Vous êtes sur la page 1sur 52

revue internationale des auditeurs et des contrôleurs internes

« La Data Science
pour un assureur,
c’est le cœur de son
métier de demain »
Jacques Richier
Président d’Allianz France

DOSSIER
Dans un monde numérique
Quelles compétences pour les auditeurs internes ?

N°008
4e trimestre 2016
VOTRE PASSEPORT
PROFESSIONNEL
INTERNATIONAL
Le CIA est la seule certification en audit interne
internationalement reconnue

Franchissez le pas et certifiez-vous pour :


 faire reconnaître vos compétences
 prouver votre maîtrise de l’audit interne
 accéder à de nouvelles opportunités de carrière

Plus d’informations sur www.ifaci.com


SOMMAIRE

05 EDITO
L’audit interne et le Numérique
Panorama des enjeux

06 CHRONIQUE 08
Les cyber-risques
Une priorité ?
11
08 VOIX DE LA FRANCOPHONIE
L’UFAI : une association en évolution continue

11 OUVERTURE SUR LE MONDE


11 Un monde de connexions
15 L’auditeur face au chantier du GDPR
19
19 RENCONTRE AVEC ...
Jacques Richier, Président d’Allianz France

23 DOSSIER
24 Les nouveaux usages du numérique :
Panorama des enjeux
28 Qualité des données
Un bricolage méthodique
32 État des lieux de l’utilisation de l’analyse de données
au sein de l’audit interne
23
36 Détection et prévention des fraudes
L’essor du Machine Learning
38 Le DataViz
Retour d’expérience
40 Valeur ajoutée de l’audit dans un monde numérique
Quelles compétences pour demain ?
DOSSIER
L’audit interne et le Numérique
46 TRIBUNE LIBRE
46 Anticiper la conformité au nouveau Règlement
Général sur la Protection des Données 42
Un élément incontournable de la gestion des risques
de votre organisation !

50 ACTUALITÉ

n° 008 — audit, risques & contrôle — 4e trimestre 2016 03


EDITO
Dans un monde
numérique
Quelles compétences
pour les auditeurs internes ?

L
a révolution numérique n’est pas un effet de mode. « Le numérique est
partout, et ce serait une erreur de vouloir le nier ou le relativiser … Le défi de
l’homme est de reprendre le pouvoir sur les données, de leur donner du sens »
( Satya Nadella, Directeur général de Microsoft, dans Les Échos du 8 octo-
audit, risques & contrôle bre 2016). Dans ce contexte, les organisations doivent faire face à de nouveaux
La revue internationale des auditeurs et des contrôleurs internes
risques et d’aucuns se demandent si on doit se doter d’un droit spécifique ou
n°008 - 4e trimestre 2016 simplement adapter les lois existantes.
EDITEUR Les auditeurs internes, pour leur part, se demandent, à juste titre, à quelles
Union Francophone de l’Audit Interne (UFAI) compétences ils devront faire appel pour bien appréhender cette révolution
Association Loi 1901 numérique, et être à même d’analyser et d’évaluer correctement ces nouveaux
98 bis, boulevard Haussmann - 75008 Paris (France) risques. C’est pour apporter quelques éléments de réponse à leurs interrogations
Tél. : 01 40 08 48 00 - Mel : institut@ifaci.com
que nous avons construit ce numéro spécial « L’audit interne et le Numérique ».
Internet : www.ufai.org
C’est un numéro dense où sont traités des concepts pas encore très familiers tels
DIRECTEUR DE PUBLICATION que le DataViz, le Machine Learning ou l’Internet of Things (IoT). À la lecture de ce
Tommaso Capurso numéro vous aurez peut-être parfois l’impression de redites mais il nous est
RESPONSABLE DE LA RÉDACTION apparu nécessaire d’avoir sur un même sujet des regards croisés que, j’espère,
Philippe Mocquard vous apprécierez, « la répétition n’est-elle pas (comme l’affirmait Napoléon) la plus
forte figure de rhétorique ».
RÉDACTEUR EN CHEF
Louis Vaurs Pour savoir comment le numérique est traité dans une grande entreprise en
avance sur beaucoup d’autres, nous avons le témoignage de Jacques Richier,
COMITÉ RÉDACTIONNEL Président directeur général d’Allianz France, que nous remercions vivement
Louis Vaurs - Tommaso Capurso - Eric Blanc - d’avoir répondu à nos nombreuses et parfois impertinentes questions.
Antoine de Boissieu - Christian Lesné
Le dossier « bâti » par José Bouaniche, Président du groupe professionnel
SECRÉTARIAT GÉNÉRAL « Système d’Information » de l’IFACI est riche de 6 articles, tous passionnants et
Eric Blanc - Tél. : 06 15 04 56 32 - Mel : eblanc@ifaci.com enrichissants à lire et à relire en prenant tout son temps.
CORRESPONDANTS Les objets connectés (IoT) sont à l’honneur dans plusieurs articles et tout parti-
Amérique : Farid Al Mahsani culièrement dans celui de Jane Seago, traduit de l’Internal Auditor, nous donnant
Maghreb : Nourdine Khatal une vision américaine des risques qui leur sont associés et de leur traitement par
Afrique subsaharienne : Fassery Doumbia les auditeurs internes.
RÉALISATION Concernant le règlement européen sur la protection des données applicable dès
EBZONE Communication le 25 mai 2018 dans tous les pays de l’Union Européenne, deux articles se
22, rue Rambuteau - 75003 Paris complètent et nous donnent, au-delà d’une apparente redondance, deux regards
Tél. : 01 40 09 24 32 - Mel : ebzone@ebzone.fr différents.
IMPRESSION Parmi tous les risques inhérents au numérique, il y a les cyber-risques qui font
Imprimerie Bialec bien souvent la une des médias comme le montre, dans sa chronique Antoine
23, allée des Grands Pâquis - C.S. 70094 de Boissieu qui nous explique aussitôt que ce sont des risques marginaux compa-
54183 Heillecourt Cedex (France) rés aux risques produits. Il recommande donc aux auditeurs internes de se « foca-
ABONNEMENT liser, encore pour un temps, sur le cœur de métier de leur entreprise, c’est-à-dire, dans
Michèle Azulay - Tél. : 01 40 08 48 15 l’industrie, les risques liés aux produits ».
Mel : mazulay@ifaci.com Ce numéro relate enfin deux événements récents : dans
« Les Actualités », le grand succès de la conférence
Revue trimestrielle (4 numéros par an) IFACI/UFAI tenue les 14 et 15 novembre ; dans « La voix
ISSN : 2427-3260 de la Francophonie », l’élection du nouveau Président de
Dépôt légal : décembre 2016 l’UFAI, Tommaso Capurso, en remplacement de Mireille
Crédit photo couverture : © Allianz France Harnois que je remercie chaleureusement d’avoir si
talentueusement œuvré pour le développement de l’au-
Les articles sont présentés sous la responsabilité dit interne dans les pays francophones et plus particu-
de leurs auteurs. lièrement pour Haïti et les pays de l’Afrique
subsaharienne. À Tommaso, membre du Comité de
Toute représentation ou reproduction, intégrale ou partielle, lecture d’AR&C et grand professionnel de l’audit interne,
faite sans le consentement de l’auteur, ou de ses ayants droits,
ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er de je souhaite un beau et efficace parcours à la tête de
l’article 40). Cette représentation ou reproduction, par quelque l’Union Francophone de l’Audit Interne.

Bonne lecture. 
procédé que ce soit, constituerait une contrefaçon sanction-
née par les articles 425 et suivants du Code Pénal.

Louis Vaurs - Rédacteur en chef

Cette revue est imprimée


avec des encres végétales.
n° 008 — audit, risques & contrôle — 4e trimestre 2016 05
CHRONIQUE

Les cyber-risques
Une priorité ?
L
es risques liés à l'écono- heures après une attaque sur la banque centrale du par déni de service visant un

© supparsorn - Fotolia.com
mie digitale et au big des routeurs du réseau. Bangladesh auprès de la FED opérateur spécialisé dans l'in-
data font désormais  Fin novembre toujours, on de New York après avoir ternet des objets.
partie des priorités de la apprenait qu'un logiciel usurpé ses identifiants SWIFT.  On a appris récemment égale-
plupart des services d'audit et malveillant (malware) avait pris  Aux Etats-Unis, l'accès à de ment que les données de près
des comités d'audit. Il est vrai le contrôle d'un million de nombreux sites (y compris de 500 millions d'utilisateurs
qu'ils sont appelés à prendre de téléphones sous Android, Twitter, Amazon ou Netflix) a de comptes yahoo ! auraient
plus en plus d'importance, pour grâce au vol préalable des été rendu impossible pendant été dérobées fin 2014.
au moins deux raisons : identifiants google de leurs plusieurs heures dans certains  Enfin, Delta Airlines a subi une
1- L'explosion du nombre d'ob- détenteurs. États, à la suite d'une attaque panne informatique de
jets connectés augmente à la  Dans le secteur bancaire, les plusieurs jours cet été, en chif-
fois la probabilité qu'une comptes de 20 000 clients frant le coût à 150 millions de
attaque réussisse, en offrant de Tesco Bank ont été dollars (sans toutefois l'im-
plus de cibles, et l'impact piratés, les pirates réus- puter à une cyber-
d'une telle attaque, en sissant à déclencher attaque).
rendant vulnérables des des virements. Plus
installations qui jusqu'ici ne tôt cette année, des Des risques
l'étaient pas. pirates avaient réussi encore
2- La réussite des attaques sur à dérober 80 M€ sur marginaux
des cibles durcies et prépa- le compte de comparés
rées prouve que la menace aux risques Produit
est en train de devenir de plus
en plus sophistiquée, tout en Ces risques sont bien réels, et
étant très évolutive, ce qui la peuvent parfois (rarement) avoir
rend compliquée à parer. un impact supérieur à 100
millions de dollars. Il faut bien
Plusieurs exemples constater néanmoins qu'ils
significatifs ces 3 restent marginaux quand on
derniers mois les compare à d'autres caté-
gories de risques, survenus
On note ainsi dans l'ac- eux aussi ces trois derniers
tualité de ces trois mois. Si l'on s'intéresse par
derniers mois plusieurs exemple au secteur indus-
illustrations de cyber- triel, on remarque que les
risques : gros risques sont encore, et
 Le système de factura- de très loin, les risques liés
tion des transports de aux produits.
San Francisco a été mis
hors de service pour 2 Samsung a ainsi dû retirer les
jours à la suite d'une téléphones Galaxy 7, pour un
attaque de hackers. coût estimé à 5 milliards de
 Fin novembre, 900 000 clients dollars. Un peu plus tard,
de Deutsche Telekom ont été Samsung a également annoncé
privés de service pendant 48 rappeler 3 millions de lave-vais-

06 4e trimestre 2016 — audit, risques & contrôle - n° 008


CHRONIQUE

selle, pour des défauts de fabrica- d’euros à la suite des retards de prendre en compte les risques cœur de métier de leur entre-
tion. développement du moteur GTF3 avérés récents, qu'ils concernent prise, c'est-à-dire, dans l'industrie,
devant équiper les A320Neo. l'entreprise elle-même ou son les risques liés aux produits. Les
Dans le secteur automobile, Ford secteur d'activité. Cela permet cyber-risques sont réels et déjà
a annoncé le rappel de 1,5 Dans le domaine spatial, l'explo- d'obtenir des éléments de cota- là, mais force est de constater que
millions de véhicules, pour 650 sion de la fusée Falcon 9 de tion des risques, et l'on en a une représentation
millions de dollars, tandis que Space X a interrompu pour au de relativiser les largement amplifiée, et qu'ils
General Motors rappelait 4,3 moins 6 mois l'activité de la possibles effets de sont encore loin d'être au ni-
millions de véhicules dans le société. Fin novembre, l'ESA mode. veau où on se les repré-
monde, pour des problèmes (l'agence spatiale européenne) a sente. Le rôle de l'audit in-
d'airbags et de ceintures de sécu- par ailleurs reconnu que des La nécessité de terne est certes d'assurer
rité, et Fiat Chrysler 1,9 millions, défauts de fabrication de certains rester focalisé une veille sur les risques
sans communiquer sur le coût équipements risquaient de sur les risques émergents et de jouer un
des rappels. Volkswagen, après rendre inopérants un ou métier rôle préventif, mais il
avoir accepté de payer plus de 15 plusieurs des satellites Galileo. faut veiller à ne pas
milliards aux Etats-Unis pour La deuxième tomber dans l'excès in-
solder le dieselgate, se voit désor- Dans le domaine pharmaceu- conclusion verse en se désinté-
mais réclamer 8 milliards en tique enfin, Sanofi a annoncé est que les ressant trop vite des
justice en Allemagne après 1 400 coup sur coup devoir retarder la auditeurs risques ma-jeurs. 
plaintes d'investisseurs s'estimant mise sur le marché de son internes
lésés. Mi-novembre, Toyota nouveau médicament vedette à doivent, Antoine de
annonçait avoir accepté de payer la suite de problèmes dans l'usine encore Boissieu
3,4 milliards de dollars pour régler de fabrication, et arrêter à partir pour un Associé, OSC
des problèmes de rouille sur 1,5 de 2018 la production d'un anti- temps, Solutions
millions de pickup et de SUV. cancéreux, là encore à cause de se fo-
problèmes industriels sur une caliser
Dans le secteur de l'énergie, au autre usine. sur le
Japon, les autorités ont annoncé
l'abandon du surgénérateur de Comme on le voit, dans l'in-
Monju, faute d'être parvenues à dustrie, les gros risques
fiabiliser l'installation dans des restent pour le moment
conditions de sécurité satisfai- les risques liés aux
santes, après y avoir investi plus produits. Le nombre d'af-
de 8 milliards d'euros. En France, faires significatives et leurs
les anomalies de fabrication impacts sont sans commune 1
F35 : Lookeed Martin F35 avion multi rôle.
détectées sur des pièces de réac- mesure avec ce que coûtent 2 DDG 1000 : destroyer lance-missiles Marine US.
teurs nucléaires ont provoqué pour l'instant les cyber-risques. 3 GTF : moteur Pratt & Whitney Geared Turbo Fan.
l'arrêt forcé d'une partie du parc On pourrait faire la même analyse
de centrales, avec un impact
évalué à un milliard d'euros.
avec le secteur bancaire, où
plusieurs affaires touchant le
Publications
cœur de métier de grosses Le rôle de l’audit interne Perspectives internationales
Dans le secteur de la défense, banques (Wells Fargo, Deutsche face au cyberisques Nouvelles tendances
toujours sur la période de Bank, Monte Paschi, Mastercard)
septembre à novembre, ont été ont été rendues publiques
communiqués des retards et récemment, avec des impacts se
difficultés sur plusieurs projets chiffrant en milliards d'euros.
majeurs américains (F351,
DDG10002, Littoral Combat Ships, Quelles conclusions
porte-avions G.Ford...) et français faut-il en tirer ?
(sous-marins Barracuda, hélicop-
tères NH90, avions A400M). L'importance de la
cartographie des risques
Dans le secteur aéronautique,
Airbus et Prat-Whittney ont La première conclusion est qu'il
certainement perdu des dizaines, est toujours utile de faire une
voire des centaines de millions cartographie des risques, et d'y Retrouvez ces publications sur le site de l’IFACI.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 07


