François Renault (AFAI) : "En France, la démarche d'audit est parfois perçue comme un contrôle fiscal"

Gestion des risques, gouvernance et sécurité des systèmes d'information sont autant de défis auxquels doivent faire face les entreprises. Certifications et référentiels permettent de les appréhender avec sérénité.

Quelles sont les missions de l'AFAI ?

La principale mission de l'AFAI est la promotion et la diffusion des meilleures pratiques en matière de gouvernance des SI, de sécurité et d'audit des systèmes d'information. Elle est également le relais pour la France des travaux de l'ISACA, notamment le référentiel COBIT / VALIT et les certifications CISA, CISM et bientôt CGEIT.

Combien de certifications IT existent-ils en tout ? Quelles sont celles qui sont les plus importantes ?

Je n'aurai pas la prétention d'être exhaustif ! Il existe des certifications techniques, comme celles de constructeurs d'équipements réseaux, par exemple, et des certifications professionnelles, comme le CISA pour l'audit informatique ou le CISM pour les RSSI.

L'importance de ces certifications va dépendre de vos critères ! Les certifications citées sont internationales et reconnues dans le monde entier. Elles sont de plus en plus exigées dans des fiches de poste pour ces métiers.

Comment une certification finit-elle par s'imposer ? Comment gagne t-elle en crédibilité ?

Une certification s'impose quand elle est reconnue par le plus grand nombre de professionnels. Les professionnels vont étudier le périmètre couvert par la certification et les modalités d'attribution. Par exemple, le CISA et le CISM sont décernés à des professionnels ayant réussi un QCM de 200 questions et ayant démontré une expérience professionnelle d'au moins cinq ans, attestée par des tiers. De plus, elle doit être entretenue par un programme de formation continue.

1
"Les entreprises font de plus en plus référence à la norme ISO 27001 dans leurs travaux de sécurisation des SI" © Marie Bruggeman

Comment voyez-vous l'arrivée de la norme ISO 27001 sur le marché et son principal impact ?

La norme ISO27001 a l'énorme intérêt de structurer l'approche en termes de sécurité des systèmes d'information. Les entreprises y font de plus en plus référence dans leurs travaux de sécurisation, même si elles ne recherchent pas la certification elle-même. A noter qu'il s'agit d'une certification d'entreprise, alors que le CISA ou le CISM, précédemment cités, sont des certifications de personnes.

La certification est-elle plus le fait des grandes structures ? Si non, quels sont les intérêts des PME à se certifier en sécurité des SI ?

Une PME peut y avoir intérêt si elle doit démontrer à ses donneurs d'ordre potentiels qu'elle s'est dotée des moyens de protéger les informations ou les processus que ses clients lui confieraient. Le coût de la certification sera de toute façon proportionnel aux processus à auditer et donc à la taille de l'entreprise.

J'ai lu que les démarches de certifications et d'audits de SI étaient loin d'être un automatisme en France. Comment l'expliquez-vous ? La situation est-elle en train d'évoluer... dans le bon sens ?!

Il est vrai que l'audit est moins naturel en France qu'aux Etats-Unis par exemple. Il est parfois perçu comme un contrôle du même genre qu'un contrôle fiscal, avec une recherche de "coupable" plutôt qu'une volonté d'améliorer les processus existants. Néanmoins, la vague profonde de recherche de meilleure gouvernance, de transparence et de contrôle interne amélioré fait évoluer la situation "dans le bon sens" !

L'interface entre la maîtrise d'ouvrage et la maîtrise d'œuvre continue à présenter beaucoup de difficultés ; selon vous cette interface est-elle prise en compte par les référentiels d'audit ?

Tout dépend des référentiels d'audit ! La distinction entre maîtrise d'ouvrage et maîtrise d'oeuvre n'existe pas vraiment dans les pays anglo-saxons, qui sont à l'origine de la plupart des référentiels d'audit.

Cependant, il ne faut pas négliger l'apport de l'auditeur exploitant le référentiel, qui, lui, connaît bien ces notions et les problèmes de relations que vous mentionnez, et qui adaptera ses questions à votre contexte national.

3
"La vague de mise à niveau du contrôle imposée par la loi Sarbanes-Oxley de 2002 a fortement contribué à la généralisation du référentiel COBIT" © Marie Bruggeman

La certification est perçue comme étant trop contraignante dans mon entreprise; quels arguments mettre en avant pour convaincre ma direction ?
Si vous parlez de votre certification personnelle, négociez cela avec les RH sur le budget formation, en mettant en avant la valeur probante de la certification sur vos capacités professionnelles.

Si vous parlez de la certification de votre entreprise, il vous faut alors rentrer dans une démarche classique de "business case" et de création de valeur pour votre entreprise. Par exemple, pourra-t-elle être mieux positionnée dans des réponses à appels d'offres ?

Quelles sont les préoccupations des entreprises en termes de gestion des risques ?

