Escolar Documentos
Profissional Documentos
Cultura Documentos
05 EDITO
Cybersécurité et protection des données
Quel rôle pour l’audit interne ?
06 CHRONIQUE
Attaques informatiques
3 déclinaisons pour un risque en forte hausse
08 VOIX DE LA FRANCOPHONIE
La force du réseau de l’UFAI
ses conférences et colloques
10 RENCONTRE AVEC ...
Isabelle Falque-Pierrotin, Présidente de la CNIL
15 DOSSIER
16 Cybersécurité : un domaine incontournable et
à valeur ajoutée pour l'audit interne
19 Tendances significatives de l’enquête Global
State of Information Security 2014 de PwC
22 Cybersécurité et protection des données
personnelles : le point de vue du Cigref
24 La conformité à la loi informatique et libertés
a été un levier d’action
25 Une action conjointe des deuxième et
troisième lignes de maîtrise
26 L’audit interne face aux risques de
cybersécurité
30 LIBRES PROPOS
Pour une nouvelle approche intégrée
Objectifs, processus, risques, contrôles et
gouvernance
35 BONNES PRATIQUES
La fraude interne dans les collectivité 15 DOSSIER
territoriales : Un risque zéro ? Cybersécurité et protection des données :
Quel rôle pour l’audit interne ?
37 PRIX OLIVIER LEMANT
Trois réflexions sur les outils développés sur
Excel
39 LU POUR VOUS
39 Le business de l’anti-corruption
41 Guide d’audit des achats et des ventes
42 ACTUALITÉ
S
elon l’enquête de PwC de 2014 dédiée à la cybercriminalité, les cyber-
attaques sont en augmentation, et l’Europe et les grandes entreprises sont
particulièrement menacées. Dans le dernier baromètre des risques publié
par Allianz, le risque « cyber » figure à présent dans le top 5 des menaces
identifiées par les entreprises.
La cybersécurité autour des données personnelles est un enjeu important pour
audit, risques & contrôle toutes les organisations, et les auditeurs internes doivent y prendre toute leur
La revue internationale des auditeurs et des contrôleurs internes part. Le « Dossier » de ce numéro ainsi que la chronique d’Antoine de Boissieu
n°003 - 3e trimestre 2015 lui sont consacrés.
EDITEUR Lorsqu’on parle de données personnelles et de leur nécessaire protection, on
Union Francophone de l’Audit Interne (UFAI) pense immédiatement à la CNIL (Commission Nationale de l’Informatique et des
Association Loi 1901 Libertés). Je vous recommande la lecture de l’entretien qu’a bien voulu nous
98 bis, boulevard Haussmann - 75008 Paris (France) accorder Isabelle Falque-Pierrotin, sa présidente. Au fil des ans, nous dit-elle, la
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com CNIL s’est métamorphosée ; elle est devenue « un régulateur des données
Internet : www.ufai.org personnelles, ce qui va bien au-delà de la seule protection de l’individu ». La CNIL
DIRECTEUR DE PUBLICATION
s’est notamment dotée d’un département Innovation et Prospective, et Isabelle
Mireille Harnois
Falque-Pierrotin « s’inscrit en faux avec l’idée qu’il faut opposer innovation et
protection des données personnelles ». Un texte européen est en discussion
RESPONSABLE DE LA RÉDACTION finale et devrait aboutir dans le courant de cette année, avec application directe
Philippe Mocquard en 2017. « Ce règlement, précise-t-elle, devrait être un coup de tonnerre : il allège
RÉDACTEUR EN CHEF
fortement le contrôle amont et renforce considérablement le contrôle aval ce
Louis Vaurs qui devrait mobiliser grandement les auditeurs internes ».
Enfin, la président de la CNIL nous fait part de l’existence d’un réseau francophone
COMITÉ RÉDACTIONNEL des Autorités de protection des données regroupant 16 pays, le secrétariat étant
Louis Vaurs - Mireille Harnois - Eric Blanc -
assuré par l’Autorité française. Son objectif qui est de « mutualiser le plus possible
Antoine de Boissieu - Jean-Loup Rouff
les ressources, les transferts de compétence entre le nord et le sud » est évidem-
SECRÉTARIAT GÉNÉRAL ment en phase avec celui que poursuit l’UFAI comme Mireille Harnois, sa prési-
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com dente, en fait la démonstration dans la rubrique la Voix de la Francophonie.
CORRESPONDANTS L’article de Tommaso Capurso « Pour une nouvelle approche intégrée : processus,
Amérique : Farid Al Mahsani risques, contrôle et gouvernance » mérite toute votre attention. Il y développe
Maghreb : Nourdine Khatal notamment l’approche cindynique de la gouvernance intégrée en précisant
Afrique subsaharienne : Fassery Doumbia qu’une « gouvernance efficace doit viser à assurer la transparence, la confiance
et éviter idéalement toute asymétrie de l’information »
RÉALISATION
EBZONE Communication Vous pourrez lire également un article fort intéressant du groupe professionnel
22, rue Rambuteau - 75003 Paris « Collectivités locales » sur la fraude interne dans les collectivités territoriales avant la
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr parution, d’ici à la fin de l’année, d’un document plus complet sur ce thème.
Le prix Olivier Lemant a été attribué cette année à un mémoire étudiant consacré
IMPRESSION
à « l’audit de la gestion et de l’architecture des UDA
Imprimerie de Champagne
Rue de l’Etoile de Langres - ZI Les Franchises
développés sur Excel ». Vous pourrez en lire une
52200 Langres
synthèse dans ce numéro.
Etonnant et passionnant l’article sur « Le business
ABONNEMENT de l’anticorruption » tiré de The Economist, qu’il ne
Michèle Azulay - Tél. : 01 40 08 48 15 faut pas oublier de lire.
Mel : mazulay@ifaci.com
Dans son « Guide d’audit des achats et des ventes »,
Revue trimestrielle (4 numéros par an) Pierre Schick se fait le chantre de l’auto-diagnostic.
ISSN : 2427-3260 Il nous en donne les raisons dans ce numéro.
Dépôt légal : octobre 2015
Bonne lecture.
Crédit photos couverture : © CNIL
Louis Vaurs - Rédacteur en chef
Prix de vente au numéro : 25 € TTC
Les articles sont présentés sous la responsabilité Après avoir été pendant 15 ans un acteur clé
de leurs auteurs. de la revue de l’IFACI, Jean-Loup Rouff a
souhaité, pour des raisons personnelles, arrê-
Toute représentation ou reproduction, intégrale ou partielle, ter sa contribution active à la revue interna-
faite sans le consentement de l’auteur, ou de ses ayants droits, tionale AR&C. Au nom comité de rédaction,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de je tiens à le remercier chaleureusement pour
l’article 40). Cette représentation ou reproduction, par quelque tout ce qu’il a apporté à la revue, sa compé-
procédé que ce soit, constituerait une contrefaçon sanction- tence, ses connaissances, sa disponibilité
née par les articles 425 et suivants du Code Pénal. et… un sens inné de l’écrit « en bon fran-
çais ». Merci infiniment Jean-Loup.
Attaques
informatiques
3 déclinaisons pour
un risque en forte hausse
Le piratage du site de rencontres extra-conjugales Ashley difficile à tracer, avec de faibles comment les pirates peuvent
Madison a fait les gros titres des journaux cet été. Il a remplacé moyens. Comme le démontrent exploiter les bases de données
de nombreux tests d'intrusion individuelles récupérées, et à qui
dans l'actualité le piratage des données personnelles de 25
positifs, la principale difficulté ils peuvent les revendre. Plusieurs
millions de fonctionnaires américains, révélé en juin dernier. Il pour les hackers n'est pas d'accé- solutions sont possibles (voir
ne se passe désormais plus de mois sans qu'une attaque infor- der aux données de l'entreprise encadré).
matique majeure n'aboutisse. ciblée, mais d'exploiter la masse
de données récupérées. Des Des attaques massives et
hackers bien dirigés, par exemple systématiques dans certains
O
n peut distinguer 3 aux Etats-Unis. Le 31 août, le par une équipe d'un concurrent, secteurs
risques différents dans Washington Post annonçait que peuvent cependant trouver rapi- Nous reviendrons dans un
ces attaques qui visent le gouvernement américain dement ce qu'ils cherchent. prochain article sur ces différents
les données des entre- étudiait des mesures de rétorsion cas, en analysant certains exem-
prises et des administrations. à l'encontre de la Chine, l'accu- Une position américaine ples récents. Ce qu'il faut retenir
sant d'avoir porté le cyber- ambigüe de ce phénomène est qu'il a litté-
1- L'espionnage espionnage à un niveau Dans ce contexte, l'indignation ralement explosé depuis 2008,
industriel insupportable. américaine vis à vis de la Chine pour devenir systématique dans
De façon générale, les secteurs ne manque pas d'ironie, compte tous les secteurs qui gèrent des
Le premier type d'attaques d'activité les plus exposés sont tenu des capacités d'accès aux données personnelles : santé,
concerne l'espionnage industriel les secteurs traditionnels de l'es- données d'entreprises dont assurance, banque, hôtellerie,
et commercial. Le phénomène pionnage industriel : l'aéronau- disposent les Etats-Unis, que ce opérateurs téléphoniques, ven-
n'est pas nouveau, et il est tique et la défense, la pharmacie, soit via leurs programmes de deurs en ligne, grande distribu-
logique que le cyber-espionnage l'automobile, l'ingénierie, les surveillance (autorisés ou non), tion, sociétés internet B to C,
se développe en complément sociétés technologiques (dans leurs officines spécialisées (d'ex administrations publiques... Les
des techniques classiques d'es- l'énergie, les télécoms, l'industrie de la NSA ou de la CIA), ou leurs cibles potentielles subissent
pionnage industriel. Les cas de du logiciel...). L'espionnage programmes de « monitoring » généralement des milliers (par-
cyber-espionnage sont générale- commercial proprement dit imposés aux sociétés (générale- fois beaucoup plus) de tentatives
ment peu médiatisés : les atta- touche également, outre les ment européennes) ayant conclu d'attaques chaque année, cer-
quants (« cyber-pirates ») ont en secteurs précédents, le BTP, les des accords à l'amiable avec la taines atteignant des niveaux de
effet tout intérêt à dissimuler fournisseurs de biens d'équipe- justice. sophistication très élevés.
leurs attaques, tandis que les ment, le secteur des matières
cibles soit n'ont pas conscience premières. 2- Le vol des données Un report des attaques vers
d'avoir été attaquées, soit n'ont individuelles des cibles plus petites, moins
pas d'intérêt à le révéler sur la Des attaques tentantes car défendues
place publique. Le fait qu'il ne peu risquées Le deuxième type d'attaques En réaction, les secteurs exposés
fasse que rarement la une des Mais potentiellement, avec le informatiques consiste à voler les ont mis en place des défenses de
journaux ne signifie pas que le développement des ERP, de la données d'une administration ou plus en plus élaborées. Les pirates
cyber-espionnage soit un phéno- messagerie, du cloud, de l'exter- d'une entreprise pour les reven- commencent donc à s'attaquer à
mène marginal, encore moins nalisation, tous les secteurs d'ac- dre. Les données visées sont les des cibles plus petites, moins
qu'il soit en déclin. tivité deviennent des cibles données individuelles des clients, intéressantes, mais beaucoup
abordables pour le cyber-espion- usagers, employés, adhérents... moins défendues. Autrement dit,
Une hausse de 50 % en 2014 nage. Les attaques deviennent Des dizaines de cas, portant le risque est en train de se dépla-
Dans une étude de juillet 2015, le de plus en plus tentantes parce parfois sur des millions de cer vers les secteurs jusqu'ici rela-
FBI estime ainsi que le nombre de qu'elles peuvent être menées de personnes, sont révélés chaque tivement épargnés, mais qui pour
cas a augmenté de 50 % en un an l'étranger, de façon discrète et année. On pourrait se demander cette raison n'ont pas encore mis
fait les « mystérieux »1 auteurs du cher de fonctionner, mais pour mes sont développés par des
virus Stuxnet pour saboter les détruire les actifs de production fournisseurs, la maintenance
centrifugeuses iraniennes. Les (voire plus, selon les intentions de applicative et l'exploitation sont
déclinaisons possibles de cette l'attaquant). de plus en plus externalisées,
idée sont illimitées : on peut par C'est par exemple ce qu'ont les serveurs sont de plus en
exemple modifier les données réussi des cyber-pirates en atta- plus gérés par des tiers (héber-
cliniques recueillies par une quant une entreprise sidérur- geurs, solutions cloud). Tout cela
en œuvre les mesures de défense entreprise pharmaceutique pour gique allemande en 2014. multiplie le nombre de
adéquates. Les données RH retarder son programme de R&D, L'attaque a été détectée et stop- personnes, et de tiers, pouvant
d'une moyenne entreprise, la liste modifier les systèmes de mesure pée, mais le haut-fourneau visé avoir accès aux systèmes.
des clients fidèles d'une boutique sur une chaîne de production, avait été endommagé. Il a dû être
de luxe, ou la liste des clients d'un modifier le réglage de robots afin arrêté pendant plusieurs mois Intégrer les cyber-risques à la
cabinet d'avocats fiscalistes d'augmenter le nombre d'inci- avant d'être remis en service. Les prise de décision
deviennent désormais des cibles dents de production ou de impacts se chiffreraient en Les risques de cyber-attaque
valables pour des cyber-pirates. produits non conformes, modi- millions, voire en dizaines de doivent désormais être considé-
fier les bases clients pour pertur- millions, d'euros. Dans ce cas, la rés comme des risques inhérents
3- Le sabotage en ligne ber la facturation... motivation des pirates était finan- à toute activité. Les décideurs
cière (il s'agissait de chantage), doivent en particulier s'interroger
Le troisième type d'attaques Interrompre l'activité mais elles auraient pu être diffé- sur la façon dont ils veulent gérer
informatiques est le sabotage en La deuxième utilisation du cyber- rentes. ces risques, en répondant notam-
ligne, ou « cyber-sabotage ». C'est sabotage peut être d'arrêter Potentiellement, des cyber- ment aux questions suivantes :
sans aucun doute le moins purement et simplement les pirates pourraient prendre le à quels risques d'attaques
courant, mais c'est celui qui peut opérations de la cible, en mettant contrôle de nombreux systèmes veut-on s'exposer ?
avoir les impacts les plus forts, ses systèmes de production hors connectés. Des chercheurs faut-il transférer la gestion de
beaucoup plus qu'une perte de service. C'est par exemple ce américains ont ainsi réussi cet été ces risques à des partenaires
secret industriel ou que la divul- qu'ont fait les équipes de guerre à prendre le contrôle par internet mieux outillés ?
gation de données clients. électronique nord-coréenne d'une Jeep Cherokee, sans inten- faut-il mettre tous ses œufs dans
Dans le sabotage en ligne, le but lorsqu'elles ont attaqué des tion maligne, mais obligeant tout le même panier, ou prévoir
n'est plus de consulter les banques et des médias sud- de même Fiat Chrysler (le différentes solutions (par exem-
données de la cible, ou de les coréens en 2013. Des tentatives constructeur) à rappeler 1,4 ple en répartissant les données
voler pour les revendre : il s'agit du même type contre des millions de véhicules pour instal- sensibles entre plusieurs bases
de modifier les données dans les centrales électriques ont aussi ler une mise à jour du système. de données gérées par des
systèmes de la cible, à son insu. été détectées avant qu'elles L'opération a sans doute dû systèmes différents) ?
coûter pas loin de 50 M$.