VOIX DE LA FRANCOPHONIE

L’UFAI :
une association en
© Maksim Pasko - Fotolia.com

évolution continue
Ma perception de l’UFAI tion respectueuse des diffé- velopper une vision partagée, Les défis
rences, au partage des connais- afin de créer un espace de dia-
En tant que Président du Comité sances et expériences, à l’amélio- logue et d’échanges entre les L’UFAI est certes connue, mais est-
d’audit de l’OIF (Organisation In- ration des performances des différentes parties prenantes, elle suffisamment reconnue ?
ternationale de la Francophonie) organisations, qu’elles soient du tout en favorisant la clarifica- Cette reconnaissance ne se dé-
et nouveau Président de l’UFAI, secteur public ou privé. tion des rôles et responsabilités crète pas ; elle se méritera.
j’ai, du coup, une double vision Madame Michaëlle Jean, actuelle dans la bonne gouvernance de L’UFAI, fondée sur l’adhésion vo-
sur les valeurs de la Francophonie. Secrétaire générale de la Franco- l’Organisation. lontaire des Instituts et le béné-
J’espère que je ne serai pas atteint phonie. A l’occasion de la mise en volat, manque cruellement de
rapidement de strabisme. place du Comité d’audit de l’OIF, Je ne vais pas décrire ici les statuts ressources et de moyens.
Il me plairait d’abord de faire ré- Madame Michaëlle Jean a par- de l’UFAI, revisités en 2012, sa mis- La valeur ajoutée et l’apport de
férence en particulier aux deux tagé un certain nombre de va- sion, ses objectifs. L’UFAI est en l’UFAI, dans un contexte de mon-
derniers Secrétaires généraux de leurs « inspirantes » – je dois re- résumé porteuse de nombre des dialisation, nécessitent notam-
la Francophonie. connaître – pour tous les audi- valeurs précitées, dont le béné- ment :
Monsieur Abdou Diouf : « La Fran- teurs internes et pour toute la volat, qui font que les instituts qui  de travailler en bonne intelli-
cophonie est un espace de coopé- communauté de l’UFAI : y adhèrent ont … « plus que le gence avec The IIA, dont je sa-
ration fondé sur le partage d’une  La Francophonie s’est dotée, à transport en commun ». Valeurs lue chaleureusement le soutien
langue, coopération pour promou- travers ses instances, d’une sé- universelles d’humanité, d’écoute, à l’UFAI et avec qui l’UFAI vient
voir le multilinguisme, la diversité rie d’outils parce qu’elle a le de dialogue, de diversité des cul- de signer un nouveau MoU
culturelle, l’éducation, la formation, souci de développer une cul- tures, d’écoute, tissant ainsi de- (Memorandum of Understan-
la recherche. […] La Francophonie ture participative et responsa- puis 28 ans les liens étroits de la ding) ;
exprime une volonté commune de ble d’évaluation, d’audit, de grande famille de l’UFAI.  de disposer, au sein de chaque
vivre dans un monde où la décou- transparence et d’imputabilité. Aider à la constitution d’associa- Institut, d’une gouvernance ef-
verte de nos différences nous offre C’est cette culture organisa- tions d’auditeurs internes, pro- ficace et transparente ;
de nouvelles voies vers la solidarité. tionnelle qu’elle a la volonté mouvoir la pratique profession-  d’inspirer, de susciter des voca-
Le respect des différences appelle d’impulser pour tirer le parti de nelle de l’audit et du contrôle tions et d’accroître les adhé-
un enracinement toujours plus pro- ces nouveaux « outils de gou- interne, constituer une force de sions d’auditeurs internes pour
fond d’une culture de tolérance vernance ». proposition envers toutes les par- que les Instituts atteignent une
dans les cœurs et les esprits ». Dans  L’audit interne doit être vu ties intéressées, produire et par- taille critique leur permettant
ce contexte, Monsieur Abdou comme un « facilitateur » dans tager des connaissances de ma- de disposer alors de ressources
Diouf mettait aussi en lumière le une culture de dialogue et nière multilatérale, coopérer avec permanentes (à noter que les
rôle de l’UFAI pour favoriser le dia- d’ouverture. d’autres associations profession- auditeurs internes franco-
logue des cultures et contribuer  Les actions de sensibilisation nelles, etc. sont des déclinaisons phones représentent actuelle-
à l’instauration d’une mondialisa- doivent être menées pour dé- concrètes de ces valeurs. ment, selon une statistique de

08 4e trimestre 2016 — audit, risques & contrôle - n° 008


VOIX DE LA FRANCOPHONIE
Quelques mots de  dirigé des discussions sur les Burkina Faso, Guinée, Togo, Bel-
l’AGO du 13/11/2016 priorités et les objectifs, gique, France).
 insisté sur la gouvernance effi- Les membres du Conseil d’admi-
Cette AGO a été précédée d’un cace des Instituts et la néces- nistration (CA) ont présenté le
forum de l’IIA, animé avec profes- sité de revoir leurs « modèles », rapport de leurs mandats respec-
sionnalisme par Mmes Sylvia  suscité des débats de groupe tifs.
Gonner et Séverine Chanay-Sa- par rapport aux besoins et ser- Deux pays se pont portés candi-
voyen sur le thème : « L’initiative vices. dats pour l’organisation de la pro-
africaine de développement : des chaine Conférence internationale
actions et des objectifs ambi- Dix-neuf instituts étaient repré- de l’UFAI en 2018. La finalisation
tieux ». Un grand merci à leur in- sentés à l’AGO (Suisse, Algérie, du processus de candidature et
tention pour leur soutien, leurs Mali, Luxembourg, Montréal / de sélection sera poursuivie.
conseils et aussi pour avoir : Québec, Congo Brazzaville, Ga- Les représentants des instituts ont
 fait part des initiatives de dé- bon, Liban, Tunisie, Cameroun, désigné, pour un mandat de 2
veloppement en Afrique, Côte d’Ivoire, Ghana, Maroc, Haïti, ans au sein de l’UFAI:

Pour ceux qui ne me connaissent pas encore : qui suis-je ?


Tout d’abord, je tiens à saluer et chaleureuse- ments automobiles, chez Valeo puis au sein de
ment remercier les membres de la famille UFAI, Delphi Automotive Systems, filiale à l‘époque de
qui m’ont accueilli en leur sein en 2004. General Motors. Fort de cette expérience tech-
Et particulièrement, à l’époque, Monsieur Yves nique, j’ai rejoint en 1999 l’audit … technique,
Chandelon, qui m’a fait immédiatement et entiè- qui se mettait en place au sein de l’audit interne
rement confiance dès notre première rencontre récemment créé alors à la SNCB, la Société Na-
à Tunis. Sur sa proposition, l’IIA Belgique m’a rapi- tionale des Chemins de fer Belges.
dement désigné comme son représentant offi- Un ingénieur dans un service d’audit interne,
ciel auprès de l’UFAI. C’est ainsi que j’ai eu ensuite historiquement peuplé de financiers et de comp-
The IIA, sensiblement 5 % du l’insigne honneur d’intervenir régulièrement tables ? Un extra-terrestre à l’époque !
« membership » mondial) ;

comme orateur, parfois comme formateur, lors J’ai découvert alors une profession nouvelle et
d’accentuer les certifications des Conférences de l’UFAI, essentiellement en passionnante et pour paraphraser le chanteur
professionnelles des auditeurs, terre africaine, ainsi que dans les terres plus loin- Renaud : je n’ai pas pris l’audit, c’est l’audit qui
le label « CIA » étant le seul taines d’Haïti. C’est vrai que le prix de reconnais- m’a pris. Je me suis investi, par nécessité d’ap-
mondialement reconnu dans sance reçu à Paris en 2008, dans le contexte prentissage d’abord et par conviction ensuite,
la profession ; chargé d’émotion des 20 ans de l’UFAI, m’a parti- dans plusieurs formations et certifications en au-
 de réaliser un reporting de qua- culièrement touché tant professionnellement dit interne et gestion des risques, afin de com-
qu’humainement, alors que j’étais encore assez prendre les évolutions de notre métier, de les
lité des Instituts vers l’ IIA et
« jeune » … du moins dans le métier de l’audit anticiper et d’adapter notre capacité d’accom-
l’UFAI sur un certain nombre interne ! pagner l’entreprise dans un environnement en
d’indicateurs clefs et d’obliga- Je suis né en Belgique en 1953, d’une famille ita- mutation. À noter que, contrairement aux asser-
tions du règlement intérieur ;

lienne, qui compte cinq enfants, suite à la vague tions de ces dernières années, le changement
de développer la mise en ré- d’immigration, résultant de l’accord en 1946 en- n’est pas un attribut de nos temps dits « mo-
seau et la coopération avec tre la Belgique et l’Italie, accord résumé par la dernes ». Héraclite (~-550, - 480 avant JC), philo-
d’autres associations profes- formule devenue célèbre « Du charbon contre sophe présocratique, disait en effet déjà : « Seul
sionnelles de renom, la coopé- des hommes ». Accord dont la commémoration le changement est constant ».
ration multilatérale entre insti- des 70 ans a eu lieu cette année. Alors, pour tous les services d’audit interne
tuts et la mutualisation de leurs J’ai fait toutes mes études en Belgique et obtenu nouveaux ou instituts qui se mettent en place
un diplôme d’ingénieur civil, que je souhaitais ab nihilo, je leur dis : n’ayez pas peur de la « page
ressources « rares » ;

mettre au service des autres (métier d’autant blanche » ; au contraire, c’est une opportunité
d’améliorer les structures et les plus attractif que le dictionnaire Larousse lui unique de découverte de la profession, de créa-
processus de l’UFAI. accorde de l’«ingenium» : du génie ! C’était tivité et, en plus, l’UFAI est là pour vous y
en outre bon pour l’ego d’un jouven- aider.
Qu’il me soit permis de rendre un ceau !). J’avais toutefois longuement J’ai aussi été honoré de servir sur la
hommage appuyé à l’IFACI, et à hésité avec une carrière de méde- période 2008-2012, comme VP
son Délégué général, Monsieur cin. J’ai également été récipien- Europe (hors France), le Président
Philippe Mocquard, qui apporte daire d’un certificat en pédago- Denis Neukomm, qui a donné une
son engagement constant à gie. impulsion nouvelle à l’UFAI avec son
l’UFAI et, avec une immense gé- Alors que j’imaginais être ensei- plan stratégique; enfin aussi honoré
gnant et partager des savoirs, j’ai d’être au service de l’infatigable et
nérosité, met à la disposition de
en fait travaillé toute ma carrière d’un dévouement sans limite
la communauté de l’UFAI une dans l’industrie : de production Présidente Mireille Harnois, grâce à
grande richesse de « savoirs » et d’énergie (Groupe Schneider puis qui de nombreux projets de
de « connaissances » par un accès Alsthom-Jeumont) ; ensuite, développement et de soutien
documentaire structuré. du secteur équipe- aux instituts ont vu le jour.