Vaste question ! Les entreprises sont confrontées à de nombreux risques ! Risque de la défaillance financière d'un gros client, risque qu'un concurrent produise mieux pour moins cher, risque de manquer de trésorerie...

Je pense que vous faites plutôt référence à une catégorie particulière de risques touchant toutes les organisations : le risque opérationnel, dont le risque informatique est un aspect. Tout dépendra de l'entreprise. Les banques, par exemple, sont tenues de mettre en place un système de gestion des risques avec un mécanisme de mobilisation des fonds propres en fonction de l'exposition aux risques. L'actualité récente pousse les entreprises à vérifier leur exposition aux droits informatiques excessifs confiés à leurs collaborateurs...

Quelle est la diffusion actuelle de Cobit en France ?

Cobit est reconnu comme le principal référentiel de gouvernance des SI en France mais également dans beaucoup d'autres pays. La vague de mise à niveau du contrôle imposée par la loi Sarbanes-Oxley de 2002 a fortement contribué à la généralisation de ce référentiel, du fait de son guide de référence des bonnes pratiques en contrôle interne des systèmes d'information. L'AFAI vient de publier la version française de la version 4.1 de Cobit.

Est-ce au RSSI qu'incombe automatiquement la responsabilité du pilotage des audits de sécurité ?

Pas automatiquement. C'est un choix d'organisation.

Chez nous c'est la DG qui pilote directement les audits. Est-ce bon lorsque le DSI n'a qu'un rôle d'exécution et non de proposition ? Quels sont les risques pour l'entreprise ?

Le fait que la DG pilote les audits démontre son implication et l'intérêt qu'elle apporte au résultat ! A mon avis, cela n'a pas de lien avec le rôle de la DSI, sauf si la DG reproche à la DSI une situation sur laquelle la DSI n'a pas de prise car cantonnée à un rôle d'exécution, aux ordres de la DG...

2
"Le DSI doit rechercher en permanence ce que l'innovation peut apporter aux processus métiers de son entreprise pour en améliorer compétitivité et avantage concurrentiel" © Marie Bruggeman

Quel rôle le DSI doit-il jouer en termes d'innovation dans l'entreprise ?

A mon avis, le DSI doit rechercher en permanence ce que l'innovation peut apporter aux processus métiers de son entreprise, pour améliorer sa compétitivité et son avantage concurrentiel. Cela lui permet d'être force de proposition auprès de ses collègues des directions commerciales, marketing ou de production, par exemple.

Selon vous, quelle est la maturité des cabinets français en matière d'audit et de gouvernance des SI par rapports à nos voisins européens ? Constatez-vous une réelle différence entre la qualité et les compétences des équipes ?

Difficile de porter un avis général. Comme je le disais plus haut, l'audit est peut-être moins naturel en France que dans d'autres pays mais le développement des référentiels internationaux, des certifications, de l'harmonisation des réglementations, les échanges de bonnes pratiques, ont globalement amené à un même niveau de maturité les cabinets acteurs en ces domaines. Le cas le plus simple étant les cabinets internationaux qui utilisent depuis de nombreuses années les mêmes méthodes de travail et les mêmes référentiels partout où ils sont implantés.

En termes de gouvernance informatique, sur quels axes travaillez-vous actuellement ?

En ce moment, à l'AFAI, nous travaillons sur trois axes principalement : la valeur du SI, avec le référentiel ValIT, l'architecture d'entreprise - nous organisons avec le CIGREF un symposium sur le sujet le 3 juin prochain - et un sujet relativement peu exploré par les DSI : les problématiques de communication avec les métiers, la DG, les utilisateurs, bref tout l'environnement humain du DSI.

Président de l'AFAI, est-ce un travail à temps plein ou exercez-vous d'autres activités en parallèle ?

C'est un travail - un honneur ! - bénévole. Je suis par ailleurs Associé du cabinet Deloitte où je suis responsable des activités de gouvernance et de sécurité des systèmes d'information. Je suis assisté par une équipe formidable de bénévoles et de permanents qui me permettent de ne pas être trop pris par ma fonction présidentielle. Je tiens à les remercier publiquement !

Quel est le rôle du DSI en 2030 ?
Aurons-nous encore besoin de DSI ou tout le monde ne sera-t-il pas un peu DSI ?

François Renault est président de l'Association Française d'Audit et de Conseil Informatiques depuis novembre 2005. Associé chez Deloitte depuis 1996 où il dirige la ligne de services Gouvernance, Stratégie et Sécurité des Systèmes d'Information au sein de l'activité Consulting & Risk Services, il a également été consultant en sécurité des systèmes d'information chez XP Conseil. et gérant de la société d'ingénierie informatique Hécate. Diplômé HEC en 1985, et de l'Ecole Supérieure des Officiers de Réserve du Service d'Etat-Major en 1986, François Renault enseigne également l'audit informatique à HEC et la sécurité des systèmes d'information à l'Université de Paris-Dauphine et à l'IAE de l'Université Paris 1 Panthéon-Sorbonne.