Données ciblées Exploitation Le défi pour certaines organisa-
Coordonnées bancaires, Réalisation d'achats en ligne (les systèmes
Vivre avec le risque tions, publiques ou privées, va
numéros de cartes de de paiement en ligne sont moins sécurisés être de faire évoluer le manage-
crédit en Amérique et en Asie qu'en Europe) Des risques qui ne peuvent ment au même rythme que les
Numéros de police Usurpation d'identité pour bénéficier d'une qu'augmenter technologies. Les risques de
d'assurance-santé prise en charge hospitalière ou médicale Trois tendances lourdes font que cyber-sécurité pouvaient en effet
(aux Etats-Unis notamment ou le système ces attaques ne vont pas dimi- jusqu'à il y a peu être considérés
d'assurance-santé est privé) nuer, mais vont au contraire se comme secondaires, non straté-
Déclarations de revenus, Ciblage de campagnes publicitaires multiplier et se complexifier : giques et purement techniques.
adresses, données 1- Le nombre d'objets connectés Leur évolution brutale oblige
familiales explose : par exemple, selon maintenant les décideurs, au plus
une étude d'IHS, le nombre de haut niveau, à les intégrer dans
leur processus de décision.
Base de données des Usurpation d'identité pour bénéficier des
programmes de avantages réservés aux clients membres voitures connectées à internet
fidélisation (aérien, hôtellerie, transports...) passera de 35 millions en 2015
Données d'état civil, Chantage à la divulgation (sites de à plus de 150 millions en 2020. Antoine de Boissieu
déclarations de revenus rencontres, administrations publiques...) Cela multiplie donc les cibles
Liste des clients avec le Chantage à la divulgation (banque
potentielles.
1 Tout désigne les gouvernements américain et
montant des avoirs d'affaires, gestionnaires de patrimoine) 2- Les entreprises et administra- israélien, qui n'ont d'ailleurs jamais démenti.
La force
du réseau
de l’UFAI :
© vege - Fotolia.com
ses conférences
et colloques
L
« ’Union fait la Force ». Ce phones afin d’échanger, d’ap- et privées de l’espace UEMOA », L’objectif essentiel de l’UEMOA
proverbe qui remonte au prendre et de renforcer les liens. cette rencontre internationale est l’édification, en Afrique de
18ème siècle, s’applique L’UFAI était en Côte d’Ivoire déjà s’est avérée un lieu privilégié pour l’Ouest, d’un espace économique
parfaitement aux commu- en 2010, en 2013 et, tout récem- regrouper les instituts régionaux, harmonisé et intégré, au sein
nautés francophones qui font la ment, pour le 2ème colloque régio- les autorités, les acteurs clés, et duquel est assurée une totale
force du réseau de l’Union nal de l’Union des Instituts permettre d’échanger entre liberté de circulation des
Francophone de l’Audit Interne d’Audit Interne de l’Afrique de professionnels de l’audit interne personnes, des capitaux, des
(UFAI). l’Ouest (UIAI-AO). et décideurs. biens, des services et des facteurs
de production.
En juin dernier nous rappelions En 2011, nous avions vécu la nais- L’Union Économique et Moné-
que le pourcentage de franco- sance du 1er colloque régional de taire Ouest Africaine (UEMOA), UFAI, UIAI-AO et
phones au sein de l’IIA ne repré- l’UIAI-AO tenu à Ouagadougou créée en 1994, couvre une super- UEMOA, trois unions
sentait que 5 % des adhérents de (Burkina Faso) et c’est avec un ficie de 3 509 600 km2 et compte réunies !
l’IIA, d’où la nécessité de mutuali- succès renouvelé que s’est tenue plus de 103 millions d’habitants.
ser les énergies et de développer cette deuxième édition, les 18 et Huit États côtiers et sahéliens, liés Cette rencontre à Yamoussoukro
nos capacités de renforcement. 19 juin, en cette « terre éternelle par l’usage d’une monnaie restera marquée dans les esprits
d’accueil ». commune, soit le franc CFA, et puisqu’elle a donné lieu à des
IIA Côte d’Ivoire a depuis bien bénéficiant de traditions cultu- mises à jour importantes, des
longtemps senti ce besoin et a Sous le thème « Audit interne, relles communes composent échanges précieux et essentiels
régulièrement provoqué des acteur majeur de la mise en l’UEMOA : le Bénin, le Burkina sur l’état des lieux permettant de
rencontres et organisé des œuvre de la directive financière Faso, la Côte d’Ivoire, la Guinée- partager les préoccupations mais
colloques permettant de réunir la de l’UEMOA et de la gouver- Bissau, le Mali, le Niger, le Sénégal aussi d’apporter des recomman-
communauté d’auditeurs franco- nance des entreprises publiques et le Togo. dations et des pistes de solutions
On ne peut opposer
innovation et
protection des
données personnelles
Isabelle Falque-Pierrotin, Présidente de la CNIL
Louis Vaurs : Créée en 1978, la s’est métamorphosée. En 1978, puisse être vraiment tracé dans les années 80. Il y a donc tout un
Commission Nationale de l’Infor- son objectif principal était de tous ses contacts avec l’adminis- champ nouveau de la régulation
matique et des Libertés (CNIL) est protéger l’individu contre les tration. des données pour qu’elles puis-
une autorité administrative indé- grands fichiers publics et C’est bien sûr encore le métier de sent être utilisées par les entre-
pendante dont l’objectif principal quelques traitements privés. Il lui la CNIL. Mais sa responsabilité prises, à des finalités parfai-
était au départ de protéger l’indi- appartenait de prévoir des règles principale, actuellement, c’est tement légitimes, mais tout en
vidu par rapport à l’informatisa- précises pour garantir les droits surtout d’être un régulateur des préservant le droit des per-
tion de l’Etat. Qu’en est-il de l’individu par rapport à cette données personnelles, ce qui va sonnes.
aujourd’hui ? Ses responsabilités informatisation de l’administra- bien au-delà de la seule protec- L’autre champ ouvert concerne
ont elles évoluées ? tion. Et vous vous souvenez, il y tion de l’individu compte tenu de les individus eux-mêmes, qui ne
avait ce fameux projet Safari, avec la place que ces données ont pris, souhaitent pas seulement que les
Isabelle Falque-Pierrotin : Nous l’idée d’avoir un identifiant et de leur importance écono- données sur leur vie privée soient
avons plus qu’évolué. La CNIL unique, et donc que l’individu mique qu’elles n’avaient pas dans protégées, mais qu’ils puissent les
L. V. : Lorsqu’on a un traitement
qui relève de la CNIL que faut-il
faire ?
contre le fait que les autorités place des données. L. V. : Concernant le big data et terme et le moyen terme. Si on
puissent émettre des « guide- C’est bien sûr important dans les la protection des données est dans l’immédiat court terme,
lines » au motif qu’il y aurait un directions marketing, parce que personnelles, j’ai le sentiment on peut s’affranchir de la protec-
risque de conflit d’intérêts. la relation client sera de meilleure qu’on reproche à la CNIL, d’être tion des données, en disant :
Je crois que ce risque existe, mais qualité si on respecte la protec- trop protectrice des données et « Après tout, je fais n’importe
il peut tout à fait être levé à condi- tion des données personnelles, et pas assez innovatrice. Qu’en est-il quoi avec les données. Je vais
tion, évidemment, que les autori- les clients sont de plus en plus réellement ? produire de l’innovation et puis
tés ne s’engagent pas dans du sensibles à cela. C’est aussi une ça va marcher. »
consulting ad’hoc auprès des dimension importante de la DRH, I. F.-P. : C’est un débat qui est Je pense que c’est un raisonne-
entreprises. Il ne s’agit pas de cela. parce qu’en interne, les salariés maintenant assez classique. Je ment qui peut fonctionner à très
On ne va pas remplacer les avocats ont besoin de savoir que l’on crois qu’il est complètement faux court terme, mais qui ne marche
ou les fonctions de ce type. respecte leurs données. pour plusieurs raisons. Il est vrai sûrement pas à moyen terme.
En revanche, lorsqu’il s’agit de Les entreprises qui respectent ce que l’innovation, de plus en plus, Or, pour construire du business, il
donner des lignes directrices sur référentiel sur la gouvernance passe à travers des données : le faut travailler dans le moyen et
un secteur, sur un type de ont donc la possibilité d’avoir un big data. De multiples exemples long terme. Et j’ai tendance à
pratique, sur les cookies par label Protection des données montrent que, dans des secteurs penser que le moyen terme se
exemple ce qui est très délicat, CNIL. extrêmement différents, c’est en rappelle toujours à nous. Si l’on
nous n’hésitons pas à le faire. traitant différemment les s’affranchit de la protection des
Et je crois que là, il n’y a pas conflit L. V. : Comment les missions de données, en ayant un accès données personnelles, quelque
d’intérêts. la CNIL s’inscrivent-elles dans le inédit à certaines d’entre elles, en chose va « revenir » vers le
cadre de la réglementation euro- les croisant, etc., que l’on peut service, vers l’innovateur, pour se
L. V. : Envisagez-vous de délivrer péenne ? faire naître des services et donc rappeler à son souvenir ; et il est
des labels de qualité ? une innovation. beaucoup moins coûteux pour
I. F.-P. : La Commission euro- Pour autant, je pense que les une entreprise d’intégrer assez en
I. F.-P. : Nous avons la capacité péenne a élaboré un texte qui est personnes sont – et toutes les amont de son processus de
de délivrer des labels depuis en discussion depuis trois ans et études, dans tous les pays le déploiement d’un service, d’une
2012. Concrètement, la Commis- qui devrait normalement aboutir montrent – de plus en plus innovation, la protection des
sion établit des référentiels relatifs en 2015 avec application directe conscientes de cette utilisation données personnelles.
« C’est
à des produits ou à des procé-
dures avec les professionnels
d’un secteur concernés et en traitant différemment les données
ensuite, ceux-ci peuvent faire une
demande d’homologation indivi- que l’on peut faire naître des services et
duelle. Nous avons aujourd’hui
élaboré 4 référentiels et nous donc une innovation »
avons délivré 44 labels, en
matière de formations « informa- en 2017. Nous sommes entrés des données par une multitude Je m’inscris totalement en faux
tique et libertés », d’audits de trai- dans la phase finale de la négo- d’acteurs et par le fait que finale- avec l’idée qu’il faut opposer
tements, de produit de coffre-fort ciation avec les trois institutions ment, cette utilisation leur est innovation et protection des
électronique et de gouvernance. européennes : Conseil, Commis- assez opaque et hors contrôle. Ce données personnelles. Je crois
Ce dernier référentiel, le plus sion et Parlement. Ce règlement qu’apporte la protection des que c’est une vue qui est en
récent (2015) est particulière- devrait être un coup de tonnerre : données à l’innovation, c’est la réalité extrêmement myope de
ment intéressant, je pense, pour il allège fortement le contrôle capacité d’avoir de la confiance. l’économie numérique.
l’audit interne : il introduit la amont et renforce considérable- Et la confiance, c’est fondamen- En revanche, il faut que la CNIL
protection des données comme ment le contrôle aval ce qui tal. Il n’y a pas de business sans soit capable d’élaborer avec les
un enjeu transversal au sein des devrait mobiliser grandement les confiance. professionnels des outils concrets
entreprises et est construit autour auditeurs internes. En revanche, Donc, si l’on veut une innovation de conformité permettant à cette
du Correspondant Informatique la phase compliance – les outils robuste, pas simplement une innovation de se déployer. C’est
et Libertés. de conformité – reste à bâtir. Ce innovation de conquête à très ce à quoi nous nous attelons
Cependant, nous estimons que la sera également un coup de court terme de parts de marché, depuis quelques mois à travers
protection des données person- tonnerre par rapport aux acteurs pour ceux qui ont une marque à les « packs de conformité ».
nelles ne doit pas être le mono- internationaux, parce qu’on va les défendre, qui ont une relation Je crois beaucoup à ces packs car
pole du Correspondant Infor- soumettre au droit européen, dès client de qualité à préserver, on ils illustrent un nouveau visage
matique et Liberté, lorsqu’il lors qu’ils ciblent un citoyen ou voit bien que la protection des de la régulation, plus négociée et
existe, bien sûr, mais plus généra- un consommateur européen, et données leur apporte un argu- plus opérationnelle. Leur utilité
lement de la direction juridique même s’ils n’ont pas d’établisse- ment, un moyen de fidéliser des est d’ailleurs consacrée dans le
ou de la direction technique. ment en Europe. Il y a un dernier clients. Dans l’environnement du projet de loi d’Axelle Lemaire en
En fait, c’est un programme trans- élément à noter c’est celui de la numérique qui est un environne- préparation.
