JDNet
Solutions. Quelles sont vos principales missions ?
Chris Norman.
Tout d'abord l'audit en information dans le cadre du commissariat
aux comptes. Ensuite, la participation avec les intégrateurs
pour mettre en place le contrôle interne, le contrôle
des processus et la sécurité applicative.
Enfin, le conseil en sécurité et performances
des processus auquel on peut ajouter l'analyse des risques
qui y sont liés.
Quelle
méthodologie utilisez-vous ?
Nous utilisons notre propre méthodologie
conçue pour complèter les méthodologies standards des
intégrateurs, par exemple la méthode ASAP pour SAP. Nous
cherchons avant tout à recueillir les objectifs
de contrôle exprimés par la direction générale
et l'audit interne, objectifs que nous déclinons
au niveau de chaque processus. Nous voyons ensuite comment
chaque métier est concerné. La sécurité
applicative et la gestion des identités sont à
ce propos fondamentales.
Quel
rôle joue le contrôle interne pour les sociétés
qui vendent sur Internet ?
Un rôle
crucial car avant d'exposer les processus internes à
l'extérieur, il faut vérifier à la
fois que l'entreprise peut tenir ses engagements mais
aussi qu'elle est protégée contre différentes
attaques potentielles. C'est une question d'intégrité
des systèmes qui, sur le net, sont le plus souvent
basiques. Il y a une sorte de "firewall" entre
les processus internes et le système mis sur internet.
Pour bien préparer l'interaction entre les deux, il faut
d'abord faire une analyse de risque, qui doit être
faite par processus.
Quels
sont les principaux risques ?
Comme je le disais, tout d'abord que l'entreprise
ne puisse pas tenir les engagements qu'elle prend sur
Internet, en raison de processus internes pas suffisamment
sûrs : des engagements de production, de livraison...
Si l'entreprise doit donner des réponses en temps
réel, les processus doivent d'autant plus être
fluidifiés, les personnes responsabilisées,
la définition des rôles clarifiée.
Il faut éviter que des erreurs en interne ne ressurgissent
en externe.
Autre type de risque : les attaques virales ou la divulgation
de données personnelles tierces insuffisamment protégées.
La sécurité applicative est, là encore,
fondamentale. On a tout ce qu'il faut à notre disposition
du côté technologique, mais c'est au niveau
des processus que le bât blesse.
La France est-elle une bonne
élève du contrôle des processus ?
Les pays nordiques et anglo-saxons ont une vraie longueur
d'avance, c'est indéniable. Un exemple concret
: celui d'un projet SAP implémenté dans
une filiale allemande d'un groupe américain. 5
% du budget de conseil - soit 2 personnes à temps
plein - ont été consacrés à
la gestion des risques et au contrôle interne. Au
final, pas de problème lors de la mise en exploitation.
En France, dans un projet identique, la direction n'a
pas investi dans le contrôle interne. Six mois plus
tard, erreur constatée dans les codes TVA : la
distinction entre livraisons intra-communautaires et export
n'était pas faite. 100.000 factures se sont retrouvées
bloquées, d'où un surcoût pour rectifier
le tir en embauchant des comptables interimaires, changer
la définition des rôles, gérer le
changement...
Vous vous adressez à des entreprises industrielles
et de services, quelles différences entre les deux
?
Je prends
souvent l'exemple d'un client qui commanderait sa voiture
sur le site d'un constructeur automobile, après
avoir entièrement paramétré son véhicule
selon ses goûts et préférences. Pour
que ladite voiture soit livrée le jour "J"
selon les choix du client, cela met en jeu d'innombrables
paramètres, très complexes, impliquant la
"supply chain" dans son intégralité.
Dans les services, les processus sont importants, notamment
dans la planification, mais ils restent en deçà
de ce que l'on peut constater dans l'industrie.
Quels nouveaux concepts émergent
actuellement dans vos domaines d'expertise ?
Celui de "process owner"
par exemple, qui n'était pas très répandu en France en
l'an 2000. Maintenant je rencontre un peu plus de maîtrises
d'ouvrage identifiant les "process owner". Ce concept,
très utile pour définir les responsabilités et améliorer
le contrôle interne, n'est malheureusement pas encore
généralisé. Lors d'appels d'offres, les directions "achats"
prennent par ailleurs de plus en plus les aspects contrôle
et sécurité des processus en considération. Sinon, depuis
l'affaire Enron, le contrôle interne passe du statut de
"bonne pratique" à obligation car l'aspect légal intervient
à tous les niveaux.
Ensuite, le contrôle
des identités, notamment dans les institutions
bancaires où la culture du secret est très
forte, devient prépondérant. Le couple
login / mot de passe ne suffit plus car des problèmes
de discipline et de prise de conscience générale
se posent. On va droit vers les techniques biométriques
désormais ! En attendant que tout ceci se généralise,
les entreprises doivent continuer à sensibiliser
leurs utilisateurs internes à ces questions !
Autre application du
contrôle des identités, les portails d'entreprise
où l'identification permet de donner au salarié
l'accès aux données et applications auxquelles
il a droit. Mais le système doit être correctement
lié aux départements des ressources humaines
et des achats pour suivre les évolutions de chaque
personne.
|