— 4e trimestre 2016 09
VOIX DE LA FRANCOPHONIE

 Monsieur Mounim Zaghloul bitrages à réaliser : ce qu’elle tations stratégiques, et leurs dé- Il relèvera des instituts de l’UFAI
comme Vice-président Afrique peut faire et ce qu’elle ne peut clinaisons opérationnelles, qui se- de s’adapter, de repenser leurs
du Nord ; pas faire, compte tenu de ses ront discutées et décidées de ma- « modèles » de fonctionnement,
 Madame Kadiatou Konaté moyens limités. nière consensuelle. Ces projets, de trouver, dans un contexte glo-
comme Vice-présidente Afri- dans lesquels les instituts devront balisé et en mutation, les méca-
que sub-saharienne ; Mes projets / mon se reconnaître, appartiendront à nismes d’interaction pour répon-
 Monsieur Christian Van Neder- rêve ? la communauté de l’UFAI. dre aux exigences nouvelles (ère
velde comme Vice-président numérique, réglementations…)
Europe ; Je n’ai pas la prétention, étant Pré- Je partage résolument les grands et enfin de coopérer efficace-
 Monsieur Daniel Lebel comme sident tout récemment désigné axes présentés par The IIA au ment et en bonne intelligence
Vice-président Amérique du avec toutes les parties intéressées.
Nord et Caraïbes ; Mon rêve ? Poursuivre l’œuvre des
 Madame Loubna Khatib
« Je dormais et je rêvais que la vie n’était que joie.
pères fondateurs et visionnaires
comme Trésorière ; Je m’éveillais et je vis que la vie n’est que service. de l’UFAI et des président(e)s qui
 Monsieur Tommaso Capurso Je servis et je compris que le service est joie. » m’ont précédé. Tout simplement
comme Président. que les instituts et services d’audit
Rabindranàth Tagore (1861-1941), interne aident, dans un climat de
Madame Mireille Harnois siègera Ecrivain indien, Prix Nobel de littérature, 1913 confiance qu’ils auront suscité et
d’office en tant que Présidente mérité, les organisations à attein-
sortante. de l’UFAI, d’énumérer des projets cours du forum précité : dre leurs objectifs et rendent,
Le CA nouvellement constitué se qui me tiendraient à cœur. Je suis  Promotion et visibilité des ins- avec humilité et professionna-
réunira mi-décembre pour : profondément attaché et engagé tituts. lisme, le service qui est attendu
 revisiter les objectifs de l’UFAI au sein de l’UFAI depuis déjà de  Gestion et direction des instituts. d’eux. 
et les traduire en termes opé- nombreuses années…  Renforcement et soutenabilité
rationnels ; Conformément à une gouver- des ressources. Tommaso Capurso, CIA, CCSA, CRMA
 tirer les conclusions de l’AGO, nance transparente, il appartient  Évolution professionnelle. Président de l’Union
et en particulier définir les ar- au CA de fixer les grandes orien- Francophone de l’Audit Interne

Bien chers tous,


Après 4 années à la présidence de l’Union Francophone de encouragements. Je lui serai toujours reconnaissante pour sa
l’Audit Interne, j’ai passé le flambeau, lors de l’Assemblée géné- grande générosité, son dévouement et son fort attachement à
rale ordinaire du 13 novembre à Paris, à une personne excep- la communauté francophone. Je lui emprunte des paroles qu’il
tionnelle, une personne qui a la flamme pour la profession mais a déjà citées « Chapeau l’artiste ».
aussi pour le réseau de l’UFAI. Je remercie Tommaso Capurso
Je tiens aussi à saluer et remercier les Instituts francophones,
(Belgique) d’avoir ainsi accepté cet insigne honneur de pour-
membres de l’UFAI, qui m’ont permis de vivre cette expé-
suivre la mission exaltante de l’UFAI.
rience. Nous continuerons à travailler ensemble.
Je me sens fortement privilégiée d’avoir pu servir
Une pensée bien spéciale pour les pionniers et fonda-
la communauté de l’UFAI et vivre des expériences
teurs de l’UFAI, des figures emblématiques, au sein
inoubliables, d’un point de vue professionnel
du réseau qui ont bien semé le savoir, le partage et
mais aussi d’un point de vue humain avec tous
l’entraide.
les liens qui ont été tissés et l’enseignement qui
m’a été également offert de parcourir différents Pour terminer, je profite de cet instant pour remer-
pays et leurs différentes cultures. Jamais je ne cier l’IFACI, le cœur de l’UFAI, son délégué géné-
l’oublierai. ral Philippe Mocquard et son équipe pour le
support indispensable qu’il assure à l’UFAI et
D’ailleurs j’ai choisi de ne pas renouveler mon
pour la générosité du partage permettant à
mandat justement pour assurer la transition
toute la communauté professionnelle fran-
et la continuité. Je demeure donc pour les
cophone de tous les continents de se
prochaines années en tant que présidente
développer et de progresser ensemble.
sortante, au sein du Conseil de l'UFAI, au côté
de votre nouveau président. Je poursuis égale- Je vous invite à visionner ces quelques
ment mes activités au sein de l’IIA jusqu’en 2019 images UFAI, sa fondation et rétrospec-
en tant que membre du Comité des Relations avec tive 2015-2016 :
les Instituts ainsi que membre du « African https://youtu.be/BLfnzif8kuY
Initiatives Advisory Council », demeurant ainsi
connectée avec chacun d’entre vous. Merci à tous mes collègues et amis,
Mes profonds remerciements vont à Louis Vaurs,
un si grand homme, pour sa confiance et ses Mireille Harnois

10 4e trimestre 2016 — audit, risques & contrôle - n° 008


OUVERTURE SUR LE MONDE
© bakhtiarzein - Fotolia.com

Par Jane Seago

L’Internet des objets (ou IoT pour « Internet of things ») impose aux auditeurs
internes de faire face à des risques encore relativement mal maîtrisés.

S
elon la source consultée, d’ici 2020, le capacité à réduire les coûts, assurer la sécurité, aujourd’hui le restera à l’avenir. De même que
nombre d’appareils connectés à générer des recettes et collecter des données. la marée montante soulève tous les bateaux,
Internet dans le monde pourrait oscil- Cependant, d’aucuns prennent en compte les le cycle de développement rapide de l’IoT
ler entre 26 milliards (Gartner) et 50 implications qu’ont les milliards de conne- entraîne une évolution tout aussi rapide des
milliards (Cisco). Dans les deux cas, les chiffres xions et les téraoctets de données de l’IoT. Ils risques. Les auditeurs internes doivent donc
sont vertigineux. À l’évidence, des forces du savent que, pour être importants, ses avan- suivre de près ces changements et être prépa-
marché, comme une accessibilité toujours tages n’en comportent pas moins des aspects rés à en informer leurs organisations.
plus grande de l’Internet à haut débit, la négatifs : risques de sécurité, atteinte à la vie
baisse des coûts de connexion, l’utilisation privée, et capacité moindre des personnes à Un éventail de risques
répandue du Cloud, le nombre croissant d’ap- contrôler leur vie. Kenneth Mory, consultant
pareils équipés de fonctions Wi-Fi et de principal chez Stronghold Solutions Interna- Tout le monde ou presque s’accorde pour
capteurs intégrés, ainsi que la baisse du coût tional et ancien chef de l’audit interne de la reconnaître que l’hyperconnectivité de l’IoT
des technologies, se sont conjugués pour ville d’Austin, Texas, déclare : « Les horizons des présente des risques. Toutefois, des diver-
créer l’environnement parfait pour l’Internet risques introduits par l’IoT sont infiniment supé- gences d’opinions existent quant à leur
des objets. rieurs à ceux que nous connaissons actuelle- nature.
ment. Ces nouvelles vulnérabilités ont de très D’aucuns y voient un caractère apocalyptique.
L’impact de l’IoT est déjà prégnant. « Un réseau sérieuses implications pour la sécurité informa- Ils estiment que le contrôle des activités
d’objets physiques contenant une technologie tique et la cybersécurité ». quotidiennes et la production d’un flux quasi
leur permettant de capter leur environnement et continu d’informations entraînent un niveau
d’interagir avec lui, et ce au profit des entre- Les auditeurs internes ont des raisons bien de profilage et de ciblage accru, se traduisant
prises » : c’est ainsi que Jim Tully, directeur de précises de s’interroger sur les conséquences par une intensification des luttes sociales,
la recherche en matière d’IoT chez Gartner, à de l’IoT sur leurs organisations. Ils peuvent être économiques et politiques. Ils suggèrent de
Londres, définit cette dernière tendance tech- invités à donner des conseils à la direction sur mettre en place des moyens permettant aux
nologique, peut-être la plus ubiquitaire de les bénéfices et l’avantage concurrentiel gens de se désengager du réseau, d’arrêter
toutes, qui fait partie intégrante de nos vies possible qu’il pourrait offrir. Pour autant, ils d’envoyer et de recevoir des données. Jim
(voir « Exemples d’IoT » dernière page de l’ar- doivent également surveiller les nouveaux Tully est plutôt sceptique à l’égard de ces
ticle). Ses adeptes en vantent le côté pratique, risques qu’il introduit, ainsi que les contrôles options de déconnexion : « L’IoT est omnipré-
la vitesse, la personnalisation et la facilité d’uti- compensatoires nécessaires. Ils ne peuvent se sent », dit-il. « Impossible de s’en affranchir tota-
lisation. Les entreprises mettent en avant sa permettre de présumer qu’un problème réglé lement ».

n° 008 — audit, risques & contrôle — 4e trimestre 2016 11


OUVERTURE SUR LE MONDE

Toutefois, d’autres points de vue sur les l’audit interne un champ d’action pour iden- « Nombre de programmeurs ont toujours évolué
risques liés à l’IoT ont un caractère plus prag- tifier, évaluer et atténuer les risques. Mais l’au- dans des systèmes fermés », dit-il. « Peut-être ne
matique : pertes financières affectant le taux dit interne ne peut faire office d’avant-poste savent-ils pas vraiment ce que la connectivité
de profitabilité (piratage informatique des isolé du risque. D’autres domaines doivent implique. En tant que troisième ligne de maîtrise,
compteurs électriques intelligents pour voler également intervenir. Toutefois, Steven Babb, les auditeurs doivent leur parler et les sensibiliser
de l’énergie), interruption de l’activité (du fait directeur et consultant indépendant chez aux risques ».
d’une attaque par déni de service), perte Newton Leys Consulting Ltd., à Berkshire,
d’avantage concurrentiel (attaques de toute Royaume-Uni, estime que la direction n’est Faire la lumière sur les risques
nature par un concurrent), troubles au sein peut-être pas pleinement consciente du
d’un gouvernement (propagande ou « hack- risque – probablement parce qu’il n’est pas Pour Steven Babb, le rôle de l’audit interne en
tivisme »), voire perte de vie (dommages énoncé en termes opérationnels – et que les matière d’IoT est « essentiellement une question
causés à des stimulateurs cardiaques ou à des politiques ne sont pas encore en prise directe de visibilité et de risque. Il s’agit d’aider les équipes
blocs opératoires dans les hôpitaux). Kenneth avec la définition de l’usage de l’IoT. « En règle de gestion des risques à mettre en évidence le fait
Mory souligne un autre risque : la perte de générale, l’IoT est englobé dans la cybersécurité, que le risque est bien réel, à quantifier l’exposition
parts de marché, qui advient lorsque « l’orga- qui fait l’objet d’une attention accrue de la part et à porter la question à l’attention de la direc-
nisation n’adopte pas l’IoT et ne profite pas des de la direction, même si beaucoup reste encore tion », déclare-t-il.
opportunités et des avantages qu’il peut offrir ». à faire sur le sujet », déclare-t-il. « Par ailleurs, l’IoT
Mory fait référence au risque en amont de recouvre des domaines qui en principe ne relè- Cette orientation trouve un écho chez Corbin
l’IoT, une perspective souvent négligée dans vent pas aujourd’hui des services de sécurité de Del Carlo. « Nous devons contrer les vecteurs de
le cadre du risque bien réel sur la sécurité et l’information ». menaces », explique-t-il. « Nous ne devons pas
la protection des données personnelles. Mais hésiter à proposer des axes d’amélioration de la
une raison explique l’expansion rapide du Corbin Del Carlo, directeur, audit interne, sécurité. Nous ne devons pas hésiter à poser des
marché de l’IoT, malgré le risque inhérent : ses sécurité de l’informatique et de l’infrastructure questions sur les menaces que présentent les
avantages qui, pour la plupart des individus chez Discover à Riverwoods, dans l’Illinois, fait fournisseurs ». Il ajoute qu’en toute probabilité,
et des entreprises, l’emportent sur les risques valoir qu’un autre groupe doit s’impliquer ces derniers ne produisent pas ces appareils
qui lui sont associés. Les clients apprécient la dans la gestion des risques liés à l’IoT : les eux-mêmes. Il se demande si les fournisseurs
façon dont les appareils IoT facilitent leur vie développeurs de logiciels (programmeurs). savent qui fabrique les composants dont ils
en anticipant leurs besoins et leurs préfé-
rences et en y répondant (par ex., le réglage
permanent de la température de la maison en
fonction de ses caractéristiques et de l’emploi
du temps de ses occupants, la préparation du
café selon les goûts précis de l’individu, avec
la possibilité de la contrôler à distance). Les
entreprises qui utilisent des appareils IoT dans
leurs processus, ou dont les salariés utilisent
ces appareils, sont susceptibles d’en tirer une
multitude d’avantages : obtenir un avantage
concurrentiel sur des concurrents moins
versés en technologie, réaliser des économies
grâce à des gains d’efficacité et une surveil-
lance en temps réel générés par ces appareils,
bénéficier d’un engagement plus immédiat
et personnalisé des clients, et récolter davan-
tage de retours sur leurs investissements
marketing grâce à des messages plus effi-
caces et précisément ciblés. Les entreprises
qui fabriquent des appareils IoT verront
probablement une augmentation de leur
chiffre d’affaires du fait de la demande des
clients, voire des occasions de créer de
nouvelles activités. Et tous, les particuliers
comme les entreprises, bénéficieront de l’in-
térêt accru pour la cybersécurité que créent
les appareils IoT, ainsi que de son corollaire :
l’adoption de normes généralement accep-
tées et les efforts déployés par les entreprises
pour gagner la confiance des consomma-
teurs.