versal qui doit être piloté au plus nécessaire coopération entre les ment extrêmement volatil, c’est
haut niveau pour inspirer une différentes CNIL nationales, aussi un moyen de fidéliser des L. V. : En 2006, avec le Sarbanes
gouvernance prenant en coopération qui doit être souple clients. En fait, je crois que c’est Oxley Act américain, on a beau-
compte, dans tous les secteurs, la et participative. toujours le débat entre le court coup parlé de Whistleblowing et
l’on a estimé que la CNIL était lanceurs d’alerte sont extrême- est évidemment de mutualiser le démocratique, la protection des
d’une très grande timidité pour ment utiles. Je crois que ce sont plus possible les ressources, les données personnelles est très
définir le périmètre de responsa- des contrepouvoirs démocrati- transferts de compétences entre importante pour l’exercice de la
bilité des lanceurs d’alerte. Qu’en quement utiles permettant de le nord et le sud, et de constituer liberté d’expression, la liberté d’al-
est-il aujourd’hui ? briser les silences. Mais ils doivent aussi une voie un peu autre dans ler et venir, la constitution des
rester des solutions de complé- la communauté internationale états-civils, etc. Et puis il y a un
I. F.-P. : Il se trouve qu’en 2006, ment de dispositifs de reporting de protection des données. Je ne autre aspect, c’est évidemment le
on en a beaucoup parlé parce interne qui existent à l’intérieur dirai pas une 3e voie mais, entre développement de l’économie
que c’était nouveau et que la des entreprises, que ce soient les le « tout marché » ou une vision numérique que la protection des
CNIL a souhaité, au nom de la syndicats, les DRH, les directions qui serait trop étatiste des données permet d’asseoir sur des
protection des données, que la financières ou l’audit interne. données, il peut y avoir une bases solides. Donc en fait, ces
responsabilité des lanceurs approche qui soit humaniste, deux dimensions, à la fois poli-
d’alerte, prise en application de L. V. : Existe-t-il, et ce sera ma moderne et pragmatique de la tique et sociétale, et économique
cette loi anticorruption soit la dernière question, des CNIL dans protection des données. Nous font que la protection des
plus restreinte possible compte les pays francophones d’Afrique accordons donc beaucoup d’im- données est un objectif de la plus
tenu des autres moyens de signa- et d’ailleurs ? portance à ce travail au sein du haute importance pour ces pays
lement existant. réseau francophone. qui sont de plus en plus actifs au
Progressivement, les autorisa- I. F.-P. : Oui, effectivement, a été plan international. L’AFAPDP a
tions de la CNIL se sont dilatées mis en place, en 2006, le réseau Récemment, il a aussi été créé un beaucoup œuvré pour être plus
et toute une série de théma- francophone des autorités de réseau africain des autorités de présente au sein de la
tiques sont rentrées dans leur protection des données qui, protection des données. Les pays Conférence mondiale sur la
champ de responsabilité. aujourd’hui, regroupe 16 pays et africains sont à la confluence de protection des données, afin de
dont la CNIL assure le secrétariat deux questions : la transition faire entendre la voix franco-
Ce n’est pas à la CNIL de légiférer (AFAPDP). C’est une commu- démocratique et le développe- phone.
sur les lanceurs d’alerte mais je nauté extrêmement dynamique, ment de l’économie numérique.
pense très honnêtement que les très intéressante, dont l’objectif Dans la construction d’un Etat L. V. : Je vous remercie.
Actions de la CNIL :
Informer : la CNIL est investie d’une mission générale d’informa-
tion des personnes sur leurs droits et leurs obligations.
Conseiller et réglementer : la CNIL régule et recense les fichiers,
autorise les traitements les plus sensibles avant leur mise en place.
Sanctionner : la CNIL peut infliger des sanctions financières aux
responsables de traitements qui ne respectent pas la loi.
Protéger : la CNIL aide les citoyens dans l'exercice de leurs droits :
banque, travail, consommation, administration, internet...
Contrôler : la CNIL contrôle les fichiers et vérifie si les responsables
de fichier respectent la loi informatique et libertés.
Anticiper : la capacité à comprendre et anticiper les développe- Protéger la vie privée et les libertés
ments technologiques est désormais indispensable aux autorités
de protection des données. dans le monde numérique
CYBERSÉCURITÉ ET
PROTECTION DES DONNÉES
Quel rôle pour l’audit interne ?
16 - Cybersécurité : un domaine
incontournable et à valeur ajoutée
pour l'audit interne
19 - Tendances significatives
de l’enquête Global State of Information
Security 2014 de PwC
22 - Cybersécurité et protection
des données personnelles
le point de vue du Cigref
24 - La conformité à la loi
informatique et libertés
a été un levier d’action
© bluebay2014 - Fotolia.com
Cybersécurité :
un domaine incontournable
et à valeur ajoutée pour
l'audit interne
Jean-Pierre Hottin et Fabrice Garnier, Associés, PwC
L
orsque l’on regarde les plans d’audit considération la dimension technologique, Un besoin croissant d’assurance
interne des sociétés et organisations avec en particulier les quatre grands pour les parties prenantes
de toutes tailles, une question peut se domaines à considérer.
poser : pourquoi la technologie prend- Les aspects de cybersécurité tiennent une Les administrateurs interrogés dans le cadre
elle une part aussi faible, alors que tout autour place importante, ce qui est confirmé à l’aune de notre dernière publication « Annual
de nous il n’est question que de numérique des menaces bien réelles que la presse révèle Corporate Director Survey » ont souligné l’im-
de ruptures technologiques et d’ERP ? Un régulièrement, et ce que confirme également portance croissante qu’ils accordent à ce sujet.
Directeur audit interne nous confiait récem- notre dernière enquête internationale sur la Plus de 65 % veulent consacrer plus de temps
ment qu’il estimait que plus de la moitié de profession d’audit interne, avec, comme aux risques informatiques et à la cybersécu-
ses missions devraient désormais porter sur second sujet de préoccupation pour les rité. Pourtant si l’on regarde les résultats de la
des thématiques autour des systèmes d’infor- répondants, la sécurité des données (confi- dernière enquête sécurité présentés dans ce
mation… en particulier les aspects de sécu- dentialité, intégrité, disponibilité, traçabilité), dossier, les administrateurs apparaissent
rité des systèmes d’information. juste derrière la complexité règlementaire. encore insuffisamment impliqués sur des
Cela étant, force est de constater que peu de sujets critiques tels que la revue des risques,
La cybersécurité au cœur Directions audit interne – si l’on met de côté et cela malgré la recrudescence des cyber
de l’approche technologique quelques grands groupes et les grands menaces ainsi qu’un impact toujours plus
des départements audit interne établissements financiers – ont réellement les important sur les métiers (pertes financières
capacités de s’attaquer à ce domaine, laissant importantes et en hausse notamment).
Le schéma 1 illustre la manière dont un dépar- souvent à la Direction informatique cet Les directions informatiques ne sont pas
tement audit interne pourrait prendre en élément critique de l’univers d’audit. restées inactives et ont pour la plupart mis en
Schéma 1
place des fonctions dédiées à la sécurité des Ces fonctions sont au cœur de la seconde Quel espace d’intervention
systèmes d’information, qui ont en charge ligne de maîtrise mais, au-delà des contrôles pour l’audit interne ?
d’organiser : permanents, elles ne peuvent pas toujours
la prévention, avec par exemple des réaliser des audits ciblés pour s’assurer que La présence d’une seconde ligne de maîtrise
programmes de sensibilisation des salariés l’ensemble des filiales/unités respectent les structurée va permettre le plus souvent de
et des prestataires ; mesures préconisées. positionner l’audit interne sur deux types d’in-
la protection, avec par exemple des dispo- Ces fonctions, même si elles sont en capacité tervention :
sitifs de chiffrement des emails, des outils de fournir un certain niveau d’assurance, ne l’audit de la gouvernance de la sécurité des
de protection contre les intrusions ; peuvent répondre complètement au besoin systèmes d’information, qui visera en parti-
la détection, avec par exemple des outils de d’assurance objectif et indépendant que culier à s’assurer que les fonctions interve-
détection des intrusions de codes mali- peuvent demander les parties prenantes, à nant en seconde ligne ont défini des
cieux, et la mise en place de SOC (Security plus fortes raisons dans un domaine nécessi- dispositifs appropriés, répondant aux
Operations Center) ; tant une très forte expertise technique. bonnes pratiques du secteur, mais surtout
et la réponse avec par exemple la mise en L’audit interne ne peut donc rester en dehors permettant d’aligner ces dispositifs et de les
place de processus et d’équipes de gestion du jeu et doit pouvoir organiser – à la mesure adapter aux enjeux réels de l’entreprise. La
d’incidents et de crise (CSIRT). de ses capacités – une réponse appropriée protection absolue n’existe pas et l’entre-
aux attentes et aux enjeux. prise fait des choix pour focaliser les
moyens et les investissements sécurité sur
les enjeux métiers réels… ;
des audits ciblés sur des enjeux métiers, liés
par exemple à de nouveaux développe-
ments stratégiques pour l’entreprise (déve-
loppement des canaux de vente internet,
acquisition de start-up, systèmes indus-
triels…), ou en réponse à une actualité
brûlante – sur lesquels les dirigeants et
administrateurs vont demander des
réponses rapides – comme par exemple sur
l’état de la compromission des systèmes et
son étendue dans le cadre de fuite de
données liées à la propriété intellectuelle.
Tendances
© Sergey Nivens - Fotolia.com
significatives
de l’enquête Global State of
Information Security 2014
de PwC
Philippe Trouchaud et Nuvin Goonmeter, Associés, PwC
L
es tendances significatives de l’enquête en 2014. L’augmentation atteint 11 % en
2014 dédiée à la Cybercriminalité, se entreprises particulièrement Amérique du Nord et 5 % pour la région Asie-
résument en ce qui suit. menacées Pacifique.
La cybercriminalité augmente et C’est en Europe que les incidents de cybersé- Les grandes entreprises – dont les revenus
les budgets sécurité diminuent curité augmentent le plus fortement, avec annuels bruts sont de 1 milliard de dollars ou
une hausse de 41 % des incidents détectés plus – détectent près de 36 % d’incidents en
Le nombre de cyber-attaques recensées en
2014 est en hausse de 48 % dans le monde.
Notre étude réalisée en coordination avec les
magazines CIO et CSO, révèle que le nombre
d'incidents déclarés a augmenté de 48 % à
travers le monde en 2014, pour atteindre un
nombre total de 42,8 millions, soit l'équiva-
lent de 117 339 attaques par jour.
Depuis 2009, les incidents détectés ont
progressé de 66 % en moyenne par an.
Globalement, le coût annuel moyen attribué
aux incidents de cybersécurité atteint 2,7
millions de dollars en 2014, soit une
augmentation de 34 % par rapport à 2013. Les
grosses pertes financières ont été plus
fréquentes cette année puisque les pertes de
20 millions de dollars ou plus ont quasiment
doublé pour les entreprises (+ 92 % par
rapport à 2013).
Pourtant, c’est la première fois depuis 2010
que le budget moyen alloué à la sécurité de
l'information baisse, pour tomber à 4,1 millions Schéma 1 : Evolution du nombre d’incidents de sécurité détectés par taille d’entreprise
de dollars, soit 4 % de moins qu’en 2013.
2.8
La tendance sur les trois dernières années
$
$2.7 n’est pas constante et le budget de cybersé-
2.2
$ million
million curité moyen est descendu à 4,1M$, représen-
tant une réduction de 4 % par rapport à 2013
million (Cf. schéma 2).
Les fondamentaux
ne sont pas toujours en place
3.8 %
3.8 %
3.8 %
rester en phase avec l’évolution constante des
menaces. L’inter connectivité croissante des
systèmes et des entreprises, qui génère une
2010 2011 2012 2013 2014
croissance exponentielle des données et de
Schéma 2 : Evolution des budgets alloués à la sécurité (évolution du montant moyen et du leur partage avec des partenaires et fournis-
pourcentage par rapport au budget informatique total) seurs, devrait faire porter une attention parti-
culière sur les tiers et prestataires. Le constat
de notre enquête est que le focus sur la sécu-
rité des prestataires a diminué – malgré l’aug-
mentation du nombre d’incidents liés à ces
prestataires.
La maîtrise des prestataires devrait, selon l’un
des participants interrogé, s’appuyer sur des
due diligence robustes pour s’assurer qu’ils
sont en mesure de répondre aux exigences,
être supportées par des clauses contractuelles
adéquates, et être confortées par un pilotage
continu pour s’assurer que les mesures restent
en place.
Lorsque l’on regarde dans le détail le niveau
d’application de bonnes pratiques fondamen-
tales, force est de constater que beaucoup de
répondants ont encore des marges de
progrès, sur des sujets clefs comme l’analyse
des risques sur les fournisseurs critiques, l’in-
ventaire des prestataires qui gèrent des
données personnelles (50 % seulement décla-
rent le faire).
Malgré une ouverture des systèmes d’infor-
mations des entreprises aux sous-traitants,
nous constatons aujourd’hui un manque de
contrôle. Certaines bonnes pratiques de sécu-
rité demeurent encore peu mises en œuvre
et suivies (Cf. schéma 3).
Schéma 4 : Evolution comparée des sources d’incidents de sécurité
Adopter le management
du risque : plus d’agilité et
de réactivité pour les entreprises
face à des menaces en
perpétuelle mutation
Cybersécurité
et protection
des données
© BilionPhotos.com - Fotolia.com
personnelles
le point de vue du CIGREF1
A
vec la révolution numérique, l’infor- prendre le pas sur les réflexions concernant personnel est passible de sanction s’élevant
mation est devenue l’un des princi- les évolutions des risques à moyen terme, et jusqu’à 2 % du chiffre d’affaire de l’entreprise
paux actifs de l’entreprise, à sur les stratégies qui pourraient permettre de concernée. Tant de menaces qui planent au-
condition toutefois qu’elle soit les réduire. dessus des entreprises, et les mettent face à
maîtrisée, c’est-à-dire collectée, validée, de nombreux challenges en matière de
stockée, sécurisée et traitée pour accompa- Données personnelles cybersécurité et de protection des données
gner la prise de décision. La question de la et Big Data personnelles, notamment dans le contexte du
protection de cette information est au cœur Big Data.
des préoccupations des entreprises et devient Si toutes les données de l’entreprise n’ont pas Les données numériques constituent un actif
un peu plus prégnante chaque jour du fait du nécessairement la même valeur, il y a une essentiel pour les entreprises. Toute donnée
développement exponentiel des données catégorie qui nécessite une attention toute possède une valeur incrémentale ; cela signi-
(90 % des données mondiales ont été créées particulière face aux cyber-menaces : il s’agit fie qu’elles n’ont pour la plupart aucune valeur
au cours des deux dernières années), structu- des données à caractère personnel. Leur brute, mais qu’elles deviendront par leur croi-
rées et non structurées. protection nécessite la synergie de plusieurs sement et leur interaction, porteuses de sens
dimensions, à la fois techniques, organisation- et de valeur pour l’entreprise.
