Les systèmes d’information des entreprises obéissent aujourd’hui à une double tendance. D’une part, ils doivent être de plus en plus performants et fiables. D’autre part, ils se complexifient. Cette évolution peut justifier la mise en place d’une cellule d’audits informatiques interne.Dans les grands groupes qui en sont déjà dotés, comme la Société Générale, “le périmètre d’intervention des auditeurs s’élargit”, indique Jérôme Renault, en charge de l’audit informatique Europe de la branche banque d’investissement (1). En outre, la complexification requiert de ces professionnels “de plus en plus d’expertise, tant d’un point de vue technique que fonctionnel “. Pour cette dernière raison, l’audit informatique s’affiche désormais comme une discipline à part entière, au même titre que l’audit interne traditionnel. Et les actions de prévention gagnent peu à peu du terrain par rapport aux contrôles a posteriori et de conformité.
Une équipe qui intervient en fonction des risques
Cette orientation vers le renforcement des actions en amont touche même la Banque de France. L’audit informatique interne y a fait son apparition, dès 1969, en tant que nouvelle compétence de l’inspection générale (2). “La qualité et la sécurité de l’ensemble du système d’information constituent un processus continu, qui doit être pris en charge au quotidien par les directions opérationnelles elles-mêmes, souligne Denis Lauretou, inspecteur adjoint, responsable du service audit informatique de cette vénérable institution. Notre action se situe à un second niveau. Nous essayons de les sensibiliser à la maîtrise des risques. Et, par là, nous participons à la démarche qualité générale de notre maison.” L’équipe d’audit informatique interne de la Banque centrale intervient de sa propre initiative en fonction des risques préalablement cartographiés ou sur l’initiative des directions du siège, des commissaires aux comptes et, de plus en plus, du système européen des banques centrales. Elle mène des actions préventives sur les centres de production informatique, les applications, les réseaux, etc. Mais quel est l’intérêt d’une structure interne par rapport à une prestation externe ? “Elle dispose d’une connaissance plus fine de l’entreprise, de ses métiers, de sa culture et de ses spécificités. C’est d’autant plus vrai dans une maison comme la nôtre, c’est-à-dire extrêmement complexe sur le plan technique et comptant d’innombrables métiers spécifiques “, explique Branko Plesnar, responsable de l’audit informatique de la SNCF, qu’il décrit comme une structure “indépendante des organisations et des hiérarchies de l’entreprise “. De même, pour François Vaillant, directeur de l’audit informatique chez Accor, “elle prend plus rapidement connaissance des rouages de la société qu’un prestataire externe, qui passe en permanence d’une mission à l’autre “.
Un tremplin pour l’auditeur interne
La vision transversale de la société peut éventuellement servir à l’auditeur informatique interne de “tremplin pour évoluer vers des postes opérationnels “, ajoute-t-il. Le fait qu’il soit mandaté par les instances de direction, comme c’est le cas à la SNCF, lui ouvre l’accès à toutes les informations nécessaires à sa mission, même celles qui sont très confidentielles. En outre, il sait plus vite où les trouver. Ce qui rend son activité plus efficace. Autre avantage, pour Denis Lauretou, de la Banque de France : “Une structure interne est immédiatement disponible, et elle peut assurer plus facilement qu’un prestataire externe le suivi de ses recommandations.”Les aspects psychologiques ne doivent pas non plus être négligés. “Un audité aura plus de défiance à communiquer les secrets de la maison à un auditeur externe, même lié par des règles de déontologie”, note Branko Plesnar. Cela n’empêche pas les entreprises d’y recourir en cas de besoin de compétences techniques spécifiques non disponibles en interne.“En ce sens, audits interne et externe ne sont pas concurrents, mais complémentaires “, ajoute-t-il. D’autant que les passerelles entre les deux sont fréquemment empruntées. Par exemple, avant de rejoindre Accor, François Vaillant a fait ses armes dans l’un des ” big fives “, les grands cabinets anglo-saxons d’audit externe.
Une structure justifiée par la masse critique
Malgré ces avantages, toutes les grandes entreprises ne disposent pas d’une cellule d’audit informatique interne. “Le secteur public a de fortes contraintes de budget et d’effectif, auxquelles il est difficile de déroger, même quand cela améliorerait l’efficacité, explique Branko Plesnar. Le secteur privé, par contre, sera plus disposé à mettre en place une telle structure dès qu’elle se justifiera ?” c’est-à-dire dès que la masse critique sera atteinte ?” pour lui fournir une charge continue.” On remarque que la centaine d’entreprises qui disposent d’un audit informatique interne sont très majoritairement des grands comptes. Mais, plus qu’à la taille de la société, cette masse critique ” est liée à la complexité des systèmes informatiques, à celle des organisations et des processus, aux risques et enjeux liés aux dysfonctionnements des systèmes informatiques “, poursuit le responsable de la SNCF.Disposant de plus en plus d’une expertise de consultant en nouvelles technologies de haut niveau ?” notamment dans le secteur de l’industrie et des services ?”, l’auditeur informatique devient un véritable “contre-pouvoir de la DSI” souligne François Vaillant. Tout l’enjeu de la fonction consiste à “instaurer un partenariat constructif et une relation de confiance avec cette dernière “.Quelles sont les clés de la réussite pour ce métier ? “Au-delà de la légitimité, explique Denis Lauretou, il faut savoir écouter, communiquer et aussi convaincre quand on recommande des actions d’amélioration.” Dépendant de l’inspection générale, elle-même rattachée au gouverneur, le service d’audit informatique de la Banque de France s’estime globalement “bien accepté dans la mesure où la maîtrise des risques est un objectif partagé par l’ensemble de l’institution “. A noter, toutefois, que dans les entreprises qui ne disposent pas d’audit informatique en interne, mais pour lesquelles le bon fonctionnement du système d’information est particulièrement stratégique, rien n’interdit aux cadres de la direction informatique d’exercer leurs fonctions en adoptant la méthodologie, apparentée à un contrôle qualité, de l’auditeur. C’est le cas de Fabien Anne, directeur de production informatique des Editions Atlas, qui a obtenu en 2000 la certification internationale d’auditeur des systèmes d’information (Certified Information System Auditor, ou Cisa), délivrée en France par l’Afai (3). “Cela me permet aussi, précise-t-il, d’avoir un discours plus “intelligent” par rapport aux auditeurs externes.”(1) Actuellement, il mène (le plus possible en amont) des audits de projet, de process (fonctionnel), de sécurité et de production.(2) L’audit informatique dispose d’une structure dédiée depuis 1972.(3) Une autre certification internationale, le CIA (Certified Internal Auditor), est décernée par l’Institut de l’audit interne. Quatre-vingt-quinze personnes en France l’ont obtenue.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.