Que le risque soit en amont ou en aval, il s’agit


là d’un problème pragmatique qui présente à

12 4e trimestre 2016 — audit, risques & contrôle - n° 008


OUVERTURE SUR LE MONDE

dépendent dans leur chaîne d’approvisionne- l’IoT. Les risques varient d’une entreprise à l’au- Exemples d'IoT
ment. « Testent-ils ces éléments pour s’assurer tre, en fonction du type de systèmes d’IoT
qu’ils répondent bien à nos spécifications en présents et des processus opérationnels qu’ils La plupart des appareils IoT sont si bien
matière de sécurité ? » prennent en charge. Une fois les risques iden- intégrés dans la vie quotidienne
tifiés, l’audit interne peut alors veiller à ce que moderne que nous ne nous rendons
Peter Rhys Jenkins, architecte IoT chez les contrôles d’atténuation soient mis en même plus compte de leur présence.
Worldwide Watson, IBM, à Dartmouth, place et fonctionnent efficacement, sans Mais l’IoT est partout, comme l’indique ce
Massachusetts, réitère cet impératif de sécu- jamais perdre de vue le contexte dans lequel petit échantillonnage suggéré par Jim
rité dans l’ensemble du processus de fabrica- ces systèmes fonctionnent.
Tully, directeur de la recherche en
tion. « Je veux que mon réfrigérateur soit tout Lors de l’examen du contexte, il est important
matière d’IoT chez Gartner, à Londres :
 Voitures : Des modules analysent
aussi sécurisé qu’un appareil du gouverne- de ne pas oublier que rien n’existe en vase
ment », dit-il. clos. Corbin Del Carlo se souvient d’un inci-
dent survenu lors de la conférence Black Hat constamment le comportement du
Les organisations qui mettent en œuvre des USA 2015, où les hackeurs avaient relevé le conducteur – comment il accélère,
appareils IoT doivent se doter d’une stratégie défi de s’emparer à distance des commandes négocie les virages, appuie sur la
pour leur déploiement. M. J. Vaidya, consul- d’un véhicule connecté à l’Internet. Leur pédale de freins. Cette information
tant principal, EY, Atlanta, Georgie, observe démarche était relativement simple. Le permet aux compagnies d’assurances
que si la fonction audit interne ne participe constructeur du véhicule n’avait pas mis en d’adapter les risques des conducteurs
pas à l’élaboration de cette stratégie, elle n’en œuvre la protection par mot de passe pour
individuels à leur prime spécifique. Elle
est pas moins « une entité cruciale pour veiller l’accès à Internet de la radio de la voiture. « Les
peut également leur permettre de
à la bonne mise en œuvre de la stratégie, du concepteurs n’ayant pas estimé que la radio
point de vue de la gestion des risques ». présentait des éléments sensibles, il n’y avait proposer une assurance « à la carte »,
donc pas besoin de la protéger », explique-t-il. dans laquelle le montant de la prime
Pour les auditeurs internes, la conduite d’une « Et, si l’on s’en tient strictement à la radio, ils est déterminé en fonction du temps de
évaluation des risques relative aux appareils avaient raison. Mais ce point d’entrée permettait conduite de la voiture ou de l’endroit
IoT utilisés dans leur organisation est la d’accéder au reste de la voiture ». Le contexte où elle est conduite – sur une route
première étape constructive pour aborder est primordial. reculée de campagne ou dans une
grande ville aux heures de pointe.
 Stationnement : Des capteurs analy-
Domaines d’intervention
sent les voies urbaines et déterminent
Assumer les risques associés à l’IoT est une
si les places de stationnement sont
énorme gageure qui repose sur un travail
d’équipe dans l’ensemble de l’organisation. libres ou occupées. Ils se relient alors à
Même le plus long des voyages commence une application mobile qui guide le
toujours par un premier pas, dit le proverbe : conducteur vers une place disponible.
dans cet esprit, les missions de l’audit interne  Éclairage : Un nouvel éclairage peut
peuvent porter sur plusieurs activités initiales. analyser la localisation des personnes
dans les immeubles, offrant ainsi des
Savoir s’il existe une politique
avantages en termes de sécurité (la
zone est éclairée) et de réduction des
En abordant des questions liées à la sécurité
coûts (les lumières sont éteintes dans
au sein d’une entreprise, l’une des premières
étapes est de vérifier s’il existe une politique des espaces inoccupés).
et si elle est à jour. Bien qu’à ce jour il semble  Jouets : Certains jouets sont équipés
que peu d’organisations se soient dotées de caméras qui reconnaissent le visage
d’une politique IoT spécifique, beaucoup font de l’enfant. Ils sont capables
référence au sujet dans leur politique de « d'« apprendre » à le connaître et d’in-
Bring Your Own device » (BYOD) (Apportez teragir avec lui de façon éminemment
votre équipement personnel de communica- personnalisée.
 Agriculture : Des capteurs dans les
tion). Steven Babb explique que la plupart
d’entre elles portent uniquement sur un petit
sous-ensemble d’appareils qui sont du ressort champs analysent l’humidité et l’enso-
de l’IoT. Et il ajoute : « Si les salariés apportent leillement, suggèrent une meilleure
un grand nombre de ces appareils, les organisa- façon d’irriguer, et prédisent même le
tions en achètent et en utilisent tout autant. moment de la récolte.
 Administration publique : De
Beaucoup ne relevant pas de l’IoT et de la sécurité
informatique, les risques qui en découlent
nombreuses villes utilisent des applica-
© ckybe - Fotolia.com

peuvent être cachés ».


tions « ville intelligente », prises en
Kenneth Mory ajoute que si son ancien charge par l’IoT, pour la gestion de
employeur, la ville d’Austin, ne disposait d’au- l’analyse de la pollution et la gestion de
cune politique générale pour traiter de l’IoT, il la circulation.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 13


OUVERTURE SUR LE MONDE

existait néanmoins des politiques portant sur lance constante à l’égard de ces assauts, proba- avertissent en cas de charges ou de contraintes
l’utilisation des clés USB, des lecteurs porta- blement aucune organisation ne serait en excessives – ils sont liés aux systèmes de contrôle
bles et autres appareils portables comme les mesure de contrer chacune de ces attaques ». de la circulation qui arrêteront le trafic entrant
téléphones et les ordinateurs. sur le pont. Les détecteurs de monoxyde de
Sensibiliser la direction carbone et les détecteurs de fumée connectés à
Les insuffisances en matière de sécurité de internet ont la même fonction. Ils sont directe-
l’IoT offrent à l’audit interne une occasion de Quel que soit le niveau de conscience actuel ment déployés pour réduire les risques ».
jouer un rôle important en travaillant avec les de la direction sur les risques liés à l’IoT, il
équipes de la cybersécurité, de l’informatique, semble y avoir un consensus pour dire qu’il Mais, dans les domaines de l’audit interne et
du service juridique et de la fonction protec- faut une plus grande sensibilisation en la de la sécurité de l’information, la plupart des
tion de la vie privée pour les conseiller sur matière. Kenneth Mory dit que certaines intervenants pourraient arguer que ce qui les
l’élaboration d’une politique d’IoT. Les poli- directions connaissent le concept général qui préoccupe, ce n’est pas tant le domaine d’ap-
tiques existantes relatives aux mots de passe, régit l’IoT, mais qu’elles n’en saisissent pas les plication de l’appareil que sa connectivité et
aux patchs correctifs et à la surveillance du opportunités et les menaces qu’il présente. l’impossibilité quasi certaine de la sécurisation
système devront être revues afin de placer Selon lui, l’audit interne a un rôle évident à totale d’une organisation, de ses actifs ou des
clairement l’IoT dans leurs champs d’applica- jouer pour aider la direction à comprendre et personnes qui utilisent ses systèmes. Corbin
tion. La création ou la mise à jour des poli- gérer les risques. Del Carlo en convient, mais ne s’arrêtera pas
tiques en matière de segmentation de réseau M.J. Vaidya reconnaît l’importance de la sensi- pour autant d’essayer d’y parvenir. « Selon un
et de contrôle d’accès peut s’avérer néces- bilisation, « du conseil d’administration jusqu’au fameux dicton, il est parfaitement impossible de
saire. Les appareils approuvés et leur usage niveau tactique et partout ailleurs, à tous les construire quoi que ce soit à l’épreuve des imbé-
doivent être précisément énoncés, et leurs niveaux, pas seulement l’informatique, pas seule- ciles, les imbéciles se montrent toujours si ingé-
implications clairement identifiées, non seule- ment les cadres, pas seulement le développe- nieux ! », dit-il « Mais l’on ne peut tout
ment pour les salariés, mais également pour ment de produit, pas seulement la production, simplement pas baisser les bras. Je travaille pour
les partenaires commerciaux, les fournisseurs mais dans l’ensemble de l’entreprise ». une banque. Nous sommes là où est l’argent.
et les clients ayant des connexions avec le Nous devons maintenir un niveau de sécurité
réseau de l’entreprise. Revoir la sécurité maximal ».

Vérifier l’inventaire Peter Jenkins dresse une liste des mesures de L’IoT est pour les auditeurs internes l’occasion
base, mais indispensables, que les auditeurs d’intervenir dans un rôle qu’ils n’ont guère l’oc-
Il est difficile de faire respecter une politique peuvent tester après leur mise en œuvre. « En casion de jouer : celui de défenseur. Ils
d’IoT sans connaître précisément le nombre ce qui concerne l’approvisionnement, lorsqu’un peuvent défendre les intérêts des utilisateurs
et le type d’appareils IoT présents au sein de nouvel appareil rejoint le Cloud pour la première des appareils IoT, les particuliers comme les
l’entreprise. Steven Babb et Kenneth Mory fois, veillez à ce que le mécanisme utilisé pour la organisations. « La sécurisation des appareils IoT
reconnaissent que les inventaires, s’ils existent, connexion soit crypté », dit-il. Il conseille par est une entreprise difficile et chronophage, mais
plutôt que de présenter une vision globale ailleurs de vérifier que le Cloud lui-même est elle est indispensable », poursuit Peter Jenkins.
sont probablement incomplets ou cloisonnés. sécurisé, que les hachages des mots de passe « Les fabricants de ces appareils disent le faire, et
Certains couvriront des appareils achetés par sont stockés loin de leur identification, et que bien le faire. Mais est-ce vraiment le cas ? Il
l’organisation mais ne mentionneront pas les données en provenance et à destination appartient aux auditeurs internes de leur en faire
ceux apportés par les salariés. des appareils sont cryptées. Il ajoute : « Des apporter la preuve ». 
mises à jour par radio de micrologiciels sont
Une fois que l’inventaire a fourni les informa- nécessaires pour que l’équipement soit toujours
tions nécessaires, les contrôles appropriés actualisé. Assurez-vous que ce processus est Jeane Seago, est une rédactrice
peuvent alors être mis en place. La société de effectué en toute sécurité ». commerciale et technique qui vit à Tulsa,
Corbin Del Carlo, Discover, fait de la protection dans l’Oklahoma
de son réseau un enjeu prioritaire. « Nous Maîtriser l'IoT
avons l’interdiction générale des appareils n’ap-
partenant pas à la société », dit-il. « Nous ne les Il semble impossible de discuter un tant soit
autorisons pas sur notre réseau. Nous fournis- peu de l’IoT sans en revenir aux risques qu’il
sons un réseau dédié aux « invités » qui peut être pose. Mais Jim Tully souligne que de très
utilisé pour la connexion de ces appareils, et nombreux appareils d’IoT sont déployés pour
Cet article du numéro d’août 2016 du magazine Internal
uniquement à l’Internet ». Discover installe la sécurité. Ils existent pour réduire les risques.
Auditor, publié par The Institute of Internal Auditors, Inc.,
également des logiciels de virtualisation sur « Prenez les capteurs structurels dans les ponts, www.theiia.org , a été traduit et réimprimé avec leur
les téléphones qu’elle fournit pour segmenter par exemple », remarque-t-il. « Ces capteurs permission.
les données, et s’est dotée d’un système de
défense périphérique rigoureux. Les ordina-
teurs portables sont cryptés et les données
peuvent être effacées à distance. Malgré tout, Publications
fait remarquer Corbin Del Carlo « chaque jour LISEZ « L’opportunité des objets » sur InternalAuditor.org pour savoir comment l’audit interne
ces contrôles bloquent des centaines d’exploits peut aider les organisations à identifier les avantages concurrentiels qu’elles peuvent retirer
de la part de pirates informatiques de différents de l’Internet des objets.
niveaux de sophistication. Mais sans une vigi-

14 4e trimestre 2016 — audit, risques & contrôle - n° 008


OUVERTURE SUR LE MONDE

L’auditeur face au
chantier du GDPR
(General Data Protection Regulation
ou Règlement sur la protection des données)
© robu_s- Fotolia.com

Un besoin d’adapter le programme d’audit interne


aux besoins de la nouvelle règlementation
Georges Ataya, Professeur à Solvay Brussels School of Economics L’entreprise qui détient les données possède
and Management et Associé gérant du cabinet de conseil ICT la charge de la gestion de leur intégrité ainsi
Control SA que celle de la détection de toute menace de
leur intégrité et confidentialité. En cas d’inci-
dent de compromission des données, l’entre-
prise devra notifier l’autorité compétente
dans les soixante-douze heures qui suivront
la découverte. Et dans des cas spécifiques
graves, elle devra aussi informer les individus
Le nouveau règlement européen approuvé fin 2015 sera en vigueur à partir de mai concernés.
Le règlement impose l’obtention de l’autori-
2018. Il est à craindre que les entreprises ne soient pas prêtes à temps même si elles sation des individus lorsque leurs données
commencent à se préparer dès à présent. privées seraient rassemblées ou traitées. La
Le GDPR est une évolution logique suite à la première initiative européenne de 1995 conservation des données ne devra pas
appelée « Directive sur la protection des données ». Elle a été suivie en 2012 par l’obli- dépasser les besoins raisonnables liés à leur
gation de notification des violations des données et en 2014 par le droit à l’oubli. utilisation. De même, l’entreprise devra
Présentant des enjeux et des amendes faramineuses pour les acteurs économiques permettre aux individus l’accès aux informa-
tions les concernant ainsi que la possibilité de
publics et privés, il impactera les activités d’audit et les processus de contrôle interne. répondre à leurs demandes de modifier ou
d’effacer ces données. Celles-ci ne pourront
être transférées en dehors de l’Union
Européenne que dans des cadres bien définis.
Obligations du GDPR échanges d’e-mails, de journaux d’activité, de De même, le traitement par des tiers, sous-
logs techniques ou bien encore de données traitants ou filiales, devra offrir les mêmes
Les données à protéger sont celles du person- de traçage géographique ou technique des garanties de confidentialité.
nel, des clients, des fournisseurs, des pros- visiteurs de sites web. Ces données devraient Les autorités de contrôle vont pouvoir infliger
pects ou autres qui se trouvent sur tout être sécurisées de manière à les protéger des amendes administratives à concurrence
ordinateur, serveur ou dispositif – nomade ou contre le vol ou tous risques de divulgation à de 20 millions d’euros ou de 4 % du chiffre
fixe – appartenant à l’entreprise. Il peut s’agir des tiers mettant en danger la vie privée des d’affaires annuel si ce montant est plus élevé.
au-delà des fiches signalétiques, de simples individus concernés.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 15


L’entreprise devra maîtriser à tout moment l’entreprise devront être adaptées. Les développement de nouvelles politiques et
l’inventaire des données dont elle dispose, exigences fonctionnelles des applications règles de travail (cinquième levier) et finale-
leur localisation, l’objet de leur collecte, le informatiques actuelles et celles des applica- ment celui du comportement des employés,
modèle de sécurisation, de stockage et de tions en construction devront être actualisées. des fournisseurs et même des clients, sont à
leur effacement. Pour prouver sa conformité Les exigences non fonctionnelles seront installer pour renforcer les contrôles utiles
à la directive, la société devra conserver les renforcées pour confirmer les protections, les (sixième levier). Le septième levier consiste en
documentations pertinentes de manière à garanties de service et la documentation des une définition des processus et des activités
rassurer les autorités de contrôle lorsque opérations (logs des activités et journaux des de confidentialité commune à l’entreprise.
nécessaire. incidents). Il ne sera certes pas aisé de réaliser cette mise
en place pourtant essentielle. Il est même à
Certaines entreprises devront désigner un Des modifications importantes du contrôle parier que pour des entreprises d’une certaine
délégué à la protection des données, ou Data interne seront nécessaires pour d’une part taille et d’une certaine inertie, les sept leviers
Protection Officer (DPO). Le responsable du réaliser la conformité et d’autre part pour que risquent d’être mis en place de manière
traitement et le sous-traitant désigneront cette conformité soit atteinte de manière séquentielle plutôt que simultanée, retardant
respectivement un délégué à la protection optimale en coût, en effort et en risque. du coup la date finale de la conformité effec-

«
tive.