Comme tout actif clé de l’entreprise, l’informa- nelles et réglementaires. On comprend qu’avec les technologies de
tion est soumise à un grand nombre de L’actualité ne cesse hélas de témoigner de la traitement des Big Data, où l’hybridation des
risques, et son caractère immatériel en fait récurrence des cyberattaques sur les données données constitue le postulat de base, la
une cible toute désignée dans le cyber clients ou d’employés. Les risques encourus protection des données personnelles
espace. A l’heure où les attaques se font de sont lourds de conséquence : en cas de pira- devienne un sujet de plus en plus complexe
plus en plus fréquentes et violentes, les entre- tage, les retombées en termes d’image et de et difficile à maîtriser. La notion de donnée
prises et administrations publiques sont obli- réputation peuvent nuire au business, et le personnelle est elle-même en débat : sa défi-
gées de réagir sur des temps très courts. Cette non-respect de la règlementation en matière nition et son périmètre se sont considérable-
urgence permanente ne doit cependant pas de protection des données à caractère ment étendus avec le numérique. Une
donnée personnelle ne correspond pas forcé- externes pour leur cybersécurité, il leur prises pour maitriser la sécurité liée à l’IT, le
ment aux données d’identité communément appartient de maîtriser la chaîne de valeur facteur humain, l’utilisateur du SI de l’entre-
partagée dans l’administration (nom, adresse, d’autant plus que le marché apparaît prise, représente l’un des risques majeurs
profession etc.) : à l’ère du numérique, une dominé par des acteurs non européens encourus. C’est également l’un des plus diffi-
donnée personnelle est aussi un identifiant, dont les liens avec leur Etat sont parfois ciles à appréhender et à maitriser.
une adresse IP, autrement dit, toutes données marqués.
qui renvoient indirectement à une personne Faire de la donnée un élément central de Parce que chaque employé de l’entreprise a
physique. Autant dire qu’avec les potentiels l’entreprise : Les entreprises devront s’inté- accès au système d’information de l’entre-
technologiques actuels de traitement de Big resser aux nouveaux métiers liés à la prise, et donc potentiellement à un certain
Data, la possibilité d’identifier une personne donnée (chief data officer, data scientist, nombre de données sensibles, la sécurité
« indirectement » est presque systématique. etc.), réfléchir à l’insertion de ces nouveaux numérique en entreprise doit être portée par
Aujourd’hui, les piratages se font sur des SI métiers dans leur organisation actuelle. l’ensemble des collaborateurs. Tous ont un
entiers : cela signifie que des bases de Mettre en place des plates-formes d’infor- rôle important à jouer dans la protection de
données peuvent être facilement recoupées mation et des outils de détection d’at- leur entreprise. C’est pourquoi il est nécessaire
et permettre la corrélation d’information taques cyber : Cela permettrait d’avoir une que la communication sur ce sujet soit portée
personnelles voire sensibles, et ce malgré un vision plus globale des cyber-criminels, par les plus hautes instances dirigeantes au
chiffrage préalable. La cybersécurité autour d’identifier plus facilement les données sein de l’entreprise, pour que les bonnes
des données personnelles nécessite une prise sensibles, d’élaborer des systèmes de pratiques de sécurité soient intégrées dans la
de conscience au niveau organisationnel afin protection communs et d’améliorer la culture et les valeurs de l’entreprise.
d’assurer une évaluation des risques le plus en détection des agressions.
amont possible, suivre de manière attentive Développer une veille sociétale : Les indi- Les risques de cybercriminalité et de cyberter-
le cycle de vie des données personnelles et vidus peuvent plus facilement comprendre rorisme ont connu une augmentation de
surveiller de près leur intégrité pour minimiser et interagir avec les entreprises, mais ils fréquence d’occurrence et de gravité au cours
les risques. peuvent également les opposer en portant des deux dernières années. Sujet encore mal
atteinte à leur image (atteintes à l’e-réputa- connu et ne remportant pas l’intérêt de la
«
La garantie de la sécurité des données
personnelles engagent donc de nouvelles
responsabilités pour l’entreprise qui devront La cybersécurité autour des données
se focaliser à la fois sur les techniques de chif- personnelles nécessite une prise de conscience
frage mais également sur la formation et la
sensibilisation.
La conformité à la loi
informatique
et libertés
a été un
© tashatuvango - Fotolia.com
levier d’action
Sophie Tailliez, Chef de la mission audit et management des risques diques. A cette époque, le CIL a réalisé une
chez Maisons & Cités cartographie des traitements, ainsi qu’une
revue de conformité.
La parution du pack de conformité a été l’oc-
casion en 2015 d’une mise à jour de la carto-
graphie avec l’identification des données
sensibles et la réalisation d’une nouvelle
revue. Pour cela, le CIL s’est fait accompagner
AR&C : Comment se pose la problématique AR&C : Vous parlez d’obligation légale : la loi par un cabinet externe expert Cette seconde
relative aux données personnelles chez un fixe un cadre strict sur ce sujet et, d’ailleurs, la revue de conformité ne s’est cette fois pas
bailleur social ? Commission Nationale Informatique et liber- limitée aux traitements automatisés, mais a
tés (CNIL) a porté une attention particulière à également intégré les traitements papiers
Sophie Tailliez : En tant que bailleur social, votre secteur d’activité ? créés dans le cadre de la gestion locative et
le groupe Maisons & Cités collecte de de la gestion des ressources humaines. Suite
nombreuses informations qui concernent ses S. T. : Effectivement, la loi définit les principes à cette revue, des actions correctrices ont été
locataires et ses salariés. Nous disposons aussi à respecter lors de la collecte, du traitement identifiées et un plan d’actions a été présenté
d’informations relatives aux demandeurs d’un et de la conservation des données à caractère aux collaborateurs audités.
logement social ou à nos partenaires écono- personnel. Elle prévoit également un certain Il faut souligner que la collaboration entre la
miques. Nous recevons ou envoyons aussi des nombre de droits pour les personnes auprès direction des affaires juridiques et la direction
données dans le cadre de nos relations avec desquelles sont collectées de telles données. des systèmes d’information était essentielle et
nos autres parties prenantes : collectivités, De surcroît, en juillet 2014, la CNIL a publié un a été particulièrement efficace.
Etat, Caisse d’allocations familiales... Ce sont pack de conformité dédié spécialement au
des données qui sont traitées par des appli- logement social. Le pack décline les disposi- AR&C : Justement, depuis quand votre DSI
cations métiers et des outils de bureautique, tions de la loi informatique et libertés dans le intervient sur cette problématique ?
avec le plus souvent une automatisation des champ opérationnel couvert par les bailleurs
traitements. Néanmoins, il est évident que le sociaux pour leurs actes les plus courants. S. T. : Notre DSI s’est particulièrement mobili-
risque porte sur la violation des données sée sur le sujet dès 2012 en raison des risques
personnelles. Nous nous devons donc de les AR&C : Comment votre organisation est-elle liés à la cybersécurité. Elle a initié une
protéger : c’est bien sûr une obligation légale donc structurée pour répondre à cette démarche de sécurisation de son système
mais c’est surtout un acte de responsabilité problématique ? d’information. Une liste des principaux risques
vis-à-vis de nos locataires, salariés, deman- susceptibles de l’affecter a été dressée,
deurs, fournisseurs et parties prenantes. Il S. T. : Dès 2011, Maisons & Cités a nommé un notamment les intrusions internes et
s’agit d’un gage de confiance. correspondant informatique et libertés (CIL) externes, l’usurpation d’identité, l’écoute des
qui est rattaché à la direction des affaires juri- réseaux privés et publics, le vol, la perte, la
destruction de matériel, la perte des données AR&C : Quel a été votre rôle en tant que
LE GROUPE MAISONS & CITÉS
de la messagerie, les actes de malveillance. responsable de la fonction audit interne ?
Elle a donc forcément été étroitement asso-
Le groupe Maisons & Cités s’est consti-
ciée à la revue de conformité. S. T. : La mission d’audit et de management
tué en 2002 avec la création de
des risques est à chaque fois intervenue
l’Epinorpa et le rachat de la SAS
AR&C : Pouvez-vous nous donner des exem- comme un « catalyseur » auprès des direc-
Soginorpa, société créée en 1985 par
ples concrets des résultats de cette collabora- tions supports. Nous avions identifié comme
Charbonnages de France ayant en
tion au sein de la 2e ligne de maîtrise ? risques majeurs les risques d’intrusions ainsi
charge la gestion des logements des
que le risque de non-conformité à la régle-
Houillères du Nord-Pas-de-Calais.
S. T. : Elles sont variées. Je pense entre autre mentation Informatique et libertés. Ils avaient
L’acquisition de la coopérative HLM
à la mise en place d’un dictionnaire des mots d’ailleurs été inscrits au plan d’audit interne Maisons & Cités Habitat a ensuite
interdits dans les zones de commentaires validé en conseil d’administration. J’aimerais permis d’engager une activité de
libres de notre progiciel de gestion locative, à vraiment souligner l’implication des directions construction et ainsi d’élargir l’offre de
la possibilité pour le CIL d’accéder à tous les concernées – la direction des systèmes d’in- logements.
commentaires et aux zones de commentaires formation et la direction des affaires juri-
libres et de les modifier afin d’être en confor- diques – qui se sont saisies de ces occasions En 2014, Maisons & Cités Soginorpa est
mité avec la loi, à la validation par le CIL des pour mobiliser leurs collaborateurs autour des devenue une SA d’HLM. Premier bailleur
demandes d’autorisation préalables à la mise recommandations et des plans d’actions. La HLM de la région Nord-Pas-de-Calais,
en œuvre de traitement automatisé de conformité à la loi Informatique et libertés a elle est aussi la seconde ESH de France.
données à caractère personnel ou encore à été un levier d’action. Son patrimoine de 63 000 logements
l’anonymisation des locataires par cryptage En outre, certains audits qualité intègrent les est constitué en très grande majorité de
automatique dans les délais légaux. Mais cela risques liés à la cybersécurité et la protection logements individuels avec jardin. Il se
s’appuie aussi sur une évolution des compor- des données personnelles, tels que les audits singularise par une qualité architectu-
tements des utilisateurs qui sont régulière- du processus « administrer le système d’infor- rale et urbanistique exceptionnelle :
ment sensibilisés par la DSI au rôle du CIL au mation » et celui de la direction des ressources 40 % du parc fait partie du périmètre
regard de nos obligations réglementaires. humaines. Cela nous permet de consolider, inscrit au patrimoine de l’Humanité
par le biais de la qualité, le cercle vertueux et (Bassin minier patrimoine mondial).
AR&C : Au-delà de la protection des données efficace que doit être l’audit.
personnelles, que fait la DSI sur le sujet de la Nous n’avons pas la prétention d’être parfait, La clientèle de Maisons & Cités présente
cybersécurité ? loin de là, et nos marges de progression également la particularité d’être consti-
restent encore importantes. Mais grâce à la tuée à 30 % d’ayants droit du statut du
S. T. : Depuis plusieurs années, elle a engagé démarche qualité d’amélioration continue et mineur. Ces anciens mineurs ou veuves
de mineurs sont logés à titre gratuit. La
un plan d’actions qui vise à nous sécuriser : à celle de maîtrise des activités avec le contrôle
clientèle de locataires est quant à elle
elle organise régulièrement des tests d’intru- interne et le management des risques, nous
constituée à près de 60 % de ménages
sions internes et externes, elle a publié une essayons de progresser à chaque fois. La 2e
avec enfants.
toute nouvelle charte des utilisateurs, elle a ligne de maîtrise l’a bien compris. Et même si
créé une charte des administrateurs, elle a l’audit est un temps de contrainte et de remise Maisons & Cités emploie 887 collabora-
durci la politique de mots de passe, et a revu en question, c’est à chaque fois l’occasion de teurs.
le dispositif d’habilitations pour préparer la s’améliorer. Je rends d’ailleurs hommage à mes
montée de version de notre progiciel de collègues audités et auditeurs qui s’investis-
sent et se mobilisent.
www.maisonsetcites.fr
gestion.
© Sam Bellet
L’audit interne
face aux
risques de
L
es gouvernements et les organisations rité, de cyberespace et de cyberattaque ; la autres concepts : le cyberespace et la cybe-
(entreprises, institutions financières, deuxième partie est consacrée aux mythes de rattaque.
hôpitaux et autres) collectent, traitent, la cybersécurité ; la troisième partie présente Le cyberespace est un domaine global avec
stockent des informations confiden- le rôle de l’audit interne face aux risques de un environnement d’information consistant
tielles et transmettent les données à travers cybersécurité à travers le modèle des trois en un réseau indépendant des infrastructures
les réseaux. Le volume et le degré sophistiqué lignes de défense. des systèmes d’information, y compris
des cyberattaques nécessitent une attention l’Internet, les réseaux de télécommunications,
soutenue pour protéger les organisations Qu’est-ce que la cybersécurité ? les systèmes informatiques et les processeurs
considérées comme « sensibles », les rensei- et contrôleurs embarqués6. Alors que la cybe-
gnements personnels et la sauvegarde de la Le terme «cybersécurité», appelé aussi sécu- rattaque est une attaque, via le cyberespace,
sécurité nationale. Les cyberattaques et l’es- rité des technologies de l’information, est en ciblant l'utilisation d'une entreprise dans le
pionnage numérique sont considérés comme largement utilisé et ses définitions sont varia- but de perturber, de désactiver, de détruire, ou
les principales menaces pour la sécurité natio- bles. Nous vous proposons les trois suivantes : de malicieusement contrôler un environne-
nale des pays. Le budget consacré à la cyber- Pour Merriam webster3, la cybersécurité est ment ou une infrastructure informatique ou
sécurité reflète bien cette importance, l’ensemble des mesures prises pour proté- de détruire l'intégrité des données ou encore
démesuré dans le cas des États-Unis (14 ger un ordinateur ou un système informa- de voler des informations contrôlées7 .
milliards de dollars prévus dans le budget tique contre un accès non autorisé ou
20161) et modéré dans celui du Canada (58 contre des attaques. On peut dire que la cybersécurité consiste à
millions de dollars prévus en 2015-20162). Selon la National Initiative for Cybersecurity protéger ou défendre l’utilisation des
Notre article comprend trois parties : la Careers and Studies (NICCS)4, la cybersécurité ressources du cyberespace contre l’accès non
première définit les concepts de cybersécu- est l’activité ou le processus, l’habileté ou la autorisé qu’il soit intentionnel ou non.
