Auteur: Claire Leroy Source: Flash CPX
Dans leur approche globale du risk management, les entreprises françaises ne prennent pas suffisamment en compte les risques liés aux systèmes d'information. Telle est la conclusion d'une enquête, menée auprès de 134 grandes organisations, que vient de publier Mazars, cabinet spécialisé dans l'audit, l'expertise comptable et la fiscalité des entreprises.
L'étude révèle en effet que 38% des entreprises interrogées ne mettent pas en œuvre d'audits spécifiques de leurs systèmes d'information, 82% reconnaissent ne pas avoir d'auditeurs internes dédiés aux systèmes d'information, et le nombre annuel de missions d'audit des SI reste faible (inférieur à 5 par an dans 70% des cas). La gestion du risque global lié aux systèmes d'information est en général confiée aux DSI eux-mêmes : un rattachement qui, font remarquer les experts de Mazars, focalise l'audit sur des considérations techniques (sécurité de SI, disponibilité des données, procédures de confidentialité…) au détriment d'autres aspects, notamment réglementaires (conformité Bâle 2, Solvency 2, Sarbanes Oxley…).
Pourtant, souligne cette étude, les entreprises sont conscientes du problème. La notion d'audit informatique est bien identifiée et la nécessité de maîtriser les risques du SI parfaitement reconnue : près de 30% des entreprises interrogées se disent fortement sensibilisées et près de 60% moyennement sensibilisées. Dans 35% des cas, on reconnaît même une forte exposition de son entreprise aux risques (vulnérabilité des données, problèmes de qualité, risques de dysfonctionnement…). Pourquoi alors la gestion du risque informatique est-elle si peu maîtrisée ? Les initiateurs de l'étude mettent en avant plusieurs explications : le manque de moyens engagés pour donner aux dirigeants une assurance raisonnable quant à la maîtrise du risque global, le coût élevé de mise en œuvre d'un audit, le manque de compétences et de ressources internes, le peu de maturité de la fonction d'audit. A quoi il faut ajouter le faible retour sur investissement des appels à la sous-traitance, plus réactifs que préventifs, sur ce type d'intervention : le recours à des prestataires externes, en dehors des commissaires aux comptes, semble être en général effectué, soulignent les rapporteurs de l'étude, dans les cas où une mutation importante intervient dans les systèmes d'information.
Il existe pourtant des réponses logicielles à cette problématique, certes encore peu exploitées. Le marché propose désormais une grande quantité d'outils dits de risk management, généralement peu adaptés à l'audit informatique, dont le périmètre est large : audit de migration, fraude, analyse de données, validation de l'architecture, audit de conformité réglementaire, de sécurité, de gestion de projets, etc. Les spécialistes de l'infrastructure proposent des solutions plus spécialisées, avec des référentiels de bonnes pratiques (CMMI, Cobit, ITIL…). Mais il faut souligner ici l'intérêt d'une autre approche plus intéressante, à la fois précise et plus globale, permettant de dépasser, tout en les prenant en compte, les politiques d'urbanisation et de gouvernance du SI. Je veux parler de l'approche BPM. Le Business Process Management ou l'approche par les processus métiers (qui implique au préalable un gros travail de cartographie et de modélisation des fonctions, applications et processus) a l'avantage de pouvoir assurer, non seulement le respect des contraintes réglementaires, mais une connaissance précise du fonctionnement d'un processus (et des risques qui lui sont associés). Il assure ainsi une traçabilité fiable (reposant sur des informations cohérentes, centralisées et partageables) de tous les processus pris en compte. La plupart de nos entreprises sont restées dans une culture de l'audit des systèmes d'information, forcément ponctuel, statique et partiel. Il est temps qu'elles passent à l'étape suivante : l'audit par les systèmes d'information, - qui, lui, est permanent, global et dynamique.