Les sept leviers risquent d’être mis en place Besoins de sécurisation


de l’information
de manière séquentielle plutôt que
simultanée, retardant du coup la date La sécurité de l’information consistait dans le

finale de la conformité effective


des données dans des cas spécifiques. Ce sera
»
Les nouvelles règles actuelles de contrôle
passé en des activités techniques comme
l’installation de dispositifs de protection de
l’infrastructure et de logiciel technique. Pour
rappel, il s’agissait de pare-feu, de détecteurs
d’intrusion ainsi que de programmes de
le cas lorsque le traitement est effectué par interne devront être revues rapidement, déjà mises-à-jour automatiques de nouvelles
une autorité publique ou un organisme en 2016, pour que les chantiers puissent versions de systèmes d’exploitations et autres
public ; lorsque les activités exigent un suivi débuter et pour que l’entreprise puisse être programmes de middleware (intergiciel).
régulier et systématique à grande échelle des conforme au courant de l’année 2018.
personnes concernées et lorsque les activités Les risques ont bien évolué et les vulnérabili-
consistent en un traitement à grande échelle Le contrôle interne et sa maturité dépendent tés ne sont plus limitées à la couche tech-
de catégories particulières de données sensi- de leviers critiques. Si on se réfère à la défini- nique de l’infrastructure, notamment des
bles ou à caractère personnel relatives à des tion du cadre COBIT, on cite alors sept leviers : serveurs et des réseaux. Elle atteint rapide-
condamnations pénales ou à des infractions. le premier levier concerne la disponibilité des ment les couches les plus élevées puisque
La règlementation concerne tous les acteurs, systèmes, des applications et des services. Le qu’elles concernent actuellement les données
même ceux situés en dehors de l’union euro- deuxième levier concerne le personnel qui et les opérations essentielles à la poursuite
péenne dès qu’ils seraient amenés à traiter devrait pouvoir consentir à un effort impor- des activités.
des données appartenant à des individus tant face à ce changement en acquérant de
européens. Elle distingue les rôles de respon- nouvelles compétences. Le troisième levier Les trois catégories de risques les plus
sable du traitement et exécutant du traite- est relatif à l’organisation qui devra être modi- courants sont la continuité des opérations,
ment, ou sous-traitant ayant chacun leurs fiée pour intégrer ces adaptations. l’intégrité des données et de la confidentialité.
entières responsabilités. Les données D’autres leviers tels que la disponibilité de l’in- Ces deux dernières catégories sont les plus
nouvelles tels l’adresse IP, les données de formation de gestion (quatrième levier), le concernées par le GDPR.
géolocalisation et les identifiants techniques
sont formellement identifiées et font partie
des données considérées comme privées.

Modifications du contrôle LES RISQUES MAJEURS DE LA RÉGLEMENTATION GDPR


interne
La mise en place de la règlementation néces-
site une révision des contrôles internes et une Financier Opérationnel Réputation
mise en place des modifications nécessaires.
Il s’agit d’actions à quatre niveaux : le niveau Pénalités sur la base Mise en place pénalisant Détérioration de la
de la gouvernance et de l’organisation globale du revenu annuel d’autres activités confiance des clients
de la conformité ; le niveau des processus
fonctionnels et de leurs adaptations ; le niveau
des opérations et de la journalisation des trai-
tements et l’inventaire des données et des Extra-territorial Alignement
activités et finalement le niveau des solutions global
technologiques nécessaires. Au-delà des
Règles contradictoires
frontières de l’UE
Ces exigences de conformité nécessiteront des pays ou continents
des chantiers importants. Les méthodes de
travail de toutes les fonctions concernées de

16 4e trimestre 2016 — audit, risques & contrôle - n° 008


OUVERTURE SUR LE MONDE

LES 7 LEVIERS DE GOUVERNANCE INFORMATIQUE


2 3 4
Organisational Culture, Ethics
Process Structures and Behaviour

1
Principles, Policies and Frameworks

5 6 Services 7
People,
Information Applications Skills and
competencies
Infrastructure
Ressources

© Copyright ICTC.EU 2016, source COBIT

Plusieurs publications structurent l’entreprise  Activité 2 : L’analyse des risques (menaces, rançon et le chiffrage des données sont deve-
numérique en une couche architecturale avec vulnérabilités attaques possibles...) et le nus des cas très fréquents.
les composants suivants : infrastructure, appli- développement de plans d’amélioration
cations, services, information et processus pour la mitigation de ces risques. Il sera impératif de renforcer la capacité de
métiers.  Activité 3 : La mise en place de projets de défense nécessaire et suffisante pour assurer
protection qui concernent souvent les la conformité avec les nouvelles exigences de
La couche des applications semble actuelle- infrastructures, les applications, les données la règlementation GDPR. Parmi celles-ci citons
ment être la plus négligée en ce qui concerne et leurs gestionnaires fonctionnels dans l’or- les trois activités à ajouter aux quatre définies
ganisation. plus haut :
 Activité 5 : La détection rapide des inci-
les risques inhérents et les besoins en efforts
de sécurisation. La dette technique, c’est à dire  Activité 4 : Le développement des
la masse d’efforts nécessaires pour mettre les méthodes, de la communication et de la dents est déterminante pour réaliser une
applications critiques à un niveau acceptable gestion potentielle de crise en cas d’inci- défense efficace. Or, il n’est pas rare de
de sécurité, est souvent immense, comme dent. découvrir une attaque cyber criminelle
régulièrement rapporté par plusieurs études
spécialisées (par exemple : it-cisq.org/stan-
dards/technical-debt).
La couche applicative contient souvent des
failles non documentées, des imperfections
insérées naturellement par l’action humaine
« La couche applicative est la couche
architecturale la plus souvent négligée et
elle nécessite des efforts de sécurisation
»
qui continue à construire du logiciel en arti-
sanat parfois en oubliant les principes de base
de construction de logiciel. Le nouveau stan- immenses
dard ISO/IEC 27034 apporte à ce sujet des
méthodes formelles de sécurisation des appli- plusieurs jours, semaines, voire mois après
cations critiques. Ces quatre activités constituent le corps de son premier enclenchement. Les processus
connaissance de la certification CISM (Certified et activités de détection nécessitent d’une
La sécurité de l’information nécessite des acti- Information Security Manager que l’auteur a part un renforcement des protections tech-
vités sur toutes les couches architecturales. contribué à développer en 2002. Il existe niques et d’autre part l’adéquate conscien-
Parmi celles-ci citons-en quatre essentielles : actuellement plus de 25 000 professionnels tisation du personnel afin qu’il devienne le
 Activité 1 : La gouvernance de la sécurité certifiés dans le monde). premier vecteur de détection. Celui-ci
et la définition de sa responsabilité et de ses Les menaces liées à la cyber sécurité augmen- devra se familiariser avec tout indice inquié-
objectifs relatifs au GDPR. Il s’agit d’identifier tent d’année en année les exigences et les tant et reconnaitre les détecteurs d’anoma-
besoins de sécurisation. Les attaques contre lies et de signaux d’attaques.
 Activité 6 : La réponse appropriée aux
les informations, services et autres actifs à
protéger et définir les niveaux de protec- les données privées, la menace de publication
tion. de ces données sur Internet avec chantage de attaques est essentielle. Les premiers

n° 008 — audit, risques & contrôle — 4e trimestre 2016 17


OUVERTURE SUR LE MONDE

instants sont déterminants pour la gravité Les activités d’audit sans faire l’économie d’un plan d’audit adapté
de l’envahissement et des conséquences à la spécificité de l’entreprise. Ceci est d’autant
subies. Le personnel devra apprendre à agir Sur la base de ce qui précède, les activités plus important que la règlementation
de manière adéquate selon le type de l’at- d’audit sont essentielles pour donner une mentionne la « Protection des données dès la
taque. La direction devra éviter de commu- assurance sur les différentes étapes de mise conception » (Privacy By Design). Ceci signifie
niquer sur l’incident, que ce soit en interne en place de la conformité selon la règlemen- qu’en cas de conception de nouveaux traite-
ou en externe, de manière maladroite et tation GDPR. ments, l’entreprise doit intégrer la protection
irrécupérable. Une notification légale devra des données à caractère personnel dès le
parfois être préparée à l’avance et elle Lors de la phase de développement des début du processus. L’implication de l’audi-
dépendra du type d’intrusion. contrôles internes répondant aux risques, l’au- teur dans les activités de conception des
 Activité 7 : La récupération et le retour à dit interne devra maîtriser les éléments systèmes et de leurs architectures sera indis-
une situation normalisée consistent à plani- suivants : pensable.
fier déjà en avance et selon l’attaque, les  La définition d’une stratégie d’attaque et de La refonte de l’organisation de sécurité devra
dispositifs, les opérations, les modalités et l’implication de tous les acteurs concernés s’accompagner d’une évaluation des sept
les séquences nécessaires pour une remise par la directive. L’auditeur s’assurera que les activités de sécurité de l’information citées
à niveau saine. Des erreurs dans ce parcours différentes exigences et modalités de mise plus haut. Ceci comprend aussi l’analyse de
peuvent susciter plus de dommages que en place ont été attribuées à des décideurs l’adéquation des sept leviers.
ceux créés par l’attaque elle-même. au sein de l’entreprise. Il est nécessaire dès lors d’analyser la descrip-

« Les activités d’audit sont essentielles pour


donner une assurance sur les différentes
tion de fonction du DPO et évaluer sa capa-
cité à réaliser ce qu’on attend de cette
fonction.
Le processeur des données et ses sous-trai-

étapes de mise en place de la conformité


Il faudra s’assurer que des activités fonction-
»
 L’existence d’une feuille de route détaillée
tants éventuels doivent déclarer toute viola-
tion de données à caractère personnel dans
les meilleurs délais après en avoir pris connais-
sance. L’audit des activités opérationnelles y
compris celles des sous-traitants et de leurs
nelles seront réalisées tels un cadre légal, des et une gestion de la conformité en tant que risques devient une activité importante à
principes de protection de la confidentialité ; programme intégré. Celui-ci devra recevoir ajouter aux plans d’audits annuels.
des rôles et des responsabilités ; une gestion la visibilité nécessaire et disposer d’un plan-
du cycle de vie des données ; des processus ning raisonnable vers l’horizon 2018 ainsi L’auditeur est un acteur important pour la
adaptés aux concepts de confidentialité ; une que d’un budget adapté. réussite d’une mise en place de la conformité
classification des données ; une labellisation  La réalisation d’une analyse des contrôles GDPR. 
de l’information ; une sécurité des bases de internes nouveaux et nécessaires à la
données physiques et logiques et finalement conformité.
une méthodologie de protection contre les P. S. : Source du texte original du règlement GDPR :
fuites des données (Data Leakage). Lors de la phase de mise en place, Il devra http://ec.europa.eu/justice/data-
développer son plan d’audit et ses missions protection/reform/files/regulation_oj_en.pdf

18 4e trimestre 2016 — audit, risques & contrôle - n° 008


RENCONTRE AVEC ...

La Data Science
pour un assureur,
c’est le cœur de son
métier de demain
Jacques Richier, Président d’Allianz France

Trois grands sujets d’actualité


Louis Vaurs : Je voudrais en premier lieu, Monsieur le Président,
avoir votre opinion sur trois grands sujets d’actualité.
Le Brexit peut-il permettre à la Place de Paris de devenir
demain, pour l’assurance, ce que la Place de Londres est
aujourd’hui pour la banque ?

Jacques Richier : La question est justifiée ! En effet, le Brexit


est en quelque sorte l’accélérateur d’une évolution préexis-
tante, qui a vu Francfort prendre le leadership sur la régu-
lation bancaire européenne. Si l’Union Euro-péenne n’a
pas encore proposé quelque chose de similaire pour le
secteur de l’assurance, il paraît sensé de s’y préparer. Paris
serait un lieu possible pour accueillir une nouvelle
instance de ce type, surtout depuis le Brexit. Mais
Francfort reste une vraie possibilité concurrente.

L. V. : Bâle 2 n’a pas empêché les difficultés du secteur


bancaire, avec récemment les difficultés de la
Deutsche Bank et des banques italiennes. Pourrait-
on connaître ce type de problème dans l'Assurance,
et ce malgré la mise en place de Solvabilité 2 ?