Audit externe
de l’opérationnalité des contrôles
Régulateurs
Sécuriser les appareils mobiles (y compris contrôles en place)
Audit
suite d’un vol de numéro de carte de crédit Appliquer les règles de sécurité 3.3 Evaluation d’optimiser le choix des options de
pour la navigation sur internet traitement des risques de cybersécurité
ou du vol d’identité d’un client, ce dernier 4
cesse une partie ou la totalité de ses activi- Adopter des mots de passe forts
Options de traitement des
et stocker en sécurité Procéder à des évaluations des actions
tés avec l’entreprise le temps qu’il règle ses risques et cybersécurité
Sauvegarder ses données 5 pilotées par le management
Evitement 4
problèmes.
Nous devons nous concentrer sur les
(en cours ou nouvelles)
et contrôler les sauvegardes Rétention
Transfert ou partage
Lutter à différents niveaux contre les Exploitation
terroristes. Certes, le phénomène du terro-
Réduction probabilité /
virus et autres programmes malveillants (opportunités)
1
Communiquer en continu
risme est plus présent compte tenu de l’ef- Prévenir, détecter et agir
impact et notamment les déficiences
fet de l’incertitude élevée causée
notamment par des guerres actuelles (Irak, Le modèle des trois lignes de défense : rôle de l’audit dans les risques de cybersécurité
Syrie, Libye, Yémen, etc.). Néanmoins, les Schéma adapté à partie des lignes directrices ECIIA / FERMA sur la 8e directive de l’UE relative au droit des sociétés,
attaques informatiques sont quotidiennes article 41 et du schéma de l’IIA
et concernent l’ensemble des acteurs de la Ces actions ont été identifiées dans le Guide Belge de la cybersécurité
société. À la différence d’un terroriste, qui a
souvent un calendrier politique initial et a
besoin de se déplacer pour exécuter son Systèmes de contrôle et d’acquisition de définissent d’ailleurs comme étant des
acte, un pirate informatique peut agir de données (SCAD ou SCDA en anglais) ou personnes s’attachant à comprendre le fonc-
n’importe quel coin de la planète, assis des Automates programmables indus- tionnement d’un mécanisme, afin de pouvoir
confortablement dans le sofa de son salon triels (API ou PLC en anglais). Or, les pirates bidouiller pour le détourner de son fonction-
et sans forcément une intention hostile. informatiques n’ont nul besoin de ces nement originel10.
Les « hackers » n’ont pas de connaissances connaissances pour bloquer pendant
fines comme par exemple celles des quelques heures des sites internet9. Ils se D’autres efforts sont consacrés à la compré-
hension des types et sources des cyberat-
Exemples de sources de menace à la cybersécurité 11 taques (voir les exemples ci-après), de la
Bots opérateurs de réseaux utilisant un réseau, un botnet, des compromis, des
dépendance à l’égard du département de la
Sécurité TI et de la vulnérabilité des systèmes
systèmes télécommandés pour coordonner des attaques utilisant l’hameçonnage, le
DCS (Distributed Control System) ou PLC
pourriel et des logiciels malveillants.
Des États qui s’adonnent à des activités hostiles de collecte de renseignements et
(Programmable Logic Controllers).
d'espionnage.
Concurrents commerciaux.
Les trois lignes de défense :
Groupes criminels.
L’audit interne et les risques de
Pirates informatiques.
cybersécurité
Terroristes.
De par sa définition, l’audit aide l’organisation
à atteindre ses objectifs en évaluant, par une
Exemples de types de cyberattack 12
Cross-Site Scripting) : type de faille de sécurité des sites web permettant d'injecter
approche systématique et méthodique, les
processus de management des risques et de
du contenu dans une page, provoquant ainsi des actions hostiles sur les navigateurs contrôle14.
web des victimes.
Attaque par déni de service qui consiste en une tentative de submerger un système
Autrement dit, dans le cas de la cybersécurité,
l’audit s’assure de l’efficacité du système de
ou un réseau informatique via un grand nombre de communications afin d’empê- contrôle interne du cyberespace qui a notam-
cher les utilisateurs d’y accéder13.
Les bombes logiques : code de programmation volontairement inséré dans des logi-
ment pour objectifs15 :
l’exécution d’opérations ordonnées, éthiques,
ciels provoquant une fonction malveillante lorsqu'une ou plusieurs conditions préci- économiques, efficientes et efficaces ;
sées sont remplies. le respect des obligations de rendre
Cheval de Troie.
Ver.
compte ;
la conformité aux lois et réglementations
Virus. en vigueur ;
la protection des ressources contre les ronnements interne et externe. La faisabilité Dans le cadre de ces missions d’audit, l’audi-
pertes, les mauvais usages et les et les ressources nécessaires peuvent faire teur doit approfondir ses examens afin de s’as-
dommages. aussi l’objet d’un audit. Ce dernier peut être surer du bon fonctionnement au plan
réalisé selon un plan pluriannuel et d’une opérationnel de la stratégie de cybersécurité
À ces objectifs s’ajoutent les dimensions manière cyclique. A ce stade, et selon le des microprocessus de l’organisation.
proprement liées à la sécurité de l’informa- modèle des trois lignes de défense illustré ci- L’efficacité de la mise en œuvre de cette stra-
tion16 à savoir : dessus, l’auditeur concentre ses efforts aux tégie dépend de sa cohérence avec les enjeux
Assurer la disponibilité de l’information de première et deuxième lignes de défense. À la stratégiques et le cadre réglementaire de l’or-
façon à ce qu’elle soit accessible en temps première ligne, il procède à l’évaluation des ganisation. L’auditeur doit porter une atten-
voulu et de la manière requise par une actions pilotées par le management afin de tion particulière aux enjeux stratégiques,
personne autorisée. contenir le risque de cybersécurité, tandis réglementaires et opérationnels dans le choix
Assurer l’intégrité de l’information de qu’à la deuxième ligne, l’auditeur s’assure de de son référentiel d’audit. À cet effet, il peut
manière à ce que celle-ci ne soit pas la mise en place et de l’efficacité d’un proces- être accompagné par un expert en matière de
détruite ou altérée de quelconque façon sus de gestion des risques de cybersécurité. sécurité d’information. Les types de mission
sans autorisation, et que le support de cette En résumé, l’auditeur s’assure que la stratégie d’audit pouvant être réalisés sont :
information lui procure la stabilité et la de cybersécurité adoptée reflète la mission et audit de conformité aux référentiels règle-
pérennité voulues. les valeurs organisationnelles ainsi que le mentaires ;
Limiter la divulgation de l'information aux code de conduite et les règles de gouver- audit de vulnérabilité périodique qui
seules personnes autorisées à en prendre nance de l’organisation. comprend l’outil automatisé d'analyse de
connaissance, assurant ainsi une stricte vulnérabilités, test et évaluation de sécurité,
confidentialité. Audit opérationnel de la sécurité de tests d’intrusion, revue de code (ISO27005) ;
Permettre de confirmer l’identité d’une l’information suivi de sécurité (enquête et inspection).
personne ou l’identification d’un document
ou d’un dispositif. L’audit apprécie l’efficacité de la conception Par ailleurs, l’auditeur doit s’assurer que le
Se prémunir contre le refus d’une personne et de l’opérationnalité des contrôles existants management a mis en place des plans de
de reconnaître sa responsabilité à l’égard en matière de sécurité de l’information telle mesure d’urgence et de continuité des opéra-
d’un document ou d’un autre objet, dont que présentée à la deuxième ligne de tions. À cet effet, l’existence d’un processus
un dispositif d’identification avec lequel elle défense. Aussi, il peut parfois participer au efficace d’escalade des évènements portant
est en lien. processus d’évaluation des risques et de mise atteinte à la sécurité de l’information est
en œuvre des contrôles des systèmes d’infor- requise.
Dans le cadre d’une mission d’audit de sécu- mation afin de s’assurer du niveau de sécurité
rité de l’information, la méthodologie d’audit en amont. Ainsi, des contrôles préventifs * *
ne diffère pas d'autres domaines et peut être seront prévus en début de processus afin de *
abordée de deux façons : à haut niveau « audit contrer la survenance des défaillances ou plus
stratégique » exigeant une expertise avancée tard dans le processus afin de les détecter De plus en plus de pays ont mis en place une
ou au niveau opérationnel « audit opération- rapidement (ex : définition des rôles et des stratégie de cybersecurité . C’est le cas notam-
nel » exigeant ainsi les connaissances et les responsabilités, activités de sensibilisation, ment enAllemagne , en Australie, au Canada,
moyens nécessaires au déroulement de la contrôle et mise à jour des accès informa- aux États-Unis, en France et auLuxembourg
mission d’audit. tiques, journalisation et routine de détection, où plusieurs moyens ont été mis en place
duplication des données, etc.). Un autre point pour contenir les risques de la cybersécurité
Audit de la stratégie de cybersécurité important que l’auditeur devrait prendre en en s’assurant de la protection de la vie privée.
considération est l’analyse coût/bénéfice afin Néanmoins, malgré ces moyens, il arrive
Au niveau stratégique, l’auditeur s’intéresse à d’évaluer si les avantages de l’option de trai- encore que des renseignements personnels
la pertinence de la stratégie de cybersécurité, tement sélectionnée l’emportent sur les coûts soient dérobés comme ce fût le cas tout
son évolution et son interaction avec les envi- associés. récemment (5 juin 2015) aux États-Unis : le
Le Plan d’action économique de 2015 propose d’accorder 58 millions de dollars sur cinq ans, à compter de 2015-2016, pour mieux protéger les
of Personnel Management), ce qui semblerait cybersystèmes et l’infrastructure virtuelle essentiels du gouvernement du Canada contre les cyberattaques.
être une des plus graves violations de http://www.budget.gc.ca/2015/docs/plan/ch4-3-fra.html (page visitée le 12 juin 2015).
données des employés fédéraux17. C’est pour- 3 Dictionnaire en ligne : Merriam-Webster (traduction libre; site consulté le 28 mai).
http://www.merriam-webster.com/dictionary/cybersecurity
quoi, à notre avis, l’auditeur doit intégrer la 4
DHS, (2014). A Glossary of Common Cybersecurity Terminology. National Initiative for Cybersecurity Careers and Studies : Department of Homeland
protection des renseignements personnels Security. October 1, 2014:http://niccs.us-cert.gov/glossary#letter_c (consulté le 28 mai 2015).
ainsi que la sécurité de l’information dans 5-6-7 CNSS, (2010). National Information Assurance Glossary. Committee on National Security Systems (CNSS). Instruction No. 4009.
http://www.ncix.gov/publications/policy/docs/CNSSI_4009.pdf (consulté le 29 mai 2015).
toute mission d’audit quelle que soit sa
8
E Byres, J Kay, J Carter, (2010). Myths and Facts Behind CyberSecurity of Industrial Control.
portée. http://www.pimaweb.org/conference/april2003/pdfs/MythsAndFactsBehindCyberSecurity.pdf (page consultée le 1er juin 2015).
L’auditeur devrait aussi sortir de sa zone de 9 Selon le journal de Québec du 8 juin 2015, le piratage des sites Internet de la région du Saguenay-Lac-Saint-Jean (Québec, canada) , dans la nuit du
confort et saisir l’opportunité de faire partie 5 au 6 juin 2015, est l’œuvre d’une seule personne localisée en Turquie.
http://www.journaldequebec.com/2015/06/08/sites-web-attaques-par-des-pirates-informatiques (page consultée le 10 juin 2015).
de la solution. Autrement dit, l’auditeur ne 10 Amaelle Guiton (2013), Hackers. Au cœur de la résistance numérique. Éditions Au diable vauvert, 2013, page 17.
devrait pas se contenter de ne faire que des 11-12 United States Government Accountability Office (2013). Cybersecurity National Strategy, Roles, and Responsibilities Need to Be Better Defined and
recommandations pour l’entité auditée mais More Effectively Implemented. Report to Congressional Addressees. Pages 5 et 6. http://www.gao.gov/assets/660/652170.pdf .
se questionner aussi sur l’impact financier de Voir aussi le site internet du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, France (CERT-FR),
www.cert.ssi.gouv.fr/ .
ces recommandations, en particulier dans des 13 Michael W. Elliott (2012). « Évaluation et traitement du risque », ARM, The Institute, Pennsylvania, page 10.29.
projets TI, surtout dans un contexte de restric- 14 Définition proposée par l’Institut français de l’audit et du contrôle interne (IFACI).
tion budgétaire. Pour ce faire, l’auditeur peut 15
Lignes directrices sur les normes de contrôle interne à promouvoir dans le secteur public, Publiées par l’INTOSAI
se servir notamment de l’analyse coût/béné- 16 Secrétariat du Conseil du trésor du Québec (2014). Directive sur la sécurité de l’information gouvernementale, Québec, Canada.
fice et ce, d’une façon systématique. Cette http://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/directives/directive_securite_information2014.pdf
18
stratégie peut être payante non seulement David E. Sanger and Julie Hirshfeld Davis (2015). Hacking Linked to China Exposes Millions of U.S. Workers. The New York Times, 4 juin 2015.
http://www.nytimes.com/2015/06/05/us/breach-in-a-federal-computer-system-exposes-personnel-
pour l’organisation (choix de la solution la plus data.html?action=click&contentCollection=U.S.&module=RelatedCoverage®ion=Marginalia&pgtype=article (page consultée le 5 juin 2015).
optimale) mais aussi pour l’image de l’audit
interne.
