| |
 |
François Renault
Directeur
Deloitte |
|
François Renault
"Nous sommes à l'interface entre la maîtrise d'ouvrage et la maîtrise d'uvre"
Spécialiste de l'audit de la fonction informatique et de la sécurité, François Renault fait le point sur les différentes spécialités que regroupe l'audit informatique, il précise également les profils et qualités nécessaires à l'exercice du métier.
08/10/2004 |
| |
|
 |
Emploicenter.
Comment êtes-vous arrivé au métier d'auditeur informatique ? Comment est organisée votre direction ?
François Renault. J'ai fait une école de gestion il y a une vingtaine d'années et je me suis spécialisé en informatique. A la fin de mes études, j'ai rencontré le Cabinet Mazars qui m'a proposé un poste en audit informatique et financier. Aujourd'hui, chez Deloitte, je m'occupe de la ligne de services spécialisée dans l'audit des systèmes d'information, appelée Security Services. Elle compte une quinzaine de personnes. Nous faisons partie de l'entité ERS pour Entreprise Risk Services qui comporte plusieurs lignes de services comme l'audit des risques de la sécurité informatique, l'environnement
Quelles sont vos principales missions ?
Le métier d'auditeur informatique est vaste.
On peut lister globalement quatre grands domaines :
l'audit de la fonction informatique, de sécurité, de projets et d'applications. Dans notre service, nous effectuons principalement des missions liées aux deux premiers. Nous travaillons également sur la mise en conformité de nos clients cotés aux Etats-Unis, qu'ils soient américains ou européens, aux nouvelles réglementations imposées par la loi américaine Sarbanes Oxley.
Pouvez-vous détailler les quatre domaines que vous avez mentionnés ?
L'audit de la fonction informatique couvre la direction informatique : ses aspects stratégiques, l'administration des moyens -matériels, systèmes, réseaux-, l'exploitation, le développement et le support utilisateurs, ou encore les études et projets. Il porte également sur les relations avec des tiers. Avec les processus d'externalisation, il faut vérifier les contrôles et systèmes mis en place par les prestataires.
L'audit de sécurité a quant à lui trois objectifs : la continuité d'activité, la protection de l'information et la conformité aux différentes réglementations qui concernent les systèmes d'information. Ce dernier point est amené à se développer dans nos missions avec le renforcement des pouvoirs de la CNIL depuis cet été.
L'audit des projets permet de s'assurer que les ceux-ci sont bien menés, on audite ainsi l'organisation du projet : sa méthodologie, l'évaluation des tests et recettes
Nos interventions sont souvent réalisées en cours de projet, quand ils dérapent et dépassent budgets ou délais, ou a posteriori, à titre de bilans.
Enfin, l'audit d'application porte sur les logiciels métiers. Il concerne principalement la revue des habilitations, ou des contrôles programmés et manuels prévus par les développeurs pour garantir la qualité des données.
|
|
 L'audit c'est mesurer les écarts entre la réalité de l'entreprise et un référentiel." |
|
Quelles sont vos méthodes de travail ? Appliquez-vous des référentiels ?
L'audit c'est mesurer les écarts entre la réalité de l'entreprise et un référentiel. Par exemple, nous n'allons pas définir un plan de secours pour l'informatique mais évaluer sa qualité. On va identifier les différences entre des bonnes pratiques et ce qui est mis en place dans l'entreprise.
Nous avons des méthodes internes chez Deloitte mais les clients nous demandent de plus en plus d'utiliser des référentiels du marché, cela leur permet d'avoir des références communes et des moyens de comparaison. En général il s'agit de COBIT ou d'ITIL pour tout ce qui est lié à l'IT Gouvernance, à la qualité des systèmes. Nous utilisons également dans le domaine de la sécurité la norme ISO 17799, à l'origine un standard britannique : le BS7799.
Quel accueil vous réservent les entreprises ?
Nous ne sommes pas toujours bien accueillis et c'est compréhensible. Certaines peuvent nous recevoir avec méfiance en tant qu'autorité de contrôle, et nous perçoivent un peu comme des contrôleurs fiscaux ou des sortes d'inspecteurs de police. Il faut donc faire preuve de beaucoup de pédagogie en expliquant qu'on contribue à la qualité de l'entreprise, qu'on les aide à mieux faire leur travail.
De plus nous leur demandons de nous consacrer du temps. Le métier d'auditeur nécessite de passer de nombreux entretiens avec le personnel de l'entreprise pour comprendre comment les choses se passent, comment les risques sont perçus
Et nous sollicitons également leur présence lors des tests. Cela ajoute au personnel des tâches supplémentaires. Notre seule solution est de nous adapter aux contraintes des clients, d'avoir une certaine souplesse dans nos interventions. De ce fait, notre métier nécessite une forte disponibilité, il n'est pas rare de devoir intervenir en fin de journée lorsque le client est libéré de ses tâches.
Existe-t-il selon vous un profil type d'auditeur informatique ?
Pour moi le meilleur profil est un diplôme d'une école de gestion suivi d'un troisième cycle en école d'ingénieur ou vice versa. Dans nos métiers nous ne recherchons pas des techniciens, nous sommes plutôt à l'interface entre la maîtrise d'ouvrage et la maîtrise d'uvre. Il peut y avoir ensuite différents types d'auditeurs, techniques ou métiers, généralistes ou spécialistes, en audit d'application, en comptabilité ou même exclusivement sur un progiciel comme SAP.
|
|
Le métier nécessite rigueur, curiosité et beaucoup d'intégrité" |
|
Quelles qualités faut-il avoir pour exercer ce métier ?
Le métier nécessite rigueur, curiosité et beaucoup d'intégrité. Il est également primordial de parler anglais, certains de nos clients français sont des multinationales et la plupart du temps les livrables sont à fournir en anglais. D'ailleurs pour nos recrutements, nous faisons toujours passer un test d'anglais pour évaluer le niveau des candidats.
Quelle importance accordez-vous aux certifications dans votre métier ?
Pour le recrutement de profils expérimentés -puisqu'il faut avoir au minimum 5 ans d'expérience pour passer les certifications CISA ou CISM-, les certifications ne sont pas une condition discriminante. Pour les jeunes que nous recrutons, nous les formons et les envoyons passer les examens.
Quels sont les avantages ou les frustrations éventuelles liés à votre métier ?
L'exercice de notre métier est stimulant intellectuellement car il évolue en permanence, notamment du fait des évolutions technologiques. Il faut se tenir au courant des actualités. Ainsi avec l'arrivée des réseaux sans fil dans les entreprises, un autre type d'architecture s'est mis en place pour la sécurité : on a assisté à un changement de perception des risques liés à cette nouveauté technologique.
Nous avons également une grande variété dans nos missions et nous sommes en contact permanent avec les autres.
|
| |
Propos recueillis par Laëtitia BARDOUL, JDN Solutions |
|
|
PARCOURS
|
|
 |
| |
François Renault, dirige l'activité Deloitte Security Services pour la France
François Renault dispose d'une expérience de 20 ans dans le secteur des systèmes d'information. Il est spécialisé en sécurité depuis 12 ans. Il enseigne également l'audit et la sécurité des systèmes d'information dans plusieurs universités et grandes écoles françaises (HEC, IAE, Dauphine, Essec).
CARIERE
Deloitte (depuis 1996)
XP Conseil, Associé (1992-1996)
Hecate (SSII), Gérant (1987-1992)
Mazars, auditeur financier (1985-1987)
FORMATION
HEC (1985)
Certifications CISA, CISM, AICPA
|
|
|
|
Dernières offres
Candidat