J. R. : Le fait de traverser des périodes de difficulté


fait partie de la vie des entreprises, de leur cycle
de vie. À ce sujet, il me semble que Bâle 2 a
permis d’alerter les acteurs bancaires suffisam-
ment tôt, notamment via des tests de sensibilité
(je pense à des acteurs bancaires allemands ou
italiens par exemple). Ceux-ci leur ont permis de
prendre des mesures. C’est la raison pour
laquelle j’estime qu’il faut faire la différence
entre « traverser des difficultés » et « ne pas
savoir les surmonter ». Bâle 2 comme
Solvabilité 2 sont là pour prévoir et mettre en
place des solutions pour surmonter les diffi-
cultés.

L. V. : La conformité prend de plus en plus de


place dans votre métier : pensez-vous que
l'on soit allé trop loin ?

n° 008 — audit, risques & contrôle — 4e trimestre 2016 19


RENCONTRE AVEC ...

Leader européen de l'assurance et des services


financiers, Allianz propose une offre complète
qui couvre tous les besoins en assurance,
assistance et services financiers des particu-
liers, professionnels, entreprises et collec-
tivités. Avec 147 000 salariés dans le
monde, Allianz est présent dans 70 pays,
au service de 85 millions de clients.

Assureur généraliste, spécialiste du


patrimoine, de la protection sociale,
Allianz France s'appuie sur la
richesse de son expertise et le
dynamisme de ses 10 500 colla-
borateurs en France. Près de
7 000 intermédiaires commer-
ciaux, Agents, conseillers,
courtiers, partenaires sont
présents pour apporter
un conseil de qualité aux
5 millions de clients qui
font confiance à
Allianz France.
© Allianz France

20 4e trimestre 2016 — audit, risques & contrôle - n° 008


RENCONTRE AVEC ...

J. R. : Je ne sais pas si l’on est allé trends, les nouvelles solutions qui assureur, avec un rôle accru des Il doit être regardé et expéri-
trop loin… mais je sais que ce naissent, plutôt que de vouloir les services. menté sur des portions de la
n’est pas fini ! inventer nous-mêmes. Cette chaîne de valeur. Plutôt que de le
« capacité à discerner » sera sans L’objet connecté par définition, voir comme LA solution de l’assu-
L’impact du numérique doute plus importante que la c’est la voiture, qui est déjà rance, je pense qu’il faut le voir
« capacité à faire soi-même. » connectée aujourd’hui. A travers comme une solution parmi d’au-
L. V. : Venons-en à présent au nos initiatives récentes (partena- tres, qui s’offrira à nous dans la
numérique. L. V. : Est-ce la fin progressive des riat avec Tom-Tom, etc.), nous mise en œuvre d’une sécurisa-
Allianz France semble avoir réseaux physiques (agents sala- sommes entrés dans cette assu- tion et optimisation de nos
amorcé le virage du numérique riés, généraux, courtiers …) ou le rance qui répond à une processus.
avant beaucoup d’autres. Quel début de leur mutation ? demande d’individualisation du
regard portez-vous sur la loi suivi, des tarifs, tout en faisant L. V. : Que peut-on attendre à
récente pour une République J. R. : Non, à mes yeux, il n’y a pas évoluer l’état de l’art de la tech- court et moyen terme des tech-
numérique ? de fin aux réseaux physiques. nique assurantielle vers la prise nologies liées à l’Intelligence
Poser les choses ainsi serait en compte du comportement Artificielle, au Big data ou aux
J. R. : Cette loi ne fait que confor- réducteur : je ne pense pas qu’il individuel dans l’assurance du robots-advisors ?
ter notre choix de poursuivre faille penser « substitution ». Je risque.
avec énergie et ambition la digi- vois plutôt le monde comme J. R. : L’explosion des données
talisation de notre entreprise. étant en expansion, et cela Comme le formule François liées au digital et aux objets
nécessite en revanche une muta- Nédey, notre Directeur technique connectés, mais aussi les solu-
L. V. : C’est quoi, être « digital tion, une adaptation des réseaux des assurances de biens et de tions techniques de traitement
ready », pour un assureur ? physiques. responsabilité civile, ce qui de ces données dans leur diver-
devient important, ce n’est plus sité sont un des enjeux de notre
J. R. : Etre « digital ready » pour un L. V. : Les objets connectés et ce que je « suis », mais ce que je profession. Sur des tâches répéti-
assureur, cela recouvre trois l’assurance : Est-ce la fin de la « fais ». tives ou bien normées, l’analyse
choses à mes yeux : 1- permettre mutualisation du risque telle des données associée à l’intelli-
une expérience clients remarqua- qu’on la connait ? Nouvelles Cette voiture connectée, elle est gence artificielle (au machine
ble, 2- prendre en compte les segmentations et offres clientèle de plus en plus autonome. Elle learning, plus précisément)
nouveaux usages issus du digital, (voiture connectée, domotique est « semi-autonome » pour l’ins- constitue une des évolutions
et 3- vivre avec son temps.

L. V. : Quels sont les domaines de


l’assurance qui subissent le plus « Il faut apprendre à travailler avec les nouveaux acteurs
issus des fintechs et du monde digital en général car
»
la transformation digitale ?

J. R. : En termes de marchés, on nous sommes dans une époque très créative


pense spontanément à celui des
particuliers, mais si on choisit de
prendre le digital dans son et impact sur la sinistralité et les tant, mais potentiellement, le majeures des prochaines années
acception plus large, en y primes en auto et MRH ..., assurés développement du véhicule dans l’assurance.
incluant les objets connectés et connectés / paramètres biomé- autonome nous met en situation
l’analyse des données, on voit triques et impact sur le risque de disruption sur le marché de En termes d’efficacité opération-
que le risque entreprises sera très santé prévoyance ...) ? l’assurance auto. C’est une disrup- nelle, l’assurance est une bonne
présent car très connecté. En tout Quid des responsabilités en cas tion lente, mais à effet certain. candidate en effet pour l’intelli-
état de cause, les parcours clients de sinistre, par exemple ? Avec par exemple, la question de gence artificielle et les robots-
qui ne seraient pas digitalisés la responsabilité qui va évoluer, advisors.
nous mettraient en difficulté. J. R. : Ce ne sont pas les objets avec un transfert de la responsa-
connectés qui créent la fin de la bilité du conducteur vers le L. V. : Comment le big data peut-
L. V. : Quels développements mutualisation telle que vous l’ex- constructeur, l’équipementier, les il permettre de mieux évaluer la
parallèles ou de concert avec de primez. Ce sont plutôt les fabricants de capteurs. Ce qui est connaissance des clients/risques
nouveaux acteurs (Fintech, nouveaux usages de consomma- certain, c’est un cycle nouveau (fraude, catastrophes naturelles) ?
modèles disruptifs, start-up en tion qui pourraient conduire à qu’entame l’assurance automo-
fort développement, opérateurs cela, notamment le besoin de bile ! J. R. : L’objet de la data science est
internet et du numérique …) ? reconnaissance individuelle. de connaître davantage, d’ap-
L. V. : La « Blockchain » (stockage prendre davantage, et de
J. R. : Il faut apprendre à travailler Les objets connectés peuvent décentralisé et transmission permettre de meilleures gestions
avec les nouveaux acteurs issus permettre d’accéder à davantage sécurisée d’information) est-elle prédictives, que ce soit en termes
des fintechs et du monde digital d’information, facilitant cette une révolution attendue (exécu- de comportements, de profils de
en général car nous sommes demande de personnalisation de tion des contrats, offres de risques, dont la fraude, ou de
dans une époque très créative, l’offre. Mais les objets connectés services, nouvelles concurrences, propensions à acheter des
où la vitesse de changement est peuvent aussi être source de lutte anti-fraude ...) ? services et produits ou à les
très grande. Aussi, il est très prévention, d’amélioration du consommer. La data science, pour
important de développer de risque, en encourageant les bons J. R. : C’est un sujet qui interpelle un assureur, c’est le cœur de son
bons capteurs, de discerner les comportements. Ils créent une car il est révolutionnaire dans sa métier de demain.
futurs modèles, les nouveaux relation plus forte entre assuré et conception et sa mise en œuvre.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 21


RENCONTRE AVEC ...

L. V. : Comment sont pris en  sur les réseaux sociaux, pour communication de ses tée de la fonction.
compte les aspects humains liés apprendre à répondre au équipes. La proximité avec le Comité
à la transformation digitale ? rythme des internautes, en  L’autre tendance est la diversité exécutif est importante pour
temps réel ; des défis. Par exemple : rester en phase avec les ambi-
J. R. : Les aspects humains de la  sur les aspects juridiques et de - s’adapter à un environne- tions et le fonctionnement de
transformation digitale, c’est à la conformité, l’enjeu est moins la ment digital, en comprenant l’entreprise. Elle permet une veille
fois une demande du consom- veille que la mise à niveau des bien les nouveaux risques précieuse pour l’élaboration d’un
mateur et de l’employé. Je crois outils et des processus. C’est associés mais en cherchant plan d’audit : le choix des sujets
que la question générationnelle pourquoi nous réservons une aussi les nouvelles opportu- audités devient un moyen de
se posera de moins en moins. part significative de nos inves- nités de méthodes de donner un éclairage prospectif
Chez Allianz, nous avons mis en tissements informatiques à la contrôles offertes par les sur les risques qui jalonnent le
place de nombreux programmes, mise à niveau de nos systèmes impressionnantes quantités chemin que souhaite parcourir
showrooms digitaux, e-learning, de production. de données désormais l’entreprise. À ce titre on peut
digital sessions, etc., pour disponibles ; parler d’aide à la prise de déci-
montrer que nous sommes L. V. : Pour l’audit interne quels - pousser à trouver le juste sion. Il faut de la place dans un
entrés dans la « digital-readiness » sont les nouveaux défis à rele- niveau de contrôle des plan d’audit pour de tels sujets,
que vous évoquiez tout à l’heure. ver ? Quel est l’impact sur le profil services externalisés ou délé- mais cela doit être un complé-
En même temps, cela permet de de l’auditeur interne ? gués pour en garder la pleine ment aux missions d’assurance
rendre le monde du digital acces- maîtrise. pure que j’attends de l’audit
sible, au sens le plus vaste possi- J. R. : Plusieurs facteurs ont un interne.
ble. Pour équilibrer notre impact sur le profil des auditeurs Pour répondre à ces défis de
pyramide des âges, nos internes : nature très variée, la diversité des L. V. : Quelles relations doit avoir
embauches privilégient la géné-  D’abord la maturité du profils doit être privilégiée au sein votre directeur de l’audit interne
ration Y/Z, qui est favorable à système de gouvernance et de des équipes d’audit. avec le Comité d’audit ?
cette transformation. contrôle interne. Plus l’entre-
prise est mature, plus l’auditeur Les nouveaux défis J. R. : Pour qu’un Comité d’audit
La maîtrise des risques doit être capable d’être dans pour les auditeurs joue pleinement son rôle, la
l’anticipation pour pousser internes transparence et la mesure sont
L. V. : Pour terminer, je souhaite- l’entreprise à s’adapter aux capitales : un directeur de l’audit
rais connaître votre point de vue risques de demain. L. V. : Qu’attendez-vous de votre doit avant tout délivrer une infor-
sur la maîtrise des nouveaux Dans les zones où la maturité direction de l’audit interne : mation fiable, complète et
risques et le rôle de l’audit interne est moindre, l’audit interne a qu’elle soit le garant d’un bon proportionnée au Comité d’audit.
dans un monde digitalisé. aussi un rôle à jouer pour diffu- contrôle interne ? Ou qu’elle soit Il doit être dans l’écoute, passer
Quelle vigilance faut-il avoir face ser la culture des risques. Cela un outil d’aide à la prise de déci- du temps, y compris en dehors
aux nouveaux risques notam- implique que les auditeurs sion au service de vous-même et des réunions formelles, à
ment juridique / conformité / disposent de qualités relation- de votre Comité exécutif ? comprendre ce que sont les
sécurité / réputation ? nelles qui amènent les audités points d’attention du Comité
à poser un regard neuf sur leur J. R. : Ce que j’attends de l’audit d’audit, les attentes précises. Et il
J. R. : Par essence, la vigilance est façon de maîtriser leur activité interne, c’est d’abord qu’il puisse doit adapter sa communication
dans les gènes des métiers de au quotidien et à réfléchir aux donner des assurances : sur les aux attentes exprimées. Enfin, au-
l’assurance puisqu’il s’agit de risques associés. processus de gouvernance, de delà d’un rapport sur chacune
gérer des risques. Nos équipes Allianz encourage le feedback gestion des risques et de des missions d’audit, il doit oser
ont développé de vrais savoir- à tous les niveaux, considérant contrôle de l’organisation. C’est sa la synthèse, fournir une vision
faire. que le feedback est une forme mission première, qui doit s’exer- d’ensemble.
A titre d’exemple, sur le marché de cadeau. L’audit étant une cer dans des conditions d’objec-
des entreprises, nos équipes forme de feedback, son effica- tivité et d’indépendance immua- L. V. : Merci Monsieur le
incluent des ingénieurs préven- cité repose sur les talents de bles ; c’est le cœur de valeur ajou- Président. 
tionnistes, qui interviennent
avant que ne se produise un
sinistre, pour conseiller et orien-
ter les actions des chefs d’entre-
prise et les aider à protéger leurs
actifs et leurs outils de produc-
tion.
Notre vigilance est donc perma-
nente ; nous assurons une veille
particulièrement active :
 face aux risques cyber, avec
des tests grandeur nature que
nous organisons pour nous
entraîner à réagir en cas d’at-
taque. Cette vigilance nous
l’avons aussi pour bâtir des
offres à proposer à nos clients
face à ce risque ;