© beeboys - Fotolia.com
approche intégrée
Objectifs, processus, risques, contrôles
et gouvernance
ir. Tommaso Capurso, MIA, CCSA, CIA, QA, EFARM, CRMA, ISO31000 Risk Management Professional l’objet d’un « papier » ultérieur
Chef de la division d’audit « Opérations et Systèmes techniques » et « Sécurité distinct.
d’exploitation » à l’audit interne de la SNCB (Belgique)
Une petite métaphore
mathématique et
graphique
Faisons-nous plaisir. La littérature
indique souvent que « objectifs »,
L
e thème du présent arti- les auditeurs internes sont en grammes (N 2110, N 2120, N « risques » et « contrôles » sont
cle a fait l’objet d’un principe familiers. Ce sont en 2130 A1). liés et doivent être « alignés ».
exposé à l’occasion de la effet les mots-clefs intervenant Pour limiter la taille de la présente Larry Hubbard (« Control Self-
Conférence du 30ème anni- dans la « définition » de l’audit publication, ce volet pourra faire Assessment : a practical guide »,
versaire de l’AMACI (l’IIA Maroc) (7 interne.
et 8 mai 2015 à Marrakech).
Ce thème, proposé par le Comité Cet article vise à illustrer
scientifique de l’AMACI, constitue quelques modalités d’approche
un double défi : intégrée de la gouvernance orga-
défi en termes d’attente de nisationnelle (Norme IIA, N 2110).
« nouveauté » (je resterai La gouvernance de gestion inté-
prudent sur ce critère, vu les grée de projet, également abor-
références citées datant parfois dée à Marrakech, est importante.
de quelques décennies voire Les normes de l’IIA sont en effet
plus) ; là pour nous rappeler qu’il y a lieu
défi dans la recherche de d’évaluer aussi les risques en
modélisation et d’intégration matière d’efficacité et d’efficience
des divers concepts auxquels des opérations et des pro- Figure 1 : Pour une nouvelle approche intégrée
(source : dessin adapté, « Le risque d’entreprendre », Essentiels Milan, série Polynômes, 1999)
Différentes approches
Situation Situation sociologiques de la
O+E=R+C initiale visée gouvernance
OBJECTIF O What should be
TOLERANCE
Donc Wha N (« appét ») L’évolution des sciences
t is IO par rapport
SIT E humaines a permis de distinguer
E PO QU au risque
RI
deux types d’approches :
l’approche « descendante »
S
E=R+C-O EX RI que
SQ
s
AU Ri el
UE
C
u u
(o sid (prescriptive), visant à stimuler
LE
R
é
RO
R ) la conformité : culture de la
RR
NT
AS IS TO BE règle et du contrôle. Dans son
CO
(What is) (What should be) essence, elle vise à préserver
les « avoirs » de l’entreprise. Elle
Figure 2 : L’équation objectif-risque-contrôle représente l’organisation du
« quoi/comment » et met en
place des « garde-fous » (les
The IIA, 2000) évoque, sans l’énon- outputs qui ont une valeur pour « Les valeurs de l’entreprise contrôles) pour atteindre les
cer, une « formule » d’interaction. un client » (« Le reengineering », détiennent le véritable objectifs ;
Il ajoute que « Evaluer les M.Hammer et J.Champy, Dunod, pouvoir » ; l’approche « montante » (parti-
contrôles pour atteindre les 1993). Le processus (du latin « pro « Soutenez et encouragez les cipative), visant à stimuler la
objectifs n’est pas possible sans cedere » : aller vers l’avant) est employés qui incarnent les coopération, la coordination,
considérer les risques pouvant donc la série d’opérations produi- valeurs les plus importantes de bref l’implication et l’initiative
empêcher l’atteinte de ces objec- sant la transformation de la l’entreprise » ; du personnel : culture de la
tifs. Dès lors, que vous vous « situation initiale » vers la « situa- « Les entreprises passent finalité et du résultat. On pour-
concentriez d’abord sur le risque tion visée ». beaucoup trop de temps sur rait reformuler en suggérant
ou sur le contrôle dans le proces- Pour les quatre premiers leurs chiffres et pas assez sur que cette approche vise à
sus d’évaluation, vous ne pouvez concepts du titre, le tour est donc leurs valeurs ». développer les « êtres ». Elle
réellement évaluer l’un sans avoir joué ! reflète l’organisation du « pour
une pleine compréhension de La norme ISO26000:2011, relative quoi », en se basant sur des
l’autre ». Quid d’un modèle de à la responsabilité sociétale, « garde-intelligents » (les
gouvernance intégrée ? inclut au §6.2.1.1 une définition « travailleurs du savoir »), avec
Du schéma proposé (figure 2), on intéressante de la gouvernance une attention particulière à
peut aisément déduire quelques Se référer à quelques de l’organisation. Il s’agit : développer la confiance.
définitions simples : définitions : toujours utile ! d’un système par lequel une
le risque, c’est tout ce qui peut organisation prend des déci- La société coopérative Desjardins
détourner de l’atteinte de l’ob- Les normes IIA définissent, dans sions et les applique en vue d‘ a magnifiquement synthétisé la
jectif ; leur glossaire, le gouvernement atteindre ses objectifs ; dualité de la gouvernance dans
le contrôle, c’est tout ce qui d’entreprise comme : « Le dispo- de mécanismes formels de un slogan d’entreprise :
peut contribuer à atteindre sitif comprenant les processus et gouvernance (processus, struc- « Conjuguer avoirs et êtres »,
l’objectif. les structures mis en place par le tures) ; actualisé depuis en : « Coopérer
Conseil afin d'informer, de diriger, de mécanismes informels, en pour créer l’avenir ».
La superposition du risque et du de gérer et de piloter les activités fonction des valeurs et de la Bien entendu, les organisations
contrôle (le « what is » ou « AS IS ») de l'organisation en vue de réali- culture de l'organisation, sont complexes, travaillent dans
peut être comparé à l’objectif, ser ses objectifs ». souvent sous l'influence des des contextes sectoriels variés,
soit au « what should be » ou « TO La norme N 2110 souligne que personnes qui la dirigent ; régulés ou non, et présentent des
BE ». L’écart entre les deux est l’ex- l’audit interne doit en particu- d’un cadre des prises de déci- histoires et des cultures multiples.
position au risque ou risque rési- lier déterminer si ce processus sion au sein de l'organisation. Le positionnement du curseur
duel. Les amateurs de géométrie permet la promotion des règles entre les deux types d’approches
vectorielle retrouveront dans la éthiques et des valeurs appro- Elle insiste par ailleurs sur la peut donc significativement
proposition d’équation le célèbre priées au sein de l’organisation. nécessité d’une démarche holis- varier d’une organisation à l’autre.
« théorème de Chasles ». Il est à On devine ainsi qu’une organi- tique et sur l’interdépendance de
noter que l’observateur (« l’œil ») sation ne peut en fait créer de la ses composantes (redevabilité, Une intégration continue et
se place à la situation initiale et valeur que… si elle dispose de transparence, comportement persévérante
contemple le déroulement dans valeurs. éthique,…).
le temps vers la situation visée. Jack Welch, ancien CEO de Rappelons en effet les efforts
Le concept de processus ne General Electric (1981-2001), Comme le souligne aussi la constants et convergents
complique guère le schéma, car l’avait bien compris et avait l’ha- norme ISO31000:2009, relative au d’intégration, comme en
il se superpose au « vecteur » bitude de consacrer pas mal de management du risque, l’impor- témoignent les publications
objectif : il s’agit en fait d’ « une son temps à expliquer l’impor- tant, finalement, c’est la qualité notamment de l’IIA. Citons par
chaîne d’activités qui, à partir tance des « valeurs » à son de la prise de décision (choix exemple (extraits) :
d’un ou de plusieurs inputs, personnel (« Jack Welch, 24 argumentés, priorités d'ac- « Enhancing integrated repor-
produit, en consommant des leçons de leadership », J.Krames, tions,...). ting. Internal audit value propo-
ressources, un ou plusieurs Ed.Maxima, 2008) : sition », 2015.
rency ».
“trigger”) Output Y
Practice guide « Assessing orga- Processsus
Processus
réel
Ecart Objectif O Sens
nizational governance in the Input X O-Y voulu Finalités
(“la consigne”)
Valeurs
public sector », 10/2014.
« Non-Financial Reporting:
Building trust with internal audit. Rétroaction
Enhancing governance through
internal audit », ECIIA, 2015 Approche
- « Implementation of integra- systémique/
ted management, reporting téléologique
and assurance » ; Figure 3 : Modèle cybernétique de gouvernance intégrée « pour quoi »
- « The benefits of this reform in
terms of greater transparency,
trust and long term perfor- and communication in the animal Dans le modèle de la figure 3, le Les deux derniers n’appellent pas
mance will depend on the and the machine » (1948). contrôle interne, cher à l’auditeur, de commentaires particuliers.
quality of the reports issued ». Etrange référence bibliogra- est à la fois : La notion de « leadership » néces-
GTAG 3 : « Continuous auditing: phique pour un auditeur le feedback (information, site toutefois quelques éclaircis-
coordinating continuous audi- interne ? Quelle est donc la rela- mesure d’écart) sur la façon sements.
ting and monitoring to provide tion entre « cybernétique » et dont le système atteint (ou
continuous assurance », 2ème « gouvernance » ? non) son objectif (le détecteur, Jack Welch (encore lui !) indique
édition, 03/2015. Le mot « cybernétique » provient comme dans le cas d’un ther- dans une interview accordée à
du grec « κῠβερνήτης » (kuber- mostat) ; D.Roth, CEO de LinkedIn
La confiance, clef de voûte de nêtês), qui signifie « pilote, tous les moyens, tangibles et (04/2015) : « Le leadership se
la gouvernance gouverneur », mais aussi intangibles visant à assurer que résume en deux mots : vérité et
« gouvernail, gouvernement ». les objectifs fixés sont atteints confiance ».
On constate ces dernières On y arrive tout doucement : (l’actionneur). Victor Hugo en propose une
années, en particulier depuis la gouvernance. métaphore tranchée : « L’homme
crise financière de 2008, un Dans le modèle intégré proposé, Le contrôle interne assure la fort dit “Je suis” et il a raison : il est ;
nombre significatif de publica- le lecteur doit accrocher son œil rétroaction donc la fonction de l’homme faible dit ‘Je suis’ et il a
tions, y compris dans les réfé- d’abord sur le « sens », les « régulation ». aussi raison : il suit ».
rences IIA précitées, évoquant la « valeurs », puis regarder de la La norme ISO9000:2005 (Sys-
question de la « confiance ». droite vers la gauche : vers les Traduction de la gouvernance tèmes de management de la
Jack Welch (op.cit.) montre serei- finalités, les objectifs qui en sont intégrée en modèle qualité - Principes essentiels et
nement la voie à suivre : les déclinaisons opérationnelles managérial vocabulaire) a formulé 8 prin-
« Faites confiance, déléguez et enfin sur le dispositif asservi cipes de management de la
et laissez le champ libre : vous représenté, muni d’une boucle La norme ISO9001, concernant qualité. L’un d’eux est le « leader-
ne pouvez pas tout faire de rétroaction. les systèmes de management ship », dont le sens est : « Les diri-
vous-même. La clé pour diri- L’approche « téléologique » de la qualité, définit systémati- geants établissent la finalité et les
ger consiste à favoriser le déve- mentionnée dans le schéma a quement l’organisation comme orientations de l'organisme. Il
loppement et à renforcer déjà fait l’objet d’une publication un « organisme », c’est-à-dire convient qu'ils créent et main-
d’autres leaders. Vous ne dans la revue « Audit » de l’IFACI comme « une personne ou tiennent un environnement
saurez jamais de quoi les gens (« S'intéresser aux objectifs et aux groupe de personnes ayant sa interne dans lequel les personnes
sont capables si vous ne leur signes créateurs de valeur », propre structure fonctionnelle peuvent pleinement s'impliquer
donnez pas l’opportunité de T.Capurso & D.Coffyn, n°160, juin avec des responsabilités, autori- dans la réalisation des objectifs
prendre les choses en main » ; 2002). tés et relations en vue d'atteindre de l'organisme ».
« Vous ne pouvez gérer la Tout processus de l’organisation ses objectifs ». La même norme ajoute qu’il en
confiance que chacun a en soi ». nécessite d’être déclenché ; une Le management, conscient des découle notamment les actions
fois mis en route, il produit, à « valeurs », des finalités et des suivantes :
La cybernétique pour aider à partir des inputs, des outputs, qui objectifs de l’entreprise, effectue créer et entretenir des valeurs
modéliser la gouvernance peuvent différer de la une construction mentale de sa communes et des modèles de
intégrée « consigne » (l’objectif assigné). Il vision managériale et des rela- comportement fondés sur
peut en outre être exposé à des tions précitées au sein de l’orga- l'équité et l'éthique à tous les
Développer un modèle intégré « perturbations » (des « risques »). nisme. niveaux de l'organisme ;
nécessite une vision « systé- L’écart output/objectif est ensuite Il coordonne trois types (clas- établir la confiance et élimi-
mique ». détecté et l’organisation réagit en siques) de processus : ner les craintes.
