Sur quels types d'audits en SI travaillez-vous ?
L'activité du département s'articule autour de deux axes majeurs
que sont le support à l'audit d'une part et les activités de conseil d'autre
part. Ainsi, nous réalisons des missions d'audit informatique pour le compte de
nos clients dans le cadre de notre mandat de commissaire aux comptes ou d'audits
de conformité Sarbanes-Oxley.
Nous intervenons également
sur des projets importants de changement ou d'assistance à maîtrise d'ouvrage,
notamment de transformation de la fonction finance, de la réorganisation de l'informatique,
et du déploiement d'ERP.
Quelles sont vos principales compétences
et qualités personnelles ?
Je suis spécialisé en sécurité des systèmes d'information,
sécurité réseau, contrôle d'accès, authentification et politique de sécurité ISO27001.
C'est d'ailleurs là mon domaine d'intervention privilégié chez PwC, pour
lequel je suis amené à intervenir régulièrement sur des missions
d'audit sécurité ou des tests d'intrusion.
Cependant, au travers de la diversité et la taille des projets
auxquels j'ai pu participer, je dispose aussi d'un solide bagage en systèmes d'information
en termes de développement, tests, exploitation, gestion de projet et de gouvernance
des SI. Cela me permet de couvrir les différents domaines des contrôles généraux
informatiques dont le développement, la gestion des changements et les accès aux
applications.
Quoi qu'il en soit, j'essaie
de développer les quelques qualités essentielles d'un consultant que sont de bonnes
capacités d'écoute, de communication, d'analyse et de synthèse. Celles-ci
sont indispensables pour travailler efficacement dans des équipes pluridisciplinaires
comme celles de PwC et développer de bonnes relations avec ses clients.
Pour
quelles entreprises êtes-vous amenées à apporter votre savoir-faire ?
Aujourd'hui, je suis amené à travailler pour tout type d'entreprise,
aussi bien en termes de taille que de secteur. J'interviens aussi bien auprès
de la direction de grands groupes internationaux dont PwC est commissaire aux
comptes que de structures beaucoup plus petites, comme des agences publiques régionales
par exemple.
| "L'audit du SI fait partie du domaine d'intervention
des commissaires aux comptes" |
Par
ailleurs, j'ai aussi la chance d'exercer mon métier aussi bien dans le
secteur public que dans le secteur industriel ou financier.
Cette
possibilité m'est offerte aujourd'hui par mon expertise en sécurité des systèmes
d'information qui, étant très spécifique, ne permet pas de m'assigner à une industrie
spécifique comme c'est le cas pour la majorité de mes collègues
Quelles raisons poussent les entreprises à recourir à vos
services ?
Elles sont essentiellement d'ordre réglementaires. En effet, les technologies
de l'information ayant pris une place prépondérante dans les systèmes de comptabilité
et de reporting financier, le législateur demande à ce que les risques
spécifiques liés à ces systèmes soient maîtrisés. Notamment afin de garantir la
qualité de l'information financière.
Ainsi, l'audit du
système d'information de l'entreprise fait aujourd'hui pleinement partie du périmètre
d'intervention du commissaire aux comptes. Par ailleurs, compte tenu de la complexité
de leur organisation et de leurs processus métiers, les entreprises renforcent
de plus en plus leurs équipes de contrôle interne.
Elles
cherchent alors à s'assurer que les budget IT sont utilisés efficacement et que
l'organisation de leur DSI permet de supporter efficacement leur activité et de
répondre aux besoins des équipes métiers. Nos clients font alors appel à nous
pour renforcer leurs équipes de contrôle interne ou les aider à mettre en place
leur structure de contrôle interne, se rapprochant alors d'une activité de conseil.
Ces aspects de contrôle interne sont d'autant plus important
pour les entreprises qu'elles sont nombreuses à avoir sous-traité des pans
entiers de leurs processus ou système d'information à des tiers.
Comment
s'est déroulée votre début de carrière ?
Après
avoir obtenu mon diplôme d'Ingénieur en Télécommunications à l'Ecole Nationale
Supérieure des Télécommunications de Bretagne, j'ai travaillé 5 ans pour divers
cabinets de conseil en systèmes d'information dont SoluCom, Accenture et Dictao.
| "Avec l'expérience, on est amené
à gérer l'audit des contrôles de l'ensemble d'un processus" |
Ces
expériences m'ont permis de développer une expertise en sécurité des systèmes
d'information et de participer à d'importants projets d'intégration au niveau
européen. J'ai ainsi notamment participé au déploiement de l'intranet d'un opérateur
télécom à Dusseldorf et au déploiement du nouveau système d'information de santé
en Angleterre.
C'est en septembre 2006 que j'ai rejoins
PwC qui m'offrait la possibilité d'évoluer sur des missions liées à la gestion
des systèmes d'information et des risques au sens large.
Comment
percevez-vous son évolution ?
Au début, un auditeur
junior sera amené à s'intéresser à quelques contrôles spécifiques du système d'information
qui lui auront été assignés par son manager.
Il devra s'assurer par exemple que les changements du système
d'information sont correctement validés, chaque modification ayant fait, par exemple,
l'objet d'une demande de changement. Avec l'expérience, il sera amener à gérer
l'audit des contrôles de l'ensemble d'un processus comme la gestion du changement
ou d'une application. En fonction du travail à effectuer, il pourra alors s'appuyer
sur une petite équipe.
Il pourra ensuite commencer à définir lui même les contrôles
à auditer avec son client jusqu'à gérer l'ensemble de l'audit sur des périmètres
plus ou moins grands. En fonction de sa spécialisation, il pourra intervenir sur
des sujets précis comme la sécurité par exemple. En général, un consultant senior
sur une mission d'audit dirige une petite équipe de deux à trois personnes, parfois
plus. Il assure alors le lien avec le client en termes d'organisation de l'intervention
sur site, d'étapes de validation des contrôles à effectuer ou encore de
gestion des problèmes.
L'auditeur
senior est aussi responsable de la qualité des travaux de son équipe : validation
des points remontés par son équipe, contrôle de la documentation sans compter
les points d'audit réguliers avec son client avant d'animer la réunion
de clôture avec le manager de la mission.
Paul
Le Mesle est auditeur senior chez PricewaterhouseCoopers Advisory, au sein du
département "Amélioration de la Performance".