22 4e trimestre 2016 — audit, risques & contrôle - n° 008


DOSSIER

L’AUDIT INTERNE ET
LE NUMÉRIQUE
Panorama des enjeux

24 Les nouveaux usages du numérique :


Panorama des enjeux

28 Qualité des données


Un bricolage méthodique

32 Etat des lieux de l’utilisation de l’analyse


de données au sein de l’audit interne

36 Détection et prévention des fraudes


L’essor du Machine Learning

38 La DataViz
Retour d’expérience

Valeur ajoutée de l’audit dans un monde


40 numérique
Quelles compétences pour demain ?
© iconimage - Fotolia.com

n° 008 — audit, risques & contrôle — 4e trimestre 2016 23


L’AUDIT INTERNE ET LE NUMÉRIQUE

Les nouveaux usages du numérique :


Panorama des enjeux
Matthieu Sénéchal, Directeur R&D, Ville connectée : repenser la ville
Robin’Finance
On parle beaucoup de ville connectée, mais à quoi fait-on référence ?
Une ville peut être envisagée comme un empilement de couches
répondant chacune à des besoins spécifiques. Ainsi les couches les
plus profondes répondent aux besoins énergétiques et d’alimentation
en eau, puis viennent les couches de transport en commun souter-
raines, les couches de transport d’information (fibres optiques et télé-
Nous évoluons dorénavant dans un monde de villes connectées communications filaires), les couches de mobilité (routes, trottoirs), les
(smart cities), de données massives (big data), d’apprentissage couches d’habitation, les couches de communication sans fil
automatique (machine learning), de réseaux de neurones (antennes relais) [1].
© iconimage - Fotolia.com

(neural networks)...
Nous allons essayer d’approcher, bien modestement ici, car L’idée actuelle de la ville connectée est que chacune des couches
plusieurs livres n’y suffiraient pas, en quoi cela va changer nos fondamentales génère de l’information (des données) qui peut être
exploitée pour optimiser son fonctionnement. Mais encore plus, les
vies, celles des entreprises et le métier d’audit.
couches sont poreuses entre elles, et peuvent donc générer des infor-

24 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

mations liées, conduisant à leur optimisation Un rapport de la DNI (services secrets améri- Ces objets génèrent d’importantes quantités
systémique. cains) datant de 2015 présente ainsi la ques- de données que les usagers suivent et utili-
L’objectif est d’arriver à un système en grilles tion [9][10] : « Le débat public sur le risque sent pour se fixer des objectifs et influer sur
intelligentes1 (smart grids), où chaque nœud informatique a jusqu’ici mis l'accent sur la leurs comportements. Partant d’un mouve-
de la grille a une capacité propre de généra- confidentialité et la disponibilité de l'informa- ment individualiste de mesures de « perfor-
tion de données. Pour prendre un exemple tion ; le cyber-espionnage menace la confi- mance », des acteurs liés à la santé ont
concret : afin d’optimiser le service de ramas- dentialité des données, et les attaques par rapidement compris l’intérêt que ces objets
sage des ordures, on peut imaginer concevoir déni de service minent la disponibilité. À l'ave- pouvaient avoir pour eux. Ainsi une mutuelle
des poubelles incluant un capteur et remon- nir, nous pourrions voir apparaître davantage américaine a proposé à ses entreprises
tant des informations utiles pour planifier le d’opérations fondées sur la manipulation de clientes de fournir des podomètres à leurs
ramassage. l'information électronique afin de compro- employés. Ceux marchant plus de 11 000 pas
L’utilisation de capteurs connectés fait émer- mettre son intégrité (c’est-à-dire son exacti- par jour avaient alors droit à un rabais sur leurs
ger ce que l’on nomme l’Internet des objets. tude et sa fiabilité) et non pas pour la cotisations. Cette idée a depuis largement été
supprimer ou en restreindre l’accès. Les déci- reprise par des compagnies françaises [12].
Internet des objets : sions des hauts fonctionnaires (civils et mili- Ces usages soulèvent évidemment de
la nouvelle frontière ? taires), des dirigeants d'entreprises, des nombreuses questions, notamment sur leur
investisseurs et bien d'autres seront compro- intrusion dans la vie privée des individus.
L’Internet des objets (ou Internet of things, IoT) mises si ceux-ci ne peuvent pas avoir pleine-
est considéré comme la troisième évolution ment confiance dans les informations dont ils La génération de données dans le secteur de
d’Internet qui était jusqu’à présent une sphère disposent ». la santé ne se limite cependant pas à
fermée, relativement déconnectée du monde Le rapport poursuit ainsi : « Le futur du pira- quelques objets gadgets. Les appareils large-
physique. Il s’agit dorénavant de connecter tage réside probablement dans la corruption ment répandus dans les milieux hospitaliers
sur Internet des appareils qui captent et trai- de données, dans le but de compromettre sont des producteurs massifs de données
tent des informations, créant ainsi un lien leur intégrité. Des données non fiables depuis très longtemps. C’est par exemple le

«
entre monde physique et monde virtuel.
Cette idée n’est pas nouvelle, puisque le
premier grille-pain connecté à Internet (vous Le « Deep learning » est une extension des réseaux
avez bien lu) fut présenté à la conférence de neurones dans laquelle on augmente considérablement
Interop de 1989 [5]. Ce qui est nouveau est
le nombre de couches de traitement, pour leur permette de
l'impressionnante quantité d’objets (selon
Gartner, 5,5 millions d’objets sont nouvelle- traiter des problèmes complexes
»
© EMOTION - TOTAL

ment connectés chaque jour en 2016) qui se


retrouvent connectés à Internet, générant des
volumes toujours plus conséquents de risquent de perturber la prise de décision, de cas des moniteurs cardiaques et des oxymè-
données, qui doivent être stockées, traitées et réduire la confiance dans les systèmes infor- tres de pouls (mesure du taux d’oxygène dans
diffusées. Le traitement en temps réel de matiques, ou de provoquer des effets le sang) qui fonctionnent en continu.
volumes massifs correspond à ce qui est physiques délétères ».
appelé le big data. Big data et machine learning :
L’Internet des objets est donc riche en possi- un amour sans limites
Les usages sont nombreux, allant de la vie bilités mais recèle également de nombreux
quotidienne aux différents secteurs d’activité risques dont certains restent à identifier. Ces quantités massives de données forment
économiques [7]. Ainsi des réfrigérateurs ce que l’on appelle, en ce moment, le big data
peuvent automatiquement générer des listes Santé et données : [13]. Le big data correspond à des volumes de
de courses en fonction de l’évolution de leur l’alliance parfaite ? données trop importants pour pouvoir être
contenu, des systèmes domotiques peuvent traités par des outils classiques de gestion de
régler des scénarios énergétiques en fonction L’apparition de petits objets connectés a données. Avec le big data, tout change, les
des habitants et des conditions extérieures. poussé au développement d’une nouvelle méthodes habituelles pour stocker, traiter,
Dans les entreprises, les objets connectés pratique : le quantified self. Le quantified self est analyser et visualiser les informations
entrent pleinement dans la transformation de l’utilisation d’outils et d’objets de tracking par évoluent. Les véritables implications pour les
la chaîne de production de valeur. Ces objets des individus pour suivre leur activité (dépla- entreprises ne sont pas encore connues, mais
permettent par exemple de suivre une palette cements, activité physique, nourriture, etc.), les traitements appliqués à d’importants
dans un entrepôt, ou de connaître en temps leur état (température, rythme cardiaque, etc.) volumes d’information pourraient permettre
réel l’état de la chaîne de production. Cette et effectuer des mesures sur leur environne- des modifications significatives dans tous les
évolution est d’une importance comparable ment (mesures de pollution notamment) [11]. secteurs d’activité et dans tous les champs
à ce que furent le Taylorisme et le Toyotisme. Des applications mobiles et des objets de d’expertise, de la gestion des risques à l’expé-
Ces évolutions apportent des améliorations tracking (principalement des bracelets inté- rience client.
conséquentes au processus de production grant des capteurs) sont largement utilisés
mais créent également de nouvelles vulnéra- pour ce faire.
bilités. Le risque de piratage devient ainsi
majeur dans des processus industriels qui n’y
1 Les grilles intelligentes amènent au concept de smart cities dont il faut noter qu’il n’est pas seulement technologique comme la ville connectée mais
étaient auparavant pas exposés [8]. aussi citoyen, nécessitant l’implication particulière des habitants dans un système de gestion démocratique de la ville.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 25


L’AUDIT INTERNE ET LE NUMÉRIQUE

Un rapport de recherche de Gartner de 2001 Dans un réseau de neurones artificiel, les des réseaux de neurones, dans laquelle on
avait déjà défini les trois caractéristiques et neurones sont regroupés dans des couches. augmente considérablement le nombre de
enjeux liés au big data [14] : le volume, la vélo- Chaque couche de neurones reçoit les couches de traitement, pour leur permettre
cité et la variété. Ces données ne sont géné- signaux provenant de la couche précédente de traiter des problèmes complexes.
ralement que semi-structurées, voire non et envoie un ensemble de signaux à la couche
structurées ; ce sont des textes libres ou des suivante, et ainsi de suite jusqu’à la couche de Evolution numérique :
images ; elles doivent être traitées rapide- sortie. quels impacts pour l’entreprise ?
ment ; elles présentent souvent des liens
entre elles. Afin d’être opérant, le réseau de neurones doit Les technologies apportées par le big data et
L’analyse des données massives pour en avoir été calibré au préalable sur de le machine learning permettent de nouveaux
extraire de l’information est un enjeu à part nombreuses observations (d’autant plus usages qui s’inscrivent dans la lignée de ce
entière. Le machine learning (ou apprentissage nombreuses qu’on augmente le nombre de qu’Internet a initié. Grâce au CRM (customer
automatique) est un des sous-champs couches et le nombre de neurones). Pour ce relationship manager), l’entreprise dispose
d’étude de l’intelligence artificielle. Il concerne faire, le réseau de neurones apprend les carac- d’un grand nombre d’informations sur ses
le développement et l’étude de méthodes téristiques d’entrée liées à une sortie préala- clients. Avec un peu d’analyse, elle sera rapi-
permettant à des machines d’apprendre et blement déterminée, lors du processus de dement en mesure de prévoir les futurs
d’évoluer à partir de jeux de données afin de calibration. Sur la base de son apprentissage, achats de ses clients, d’anticiper les motifs de
réaliser des tâches complexes. Dans cette il sera ensuite en mesure de généraliser ses mécontentement et même de trouver une
revue, un article est consacré à l’établissement observations afin de détecter des signaux solution avant qu’il y ait un problème. Les
d’un modèle prédictif sur les cas de fraude par correspondant aux sorties déjà rencontrées. processus industriels bénéficient aussi de ces
le machine learning. technologies. En intégrant des capteurs intel-
Le terme de deep learning est employé de ligents à différents endroits de la chaîne de
Une autre utilisation du machine learning est manière récurrente dans les média actuelle- production, les sociétés sont en mesure de
le diagnostic médical. Comme nous l’avons vu ment [16]. Les journaux le présentent comme détecter en temps réel les dysfonctionne-
précédemment, les instruments médicaux la révolution des machines intelligentes, capa- ments, d’optimiser leurs processus, et de ne
permettent de mesurer de nombreux para- bles de battre le meilleur joueur mondial de réparer que les machines qui en ont besoin,
mètres physiques. Sur cette base, un réseau Go [17], ou encore de créer des œuvres artis- optimisant l’utilité des recours aux opérateurs
de neurones pourra par exemple détecter des tiques [18]. Le deep learning est une extension de maintenance.
signaux cardiaques indiquant une maladie. Ce
diagnostic sera établi grâce à l’apprentissage Aux États-Unis, la notation des demandeurs
que l’on aura fait subir au réseau. Pour cela, on de prêts est fréquemment réalisée par des
lui aura au préalable présenté de nombreux prestataires des banques. Une pratique de
signaux cardiaques en lui indiquant à plus en plus répandue parmi ces pres-
quel diagnostic ils correspondent, ce tataires consiste à récolter un maxi-
que l’on appelle un apprentissage mum de données sur les
supervisé. Le réseau de neurones demandeurs de prêts, en fouillant
aura pu établir une carte des carac- Internet et les réseaux sociaux. Les
téristiques des signaux pour informations collectées sont alors
chacune des maladies qu’on lui utilisées pour donner une note à
aura présentées. Se basant sur les chaque demandeur, afin de déter-
ressemblances entre ces caracté- miner si un prêt lui sera accordé et
ristiques apprises et celles obser- à quel taux [23].
vées lors d’une nouvelle analyse, il
pourra réaliser un diagnostic. Nouveaux usages :
nouveaux risques
Comment fonctionne un
réseau de neurones ? Il est assez aisé d’imaginer les dérives
potentielles de ce système, la moin-
Leur fonctionnement est directement dre trace numérique laissée par un indi-
inspiré de celui des neurones biolo- vidu ayant des conséquences bien
giques. Un neurone a plusieurs entrées, un réelles dans sa vie. Internet n’oublie rien.
cœur et une sortie. En fonction des signaux
reçus en entrées, le cœur d’un neurone va Mais ce n’est pas le seul problème. Comment
envoyer ou non un signal par la sortie, signal s’assurer que l’algorithme qui nous note, qui
qui constituera une des entrées du neurone analyse notre état de santé, qui pilote le trafic,
suivant, ce qu’on appelle une connexion qui décide de la mise en détention préven-
synaptique. A chaque connexion synaptique tive, etc. a été correctement réalisé ? Qu’il fait
est associée un poids synaptique, qui quanti- bien son travail ?
fie l’importance de la connexion. Ce sont ces
poids synaptiques qui seront fixés lors de la Auparavant, les banquiers se reposaient sur
calibration du réseau de neurones. des informations financières simples d’un
client afin de prendre leur décision.