Norbert Wiener nous offre un fournissant un feedback (une pilotage (« corporate leader-
concept pertinent pour notre rétroaction) pour corriger les ship ») ; La (future) version ISO9001:2015
réflexion : la cybernétique. Il est inputs nécessaires et ainsi tenter business (« métiers ») ; indique par ailleurs que la finalité
l’auteur de « Cybernetics or control d’atteindre l’objectif. support. du leadership est « aligner les
stratégies, politiques, processus systèmes de management, confiance et éviter, idéalement, Les « cindyniques », littéralement
et ressources afin d’atteindre les auxquelles les managers peuvent toute asymétrie de l’information. du grec ancien « κίνδυνος »
objectifs ». se référer pour asseoir et déve- A cet effet, nous préconisons (« dangers »), ont été conçues à
Enfin, pour chacun des 3 proces- lopper leur gouvernance. une saine « confrontation » des l’origine comme l’ensemble des
sus (pilotage, business, support), il Les normes ISO applicables aux regards / perceptions des divers sciences et des techniques qui
y a lieu de considérer que les systèmes de management four- acteurs de l’organisation : « De étudient les dangers / risques
dispositifs à gérer sont des nissent un modèle à suivre pour la discussion jaillit la lumière » (« (naturels, technologiques,…) et
« systèmes socio-techniques » (et mettre en place et gérer ce type Le modèle L’Oréal », B.Collin et en particulier les risques majeurs.
non pas seulement des processus de systèmes. D.Rouach, Ed. Pearson, 2009). Ce néologisme a été développé
et des structures. Pour simplifier la Citons par exemple les normes François Dalle a inventé chez par Georges-Yves Kervern, qui l’a
représentation, ils ont été explici- de systèmes de management L’Oréal une expression inspirée présenté lors du colloque inter-
tés seulement dans le processus suivantes : (http://www.iso.org/ de…son nom. Le terme « salle de national sur les risques, organisé
de pilotage). Précisons qu’un iso/fr/ home/standards/manage- réunion » y a été remplacé par les 7 et 8 décembre 1987 à
système socio-technique est en ment-standards.htm): ISO9001 « salle de confrontation ». L’idée l’UNESCO. Le concept a ensuite
interaction avec l’environne- (Qualité) ; ISO14001 (Environne- essentielle était l’alignement des été publié dans un premier livre,
ment externe et est composé ment) ; ISO50000 (Energie) ; différentes composantes du « L’archipel du danger », qu’il a
des éléments suivants : ISO18001 & 45001 (Santé et sécu- management (animation des coécrit avec Patrick Rubise (Ed.
l’organisation : hiérarchie, rité au travail) ; ISO22300/22313 hommes, de la culture, des struc- Economica, 1991).
organigramme, rôles et (Sûreté et sécurité/Continuité tures et de la stratégie) pour assu- Les cindyniques font partie du
responsabilités, système docu- d’activité) ; ISO21500 (Managem- rer la cohérence entre les courant de pensée « systé-
mentaire et informationnel ent de projet) ; ISO27000 différentes composantes internes mique », qui considère l’organisa-
(procédures, normes, bases de (Technologies de l’information) ; et aussi externes. tion comme un un système
données, ...) ; ISO20121 et 21101 (Services) ; Pour soutenir la structuration de complexe, composé d’éléments
la technologie : équipements, ISO11000 (Gestion collaborative cette saine confrontation, nous en interaction et interrelation
matériels, infrastructures ; d’une relation d’affaire) ; ISO/DIS suggérons l’utilisation de la permanente entre eux et avec
le facteur humain : le person- 34001.3 (Prévention et contrôle méthode cindynique, appliquée l'environnement.
nel en charge. Il peut s’agir, de la fraude) ; ISO19600 (Confor- à plusieurs reprises et présentée Pour mémoire, le biologiste
selon le cas, du maillon « fort » mité) ; etc. en détail dans diverses confé- Ludwig Von Bertalanffy, a déve-
ou... du maillon « faible » du rences (T.Capurso, p.ex. « Métho- loppé dès 1932 la théorie géné-
dispositif. Approche cindynique dologie des cindyniques en rale des systèmes dans le but
de la gouvernance inci-accidentologie », AMRAE, d'identifier les règles qui « orga-
Pour contribuer à maîtriser la intégrée : un autre Deauville 02/2012 ; « Practical nisent les relations et les interac-
conception et le fonctionnement regard application of « cindynics », the tions entre les parties des
des systèmes et processus de Science of danger, for internal audi- organismes ».
management, on voit éclore une Une gouvernance efficace doit tors », Conférence internationale Dans l’approche cindynique,
multiplicité de normes de viser à assurer la transparence, la de l’IIA, Orlando, 07/2013). chaque acteur est caractérisé par
cinq « attributs » ou cinq « axes »,
constituant son « hyperespace
du danger » (Cf. figure 5).
M
Management joints toriques des boosters a
Performances
Objectifs
Corporate
Humain business
(culture) d’accident par défaillance des
Technologie joints était marginale et variait
Environnementt par ailleurs selon que l’on inter-
interne Processus rogeait les ingénieurs (1%) ou
support la direction de tir (perception
mille fois moindre que chez les
ingénieurs !) ;
pour le fournisseur, Morton
Thiokol, les joints n’étaient pas
fiables ni validés pour les
Figure 4 : Modèle managérial de gouvernance intégrée basses températures régnant
unité de lieu ;
(mémoire des faits pourquoi on œuvre) Axiologie
unité d’action.
et des chiffres) (valeurs)
Culture
Faits (mémoire, (système de valeurs)
histoire, données et Les esthètes de l’art théâtral clas-
statistiques, retour sique avaient déjà défini ce
d’expérience) « canon » (« règle des trois
unités ») au 17ème siècle.
Figure 5: L'hyperespace du danger (selon G.-Y. Kervern)
Pour le coup, question
nouveauté, caramba, c’est raté !
en Floride ce jour-là. Le respon- gouvernance intégrée peut fina- cepter de « manager dans la ir. Tommaso Capurso est le
sable des études a cédé sous la lement se comprendre comme complexité » (D.Genelot, Insep représentant de l’IIA Belgique
pression : « Enlevez votre cha- un dispositif global d’harmonisa- Consulting, 2011). à l’UFAI, dont il a été Vice-
peau d’ingénieur et mettez tion / de synchronisation des Président pour l’Europe (hors
votre casquette de manager ! ». perceptions, de communication Une démarche collaborative et France) de 2008 à 2012. Il est
fluide et transparente et de créative s’avère de plus en plus le Chef de la Division d’audit
Finalement, ce sont des critères prévention de l’asymétrie de l’in- nécessaire, les savoirs et les capa- « Opérations et Systèmes
techniques » et « Sécurité
d’engagement commercial / de formation, donc d’irrigation de la cités d’initiative relevant de
d’exploitation » à l’Audit
productivité (le programme de confiance (Cf. figure 6). chacun au sein de l’entreprise. Interne de la SNCB
lancement de la navette spatiale (Belgique). Il est membre de
était déjà fortement en retard) * * La confiance est indispensable; plusieurs Comités d’audit
qui ont prévalu sur la sécurité. * elle se construit et se détruit sur dont celui de l’OIF
Dilemme fréquent, à méditer base de facteurs rationnels et irra- (Organisation Internationale
pour les entreprises ! La compréhension d’une gouver- tionnels. A ce titre, une attention de la Francophonie), qu’il
nance intégrée nécessite d’ac- particulière doit être accordée préside.
Dans l’approche cindynique, il
s’agit d’identifier les incohérences
(« déficits », « dissonances », « dis-
jonctions »), à l’aide d’une typolo- Gouvernement ( loi & réglementation)
gie spécifique prédéfinie, afin
d’imaginer ensuite les mesures Citoyen
y « Autres parties
de traitement nécessaires. G.-Y. intéressées »
Kervern a standardisé, à cet effet,
10 « déficits systémiques cindy-
Actionnaires
nogènes » (4 déficits culturels ; 2 Concurrence
déficits organisationnels ; 4 défi- Comité stratégique CA
cits managériaux).
Comité des risques
L’organisation peut in fine être Comité audit
modélisée comme l’interaction CEO
d’un « réseau » d’acteurs, caracté- Audit interne
risés chacun par son « hyperes-
pace du danger ». Audit Externe Directions
Prévenir
© jeantrekkeur - Fotolia.com
Puisque l’acte de fraude nécessite opportunité
et autojustification, la lutte contre la fraude est
d’abord une affaire de prévention.
J
’ai choisi de consacrer mon mémoire à réflexions qui ont constitué une trame pour listes pour convenir précisément aux outils
l’audit de la gestion et de l’architecture mes recherches, mais d’abord je propose une développés sur Excel. Les termes les plus
des UDA développées sur Excel pour entrée en matière en rappelant au lecteur ce répandus sont par exemple EUCA (End User
deux raisons. D’abord et surtout parce qu’est un outil développé sur Excel. Computer Application) et UDA (User
que je suis passionné par ce logiciel et les Developped Applications) qui renvoient tous
innombrables possibilités qu’il offre en termes Les UDA conçues sur Excel : deux aux applications développées par les
de traitement de données et de souplesse Les EUDA utilisateurs quelle que soit la plateforme de
d’application. La deuxième raison ne m’est conception.
venue qu’après mes premières heures de Une des nombreuses difficultés que j’ai Dans l’objectif de faciliter la lecture de mon
recherches et m’a conforté dans le choix du rencontrées lors de mes travaux de recherche mémoire et d’éviter tous problèmes d’ambi-
sujet. Je suis en effet tombé sur un article du était liée à l’emploi d’un lexique adéquat pour güité, je me suis permis le néologisme EUDA
Forbes Magazine et j’ai été stupéfait d’y lire l’objet de mon mémoire. De nombreux (Excel User Developped Applications) pour
«
qu’Excel était considéré comme le logiciel le
plus dangereux de la planète. L’argumentaire
de cette assertion était appuyé sur le fait L’être humain est naturellement disposé à
qu’Excel est déployé au niveau de toutes les
commettre des erreurs quels que soient son niveau
instances décisionnelles d’une institution
alors que les analyses effectuées sur ce logiciel
ne sont que très rarement contrôlées. Bien
qu’il s’agisse d’un sujet de nature plutôt tech-
nique, j’ai voulu mettre l’accent en priorité sur
d’expertise et le niveau de complexité du projet
termes existent pour décrire ce qu’est un outil
développé par un utilisateur dans un environ-
»
simplifier davantage la définition. Ce terme
fait référence à tout type de fichiers Excel à
l’aspect gestion et contrôle interne en abor- nement qui n’est pas soumis aux standards de usage professionnel dont l’utilisateur et le
dant des sources de conflit qui n’émergent développement applicatif. Cependant, aucun concepteur sont la même personne et dont
pas uniquement des enjeux techniques. Dans d’entre eux ne me convenait réellement dans la conception n’a pas suivi un cycle classique
ce bref article seront présentées les trois la mesure où ils étaient souvent trop généra- de développement.
L’erreur est humaine Quand Excel décrédibilise l’ERP fondamental dans la gestion des entreprises,
tous services confondus. Cette prédominance
J’ai constaté à ma plus grande surprise que les Bien que l’approche par les erreurs soit une devient particulièrement évidente dans le
ressources maitrisant les outils Excel du point manière efficiente d’aborder le sujet, je ne monde bancaire où la réglementation change
de vue du contrôle interne sont plutôt limi- voulais pas m’arrêter uniquement aux erreurs perpétuellement (i.e. le calcul de l’Exposure At
tées, ce qui est d’autant plus étonnant vu le humaines pour justifier la nécessité de Default ou EAD qui va encore évoluer dans le
niveau de démocratisation et le périmètre contrôles internes des EUDA. C’est pour cette cadre de Bâle III).
d’application du logiciel dans le monde insti- raison que j’ai décidé d’élargir ma recherche
tutionnel, éducatif et administratif. en analysant la relation entre Excel et les Il est généralement trop coûteux et chrono-
progiciels de gestion intégrée. phage pour une banque de petite taille ou de
L’institution la plus réputée pour ses taille moyenne d’adapter l’ERP ou le logiciel
recherches est EuSpRig (European Spreadsheet Les ERP (Enterprise Resource Planning, qui est aux nouvelles réglementations. C’est pour
Risks Interest Group) dont un des représentants le terme anglais pour PGI) apportent essen- cette raison que beaucoup d’entre elles ont
est Raymond R. Panko, professeur au Shidler tiellement l’avantage de la concentration de recours à des outils développés sur Excel qui
College, que j’ai cité plusieurs fois dans mon la donnée. Toutes les données produites par sont plus simples à maintenir et à adapter aux
mémoire en raison de ses excellents travaux les différentes instances de l’ERP sont rassem- évolutions de la réglementation.
sur l’occurrence des erreurs dans les outils blées en une seule et unique base de
Excel et sur l’erreur humaine de manière données. Cette fonctionnalité inhérente aux Ce qui est étonnant dans ce constat est qu’il
»
JP Morgan en 2012).
