interne automatisé ne serait généralement pas fait par rapport à toutes les applications et donc à toutes les fonctions de l’entreprise), l’absence de cartographie des risques, l’absence de Base de Données des risques, l’absence de Matrices d’Autorisation etc... la non vérification du principe de séparation des tâches, l’Absence de Plans de Secours, l’existence d’entités nomades et de risques sur les frontières du système, l’existence de Fusions- Restructurations". Nantis de ces observations Philippe Trouchaud pouvait dans le foulée embrayer sur les résultats de l’enquête que nous synthétisons dans la suite. Selon Philippe Trouchaud, les travaux conduisant à cette enquête ont pris naissance à l'AFAI au printemps 2003: "nous souhaîtions voir comment les entreprises sur la base de la NSF et de Sarbanes - Oxley allaient intégrer les risques informatiques dans le Risk Management en général. Nous avons eu des échanges avec Serge Yablonsky. Les Directeurs financiers de la DFCG ont accepté de partager cette enquête. Le Cigref a aussi accepté ce qui a permis à terme le partage de fichiers". Selon Philippe Trouchaud, les enseignements principaux de cette enquête seraient les suivants : " 93% des entreprises interrogées se sentiraient concernées par le risque informatique. Et les 2/3 se sentiraient dépendants de ce dernier. Le secteur de la Banque-Assurance se sentirait particulièrement en avance quant à la mise en place de dispositions". De même les Services, en général, seraient "de plus en plus dépendants ", avec ici quelques surprises: le Retail qui "devrait l'être mais qui ne l'indique pas" ainsi que le secteur public, qui avec un certain retard commencerait à se sentir "dépendant", bien qu'il reste " faible en nombre de réponses". Aussi il serait amusant de noter : "qu'il se sent aussi concerné que la Banque - Assurance". Pour ce qui est de la mise en place de dispositions, l'enquête fait apparaître qu'à part quelques réponses modérées, 62 à 74 % des réponses seraient en décallage complet avec le sentiment d'être "concernés"! Ainsi il y aurait pour beaucoup d'entreprises un déclaratif d'intérêt très éloigné d'une rélle mise en place d'une politique de Management des risques voir de sa matérialisation par un Système de Management. Et ce, certainement en raison d'une mauvaise appréciation des situations, faute d'un diagnostic pertinent. Ainsi le risque de vol est supposé faible par la quasi totalité des répondants, or "la réalité montre qu'il est important". Pour ce qui est de la couverture du risque, 82% pensent qu'ils le couvrent, ceux là même qui n'ont pas pris la moindre disposition, et là encore "le public est à la traîne". Ainsi les petites entreprises s'enfermeraient dans une illusion dangereuse : "celle d'e mieux couvrir le risque que les grosses", qui elles mettent en place de réelles dispositions. On le voit notamment dans les réponses à la question sur l'existence d'un Processus de Management : oui, seulement 45% !.. Définition des risques : Non 68% !.. Existence d'une politique: Non 64% !.. Budget dédié: Non 67% On est loin des 93% de répondants indiquant qu'ils se sentent concernés!.. D'autre part il apparaît clairement que la DG serait plus impliquée que l'Audit interne. Ainsi, Risk Manager impliqués : 21% seulement !.. Ce qui fait dire à Philippe Trouchaud que : "la régulation serait un bon incentive pour gérer les risques"! Dernier point enfin seuls 10% des entreprises se serviraient de méthodes reconnues de gestion des risques avec ici Marion apparaissant comme la plus pratiquée, loin devant CobIT d'introduction plus récente et les normes ISO peu connues... A notre demande d'éclaircicement sur la faible proportion de Risk Managers et d'Auditeurs Internes à répondre au questionaire par rapport à la forte représentation de la DG ou de la DSI, Philippe Trouchaud nous indiquait : "C''est lié à la nature de l'échantilon où l'on observe une sur-représentation des petites entreprises pour lesquelles le questionnaire va à la DG. Le corollaire c'est aussi qu'il y a peu de Risk Managers dans les petites entreprises. Ensuite la DG se sent toujours concernée". Pour Jean Claude Hillion, IFACI, Inspecteur Général à la Banque de France et le Président de séance : "Celà pause le problème du faible pourcentage constaté de sociétés indiquant la conduite d'une politique. Si la DG se déclare impliquée on devrait avoir plus de politiques annoncées. Là ce n'est pas cohérent". On le voit donc: entre la reconnaissance d'un risque (admis majoritairement), l'appropriation de sa gestion (pas toujours par ceux qui en ont la maîtrise) et la mise en place réelle de dispositions suffisantes, il y a certainement un espace que le colloque ACTI 2004 aura contribué à réduire. Bertrand Villeret Pour les détails de l'enquête, cf. notre rubrique Etudes : Enquête Risk Management et Risques Informatiques (Source : AFAI, DFCG, CIGREF, AG2R, Carrefour et Danone) Pour Info : IFACI, 12 bis place Henri Bergson 75008 Paris Président : Philippe Christelle Tel : 01 40 08 48 00 http://www.ifaci.com AFAI 88 Avenue de Courcelles 75008 Paris Président : Serge Yablonsky Tel : 01 55 62 12 22 http://www.afai.asso.fr Copyright Quantorg 2004 pour ConsultingNewsLine All rights reserved Reproduction interdite |
|
|