Le business
de l’anti-corruption
T
he Economist a publié Cette estimation ne comprend ni américaine au FCPA (Foreign Le nombre de cas hors des Etats-
dans son édition du 9 les probables amendes et trans- Corrupt Practices Act) depuis 2007 Unis est également en augmen-
mai un article sur ce que actions à l’amiable, ni les coûts (cf. revue Audit n°2002). Cette loi, tation, plusieurs pays ayant
l’hebdomadaire britan- internes (le temps passé par les en vigueur depuis 1977, n’avait récemment renforcé leur arsenal
nique nomme « le business de collaborateurs sur le sujet). été que peu utilisée jusqu’au législatif. Hors d’Europe, la Chine
l’anti-corruption » (the anti-bribery milieu des années 2000, la sanc- et le Brésil ont fait de même, et
business). Pour illustrer son The Economist avance un tion maximale infligée étant infé- sont engagées dans de vastes
propos, The Economist donne montant similaire dans le cas de rieure à 50 M$. Depuis 2007, le campagnes de lutte contre la
l’exemple de Walmart. Le numéro Siemens. Siemens a été mis en nombre de mises en cause dans corruption ; le Brésil s’apprêterait
un mondial de la grande distribu- cause en 2008 par les autorités le cadre du FCPA et le montant d’ailleurs à mettre en cause
tion essaie actuellement de américaines dans une affaire de des amendes ont considérable- plusieurs des fournisseurs impli-
solder une affaire de corruption corruption active sur plusieurs ment augmenté. Les amendes se qués dans l’affaire Petrobras.
de quelques centaines de fonc- marchés émergents (cf. revue chiffrent désormais souvent en
tionnaires mexicains (cf. revue Audit n°200). Depuis lors, la centaines de millions de dollars, Cette tendance ne concerne
Audit n°209)1. société aurait dépensé 1,5 Alstom détenant l’amende encore qu’un petit nombre de
milliard de dollars en frais d’avo- record de 770 M$ (négociée en pays à l’échelle mondiale. Ainsi, la
Des frais d’avocats et cats et de conseil en lien avec 2014). convention OCDE interdisant la
d’expertise colossaux cette affaire. corruption d’agents publics
The Economist recense environ étrangers a été ratifiée par 41
Depuis la révélation des faits en Un recours 200 affaires de poursuites pour pays, mais la moitié d’entre eux
2012, Walmart aurait déjà systématique au FCPA des problèmes de corruption n’ont encore jamais prononcé de
dépensé 800 millions de dollars par les Etats-Unis actives à l’export dans le monde sanctions dans ce cadre.
en frais d’avocats et d’audits depuis 2007 en 2014 : 130 se situent aux Etats-
spécialisés. Le montant final sera Unis, 30 en Allemagne, les autres Néanmoins, se félicite The
supérieur au milliard de dollars, et Cette évolution s’explique par le dans les grands pays de l’OCDE. Economist, la tendance est irré-
pourrait avoisiner les 2 milliards. recours par l’administration versible, et les affaires de corrup-
tion à l’export ont désormais bien Une absence de et analyser les risques juridiques. générale, les témoins se rétrac-
plus de chances de terminer jurisprudence Certains avocats de sociétés tant ou ne se présentant pas.
devant les tribunaux qu’il y a une problématique poursuivies dans le cadre du
dizaine d’années. FCPA dénoncent la situation de Le risque des
Outre le montant des frais d’avo- toute puissance dans laquelle poursuites multiples
Une inflation des frais cat et d’expertise, deux autres cela place les procureurs du
de défense critiques sont faites au système Department of Justice. Pour The Economist, l’affaire
américain. La première porte sur Alcoa ne remet pas en cause la
The Economist dénonce la dérive la durée des procédures, ce qui D’autres voix commencent à tendance générale, qui est bien à
que peuvent induire ces procé- ne concerne d’ailleurs pas que la s’élever pour dénoncer ces excès. l’augmentation du nombre de
dures, notamment pour satisfaire justice américaine. Certaines Ainsi, plusieurs banques améri- poursuites pour des affaires de
aux exigences des autorités affaires, comme celles impliquant caines ont récemment contesté corruption. L’hebdomadaire
américaines. Ainsi, le départe- Alstom ou Walmart, sont en effet l’interprétation qui était faite de souligne également le risque que
ment « Conformité » de Siemens parties pour durer 10 ans, leur habitude de recruter des « fils plusieurs pays intentent des
est passé, à la suite de l’affaire augmentant ainsi les coûts admi- ou filles de » en Chine. Les ban- actions pour les mêmes faits.
sus-citée, de quelques personnes nistratifs et rallongeant la période ques estiment qu’on ne peut Comme l’a illustré récemment
à plus de 400 collaborateurs. De pendant laquelle la réputation de considérer comme illégal le fait l’affaire BNP Paribas, les Etats-Unis
même, la société américaine de la société est exposée. d’embaucher un collaborateur ont une vision très large du
cosmétiques Avon, mise en dans l’espoir de remporter des concept de territorialité, et ont
cause dans une affaire de corrup- La seconde critique porte sur le contrats. donc tendance à se saisir d’af-
tion en Chine, a payé deux fois système de règlement à l’amiable faires n’ayant qu’un rapport ténu
plus en frais d’avocats et d’audit qui pousse la quasi-totalité des L’affaire ALCOA : le faux avec leur pays. Des poursuites
(350 M $) qu’en amende. sociétés incriminées à négocier départ de l’anti-bribery concomitantes dans deux pays
un accord avec les autorités Act de l’OCDE ne sont ainsi pas à
L’une des raisons pour ces coûts plutôt que d’aller au contentieux exclure, comme l’illustre le cas
d’expertise exorbitants est que devant un juge. Ainsi, il n’y a eu Ailleurs dans le monde, le d’Alstom, qui doit répondre, pour
les sociétés mises en cause jusqu’ici qu’une seule société Royaume-Uni a voté de façon les mêmes faits, à la fois devant la
«
justice britannique et devant la
justice américaine.
Les Etats-Unis ont une vision très large du concept de The Economist cite en conclusion
territorialité, et ont donc tendance à se saisir d’affaires Klaus Moosmayer, le responsable
Guide d’audit
des achats et des ventes
Pierre Schick, ESCP (MBA et DMSE), HEC (Cesa Achats), licencié ès sciences économiques de la maîtrise de leur système de contrôle
Auteur de plusieurs ouvrages, enseignant interne.
La démarche d'amélioration du
contrôle interne est participative
Prévenir les dysfonctionnements d’une organi-
sation et/ou repérer ceux qui sont en germe,
identifier leurs causes, connaître les pratiques
L'auteur propose d'aider le dirigeant et les managers opérationnels afin qu'ils puissent
d’organisation communément adoptées par
effectuer de façon concrète un auto-diagnostic de l'organisation et du fonctionnement chaque fonction pour maîtriser ses risques,
des activités achats et ventes et ainsi mieux se concentrer sur leurs métiers. réclame énergie, méthode et outils.
La démarche d'autodiagnostics (ou de self-
audit) est une démarche participative lancée
Promouvoir et organiser nouvelle définition met davantage l'accent par la direction générale d'une société.
la qualité du contrôle intégré sur la prévention que sur la détection. Cette Elle consiste à faire élaborer par les directeurs
ambition forte met indirectement en relief la et les chefs de service un autodiagnostic sur
Il est maintenant assez bien compris que l'au- nécessité d'un dispositif de contrôle pertinent le système de contrôle interne de l'entreprise,
dit interne est une activité qui doit être et de qualité et aussi bien maîtrisé que possi- généralement avec l'animation du contrôleur
confiée à une équipe, intervenant au troi- ble par ceux qui en ont la responsabilité. de gestion ou contrôleur interne de la société
sième degré de la ligne de maîtrise des C'est à cette nécessité que répondent les et l'assistance éventuelle d'un conseil ou audi-
risques, en vue notamment de vérifier la fiabi- notions de plus en plus affirmées depuis teur interne s’ils existent.
lité de certains processus, tandis que le quelques années d'autocontrôle, d'autoévalua- Elle contribue au renforcement de l'efficacité
contrôle interne (qu’il serait judicieux d’appe- tion, d'autodiagnostic ou de self-audit. et de la cohésion de toutes les équipes de
ler « contrôle intégré ») est un dispositif impli- Chacune d'elles a une définition correspon- l'entreprise.
quant tous les acteurs à chaque niveau d'une dant à sa spécificité. Mais toutes renvoient à la Le travail accompli par chaque équipe est
organisation. responsabilité directe des acteurs du contrôle. important et permet, à l'issue de plusieurs
Reste que la mise en œuvre du contrôle Encore faut-il que ceux-ci disposent des outils réunions de travail, d'identifier à la fois les
interne peut nécessiter une impulsion pour le adaptés à leur action. L'autodiagnostic ou self- forces et les points à améliorer dans les fonc-
faire vivre au quotidien. audit est l'un de ces outils. tions et l'organisation de l'entreprise.
Il s'agit de promouvoir au sein d’une entité Son but est d'apporter un appui méthodolo- Contrairement à la situation d'audit ou de
une culture de contrôle assurée ensuite d'une gique – par exemple, mais pas exclusivement, conseil en organisation, où les responsables
certaine permanence. Et il est donc bien natu- à des dirigeants d'un groupe – afin de réaliser doivent s'approprier le diagnostic de l'audi-
rel que quelqu'un s'en occupe, au moins des diagnostics visant à renforcer le manage- teur ou du consultant, la direction, dans le cas
temporairement, avant que le relais soit pris ment des équipes, maîtriser les risques de l'or- d'un autodiagnostic, est amenée à manifester
par tous. Cette personne appelée contrôleur ganisation, améliorer l'efficacité adminis- sa capacité d'écoute vis-à-vis des problèmes
interne intervient au second degré de la ligne trative, fiabiliser les opérations et les circuits relevés et à faciliter la mise en œuvre des solu-
de maîtrise. d'informations, localiser les sources de tions proposées.
Cette démarche est d'autant plus nécessaire dysfonctionnement, réduire les zones d'incer-
que si les grandes entreprises, et à plus forte titude, préciser les indicateurs de gestion et
raison les groupes, peuvent disposer les procédures à suivre.
d'équipes en mesure de se prononcer sur Il s'agit de responsabiliser les acteurs et
l'existence et la fiabilité d'un dispositif de notamment les dirigeants, afin qu'ils effec-
contrôle intégré, il faut aussi considérer le cas tuent leur propre évaluation de la qualité et
des PME, voire des petites collectivités territo-
riales et associations où la fonction d'audit
Dans le sillage de l’esprit pionnier développé dans
interne existe rarement, bien qu'elle soit, là
son Guide de self-audit (Editions Eyrolles) – publié
comme ailleurs, nécessaire. en collaboration avec Olivier Lemant – Pierre Schick
Promouvoir et organiser la qualité du contrôle focalise son analyse sur les deux fonctions clés de
intégré est donc une obligation. C'était vrai l’entreprise que représentent les achats et les
hier ; il l'est sans doute plus encore ventes, entre questionnements d’autodiagnostics,
aujourd'hui avec l'évolution des activités de modes d’emploi en forme de tableaux des risques
contrôle et de gestion des risques dont la et « usage » de l’audit interne.
EN BREF
Comment renforcer la crédibilité du reporting dans un guide qui rappelle les questions clés que chaque conseil
intégré ? d’administration devrait se poser.
Ce document indique aux responsables de l’audit interne comment
L’IIRC (International Integrated Reporting Council) publie un docu- aider leurs instances de gouvernance en leur apportant assurance
ment qui résume le point de vue des diverses parties prenantes de et conseil sur ces problématiques. Par exemple, l’environnement de
la consultation publique lancée en 2014 sur l’assurance relative au contrôle favorise-t-il les comportements anti-concurrence ?
reporting intégré. Il s’agit d’apporter plus de crédibilité et de L’entreprise est-elle en mesure d’anticiper les sanctions, y compris
confiance au reporting intégré en s’interrogeant sur :
la priorité à accorder aux activités d’assurance, notamment celles
en initiant des négociations avec les autorités compétentes ?
Cet axe de travail est la preuve que le rôle stratégique de l’audit
qui sont réalisées par l’audit interne ;
les caractéristiques de mécanismes efficaces d’assurance ;
interne n’est pas un mythe.
S’initier à l’audit interne 2j 950 € 1 125 € 12-13 5-6 2-3 2-3 5-6 4-5/29-30 7-8 5-6 4-5 3-4
Conduire une mission d’audit interne : la méthodologie 3+1 j 1 675 € 1775 € 14-16 10-12 4-6 8-10 11-13 9-11 1-3 9-11 7-9 16-18 7-9
Maîtriser les outils et les techniques de l’audit 3j 1 625 € 1 775 € 19-21 16-18 9-11 13-15 18-20 15-17 6-8 14-16 12-14 23-25 14-16
Maîtriser les situations de communication orale de l’auditeur 2j 1 050 € 1 150 € 22-23 19-20 12-13 16-17 21-22 18-19 9-10 17-18 15-16 26-27 17-18
Réussir les écrits de la mission d’audit 2j 1 050 € 1 150 € 29-30 23-24 19-20 20-21 26-27 23-24 7-8 21-22 21-22 19-20 10-11
Exploiter les états financiers pour préparer
3j 1 525 € 1 675 € 26-28 23-25 27-29 28-30 23-25
une mission d’audit
Désacraliser les systèmes d’information 3j 1 525 € 1 675 € 16-18 1-3 23-25 2-4
Détecter et prévenir les fraudes 2j 1 050 € 1 150 € 26-27 22-23 4-5 21-22 19-20 8-9
Le management
Piloter un service d’audit interne 2j 1 300 € 1 450 € 12-13 11-12 8-9
Manager une équipe d’auditeurs au cours d’une mission 1j 685 € 770 € 16 6 17
L’audit interne dans les petites structures 1j 685 € 770 € 4 27
Balanced Scorecard du service d’audit interne 1j 685 € 770 € 27 25
Le suivi des recommandations 1j 685 € 770 € 28 16 15 30 18
Préparer l’évaluation externe du service d’audit interne 2j 1 300 € 1 450 € 10-11 12-13 19-20
L’audit interne, acteur de la gouvernance 1j 685 € 770 € 17 1
Audit interne, contrôle interne et qualité : les synergies 1j 685 € 770 € 23 15 2
Les audits spécifiques
Audit du Management de la Continuité d’Activités 2j 1 300 € 1 450 € 24-25 25-26 21-22
Audit de la fonction Comptable 2j 1 300 € 1 450 € 13-14 12-13
Audit de performance de la gestion des Ressources
3j 1 525 € 1 675 € 28-30 23-25
Humaines
Audit de la fonction Achats 2j 1 300 € 1 450 € 26-27 26-27 14-15
Audit des Contrats 1j 685 € 770 € 18 4
Audit de la fonction Contrôle de Gestion 2j 1 300 € 1 450 € 30-31 7-8
Audit de la Sécurité des Systèmes d’Information 2j 1 300 € 1 450 € 19-20 28-29
Audit des Processus Informatisés 2j 1 300 € 1 450 € 9-10 25-26
Audit de la Conformité à la Législation Sociale 2j 1 300 € 1 450 € 16-17 5-6
Audit du Développement Durable 2j 1 300 € 1 450 € 19-20 13-14
Audit des Projets et Investissements 2j 1 300 € 1 450 € 2-3 23-24
IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com
Gestion des Risques :
Auditeurs internes, le comité d’audit
et la direction générale comptent
sur vous !
Norme 2120 – Management des risques : L'audit interne doit évaluer l’efficacité des processus de
management des risques et contribuer à leur amélioration.
Afin de renforcer la capacité des auditeurs internes à exercer efficacement leurs responsabilités en
matière d’évaluation des processus de management des risques, l’IIA a développé la certification
CRMA (Certification in Risk Management Assurance).
Le CRMA est un examen de 2 heures, composé de 100 Questions à Choix Multiples. Il est conçu pour
les auditeurs internes et les professionnels de la gestion des risques qui interviennent sur les
périmètres de l’évaluation des risques, sur les processus de gouvernance, sur l’évaluation de la qualité
et l’auto-évaluation des contrôles.