26 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

Désormais, la décision est prise par un algo- traiter de vastes volumes de données pour en Bibliographie
rithme croisant des dizaines, si ce n’est des tirer des conclusions et structurer l’informa-
centaines de sources d’information diffé- tion a un intérêt pratique pour l’audit. 1. http://www.smartcity-
rentes. Comment une banque garde-t-elle la Pour illustrer l’audit d’un processus, nous planning.co.jp/en/approach/
maîtrise de son processus de décision dans ce allons aborder un exemple pratique. Les 2. http://www.forbes.com/sites/oreillyme-
cas ? Par ailleurs, un banquier sait lire des systèmes de notation des banques à l’origine dia/2014/01/08/the-emergence-of-the-
données financières, mais ce n’est pas a priori de l’attribution de prêts s’appuient sur des connected-city/#4e86c7e4ebcb
son travail ni sa compétence d’évaluer des analyses statistiques. Ces traitements s’auto- 3. http://www.metropolitiques.eu/
algorithmes. Nous nous retrouvons face à une matisent de plus en plus, avec comme abou- Chicago-une-pensee-de-la-ville-en.html
boîte noire qui va définir l’exposition au risque tissement à terme un processus totalement 4. https://www.theguardian.com/techno-
du portefeuille de prêts d’une banque. automatisé. Un client pourra ainsi faire une logy/2015/may/06/what-is-the-Internet-
demande de prêts directement depuis le site of-things-google
Comme nous l’avons évoqué précédemment, Web de sa banque, celle-ci lui donnant une 5. http://www.livinginternet.com/i/
il existe un risque de déformation de l’infor- réponse incluant le taux et les modalités ia_myths_toast.htm
mation utilisée pour la prise de décision. De proposées de manière totalement automa- 6. http://www.gartner.com/newsroom/
plus, il existe aussi un risque dans les méca- tique. Dès lors, comment les auditeurs analy- id/3165317
nismes mêmes de prise de décision lorsque sant ce processus peuvent-ils s’assurer de la 7. http://www.strategie.gouv.fr/publica-
ceux-ci sont automatisés. pertinence de la prise de décision par le tions/demain-linternet-objets
système ? (nous excluons ici les systèmes 8. http://motherboard.vice.com/fr/read/il-
faut-proteger-Internet-contre-linternet-

« Comment s’assurer que l’algorithme qui nous


note, qui analyse notre état de santé, qui pilote
9.
des-objets
http://motherboard.vice.com/fr/read/
avec-linternet-des-objets-nous-sommes-a-
laube-dune-veritable-
catastrophe?trk_source=recommended
le trafic… a été correctement réalisé ? Qu’il fait
bien son travail ? » 10.

11.
https://www.dni.gov/files/documents/
Unclassified_2015_ATA_SFR_-
_SASC_FINAL.pdf
https://www.cnil.fr/fr/quantified-self-m-
sante-le-corps-est-il-un-nouvel-objet-
Les entreprises vont se transformer, plus rapi- simples pour lesquels les décisions se basent connecte
dement que nous l’imaginons. Des processus sur des arbres avec des seuils, mais unique- 12. http://www.usine-digitale.fr/article/assu-
décisionnels entiers n’auront pas besoin d’in- ment sur les systèmes complexes sous forme rance-et-objets-connectes-les-liaisons-
tervention humaine pour fonctionner. de quasi boîte noire, ceux-ci représentant dangereuses.N387209
Cependant, seule une poignée d’individus l’évolution actuelle du métier de prêteur). Il 13. https://www-01.ibm.com/software/
maîtrisera le fonctionnement des algorithmes leur sera nécessaire de pouvoir analyser le fr/data/bigdata/
à l’origine des décisions. Moins évident fonctionnement de l’algorithme de décision 14. http://blogs.gartner.com/doug-
encore, lorsque plusieurs briques de décision (non seulement au niveau de sa conception laney/files/2012/01/ad949-3D-Data-
s’enchevêtreront, même les experts auront de « théorique », mais encore au niveau de son Management-Controlling-Data-Volume-
grandes difficultés à décortiquer ces systèmes implémentation dans le système d’informa- Velocity-and-Variety.pdf
complexes. tion), ceci requérant des compétences spéci- 15. https://www.laposte.fr/chp/
fiques. Nous n’abordons ici qu’un exemple, mediasPdf/anniv/anniv_8.pdf
Nouvelles compétences pour mais les questions sont illimitées : qu’en est-il 16. http://www.lemonde.fr/pixels/article/
une approche durable de l’audit dans le cas d’un parcours client d’un site 2015/07/24/comment-le-deep-learning-
marchand ? D’un processus industriel régi par revolutionne-l-intelligence-
Le travail d’audit consiste précisément à des optimisations en temps réel basées sur du artificielle_4695929_4408996.html
descendre dans les processus de fonctionne- machine learning ? 17. http://www.numerama.com/
ment des structures. Pour le moment, ce Nous comprenons ainsi aisément que de sciences/183295-alphago-devient-
travail repose sur des procédures écrites, des nouvelles compétences seront à intégrer aux joueur-mieux-classe-monde.html
entretiens avec des membres de la structure, équipes d’audit afin de faire face à ces 18. http://www.numerama.com/pop-
du travail sur pièces. Mais lorsque le proces- nouveaux besoins. culture/149889-avec-google-meme-les-
artistes-sont-remplaces-par-des-machine
sus n’intègre plus de facteur humain,
s.html
comment l’auditer ? Tout comme les audits Ceci apporte également un bénéfice aux
19. https://www.auditsi.eu/?page_ id=2119
internes ont construit des pôles de compé- équipes d’audit, car par nature les entreprises
tences informatiques lorsque l’informatique sont d’importants producteurs de données 20. http://www.netalya.com/fr/
Article2.asp?CLE=66
s’est généralisée dans les entreprises, il semble concernant leur fonctionnement. La mise en
essentiel de construire des pôles de compé- place d’outils d’analyse en temps réel de ces 21. https://www.shodan.io/
tences liées aux usages des données et à leur données pourrait permettre de développer 22. http://www.gartner.com/newsroom/
traitement. Dans un premier temps, pour s’as- des mécanismes d’audit en continu afin de id/2730317
surer que l’audit reste en mesure de compren- contrôler en permanence les zones de risque 23. http://www.thebanker.com/
dre le fonctionnement de l’entreprise dans identifiées et d’en définir de nouvelles au Transactions-Technology/
Technology/Credit-scoring-for-the-social-
laquelle il agit. Dans un second temps, afin besoin. Ceci soulève néanmoins la question
media-generation?ct=true
d’appliquer aussi à l’audit ses outils. En effet, du champ de compétence de l’audit par
avoir à disposition des outils permettant de rapport au contrôle interne. 

n° 008 — audit, risques & contrôle — 4e trimestre 2016 27


L’AUDIT INTERNE ET LE NUMÉRIQUE
« Il faut choisir le terrain, le problème et les moyens en fonction des chances de
succès : si le problème est insoluble, il faut changer de terrain ; s’il n’y a aucun moyen
sur aucun terrain, il faut changer de problème. »
Michel Crozier

Qualité
des
données
Un bricolage
méthodique

© Rassco - Fotolia.com
José Bouaniche, Auditeur interne, Caisse des Dépôts et Consignations  comme objets d’audit, par exemple lorsqu’il
faut évaluer une modélisation ou une simu-
lation.
Nous utilisons de plus en plus de données numériques (documents scannés, courriels,
données quantitatives et qualitatives détaillée ou agrégées, etc.) dans le cadre de nos Il est bien évident que si, dans les deux cas, les
données utilisées n’ont pas une qualité satis-
missions. Nous avons essayé de brosser ici quelques points méthodologiques nous
faisante, les interprétations que nous pour-
permettant de les utiliser comme éléments de preuve.
rons en tirer ont toutes les chances d’être
biaisées.

Une exigence devenue tion). En effet, nous sommes amenés, dans le Définir la qualité des données,
essentielle cadre de nos missions, à traiter des données un exercice délicat
à deux titres :
A l’heure d’une numérisation triomphante, la  comme éléments de preuve pour tirer des Au préalable, posons qu’une donnée, dans le
qualité des données devient essentielle, ainsi conclusions sur, par exemple, la perfor- cadre de cet article, est tout ce qui peut se
que l’exprime le CNRS dans son Appel à projets mance d’une entité à partir de données de véhiculer par l’informatique. On peut avoir des
2016 : La qualité des données dans les Big Data1. gestion de l’entreprise ; données structurées sous forme de champs
L’audit et le contrôle sont impactés par cette
évolution (que d’aucuns qualifient de révolu- 1 http://www.donneesdelarecherche.fr/spip.php?article736

28 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

regroupés en enregistrements, des données contrôle interne (embarqué + manuel), etc. données permet de tirer des conclusions
semi structurées (les courriels) et des données Nous n’approfondirons pas plus ici ces d’audit. C’est le cas de l’absence de tests dans
non structurées (comme des images). éléments, qui relèvent majoritairement de la le cadre d’un plan de secours. N’oublions pas,
gestion de projet et de l’ingénierie des logi- en revanche, que les recommandations d’au-
Concernant la qualité des données, PwC, dans ciels. dit devront répondre à la vraie cause de cette
une étude de 2011 (Qualité des données : Quel absence.
le(s) vérité(s) dans les entreprises ?), en propose Il faut aussi souligner que la prolifération Nous n’irons pas plus loin sur cette question
une définition intéressante : massive des données et la montée en puis- de l’évaluation du risque d’audit qui fait
« La qualité des données désigne l’aptitude de sance de l’analyse des données et de la fouille toujours l’objet de recherches académiques.
l’ensemble des caractéristiques intrinsèques des des données (data mining) remettent sur le
données (fraîcheur2, disponibilité, cohérence devant de la scène la problématique de l’ad- De la donnée à la preuve
fonctionnelle et/ou technique, traçabilité, sécu- ministration des données qui, n’étant plus
risation, exhaustivité) à satisfaire des exigences reléguée dans les services informatiques, L’appréciation de la qualité des données ne se
internes (pilotage, prise de décision,...) et des devient maintenant la gouvernance de la réalise pas « hors tout ». Elle se situe à l’inté-
exigences externes (réglementations,...) à l’orga- donnée. rieur d’une approche « stratégique » de la
nisation ». collecte d’éléments probants dans le cadre de
Qualité des données et risque la mission à réaliser.
Cependant, même si une norme ISO existe d’audit
(ISO/IEC 25012) sur le sujet, une définition Nous allons rappeler ici les conseils du Bureau
absolue de la qualité des données, et, surtout, Revenons à nos missions où nous sommes du vérificateur général du Canada (in
des caractéristiques qui la constitueraient, amenés à utiliser des données comme Techniques de collecte des éléments probants)
apparaissent peu opérantes et efficaces pour support de constats et d’appréciations, soit en concernant les 6 étapes de la conception
l’audit comme pour le contrôle. En effet, citant des résultats déjà élaborés par les d’une vérification :
suivant notre environnement de travail (médi- services audités (ou des organismes externes),
cal, juridique, assurance, etc.) et les technolo- soit provenant de nos travaux. Dans les deux Préciser les objectifs de la vérification – « Il
gies utilisées (pour les constituer, les cas, la qualité des données doit être appréciée faut souvent accepter un compromis entre la
communiquer, les agréger, etc.), nous aurons préalablement ; nous ne pouvons en effet vérification que l’on aimerait faire et ce que
des priorités différentes. Des livres entiers sont nous appuyer, pour porter un jugement dans l’on peut effectivement réaliser tout en tenant
dédiés à cette problématique (voir notam- le cadre de nos missions, sur des données de compte du rapport coût - efficacité ».
ment Batini & Scannapieco. Data Quality - qualité insuffisante.
Concepts, Methodologies and Techniques. Formuler les questions à résoudre et les
Springer, 2006, qui porte une vision critique Entendons-nous bien, il est tout à fait admis- critères – « Il faut des questions claires et
sur l’ISO 25012). sible que des données soient fausses, précises comprenant des éléments que l’on
manquantes, etc. Simplement, à partir d’un peut définir et mesurer ; ensemble, elles
La qualité des données certain seuil, les conclusions que l’on pourra doivent atteindre entièrement les objectifs de
se construit tirer de cet ensemble de données commen- la vérification. Si les objectifs ne débouchent
ceront à être sérieusement biaisées. pas sur des mesures concrètes, on devra peut-
Ainsi que le rappelait l’ACPR3 lors de la confé- Comment déterminer ce seuil ? être revenir à la première étape et les redéfi-
rence de juin 2016 sur « La qualité des données nir ».
et la robustesse des systèmes d’information : un Cette problématique est partie intégrante de
défi pour les secteurs de la banque et de l’assu- la démarche d’audit légal dont l’objectif de Cerner les données qui permettront de
rance » : vérification des comptes est d’être raisonna- répondre aux questions – « Les données ne
 la qualité des données est un sujet qui blement sûr qu’il n’existe pas d’erreurs signifi- deviennent des informations qu’après avoir
concerne l’ensemble des directions de l’en- catives dans les états financiers publiés. C’est été analysées ou évaluées (6e étape), et c’est
treprise, pas seulement l’informatique ; parfois « simple », par exemple lorsque dès à ce dernier stade que l’on peut s’en servir à
 les contrôles très en aval des processus de l’abord on considère que les erreurs consta- titre d’éléments probants ».
production sont insuffisants pour garantir tées sur tel compte ou classe de transaction
la qualité des données ; ne doivent pas dépasser X % d’un solde Choisir les sources/types de données – « Il
 une vision transverse du parcours de la comptable. existe d’habitude plusieurs sources de
donnée, transcendant les différents silos de D’autres fois, estimer le seuil de signification données possibles, et il faut donc choisir
l’entreprise, est nécessaire pour en effectuer du risque d’audit peut s’avérer délicat. parmi elles, d’après leur degré d’exactitude ou
une évaluation correcte. Prenons le cas simple d’un fichier de produits, de crédibilité, la facilité avec laquelle on peut
le fait que nous ayons constaté que Y % de les obtenir, et le coût ».
En effet, obtenir une qualité des données ceux-ci présentent une erreur sur un certain
satisfaisante résulte d’une construction raison- champ de fichier (ou une variable diraient les Planifier la collecte des données – « On peut
née d’un système de contrôle interne. Elle statisticiens) sera appréhendé différemment assez souvent recueillir et analyser les
s’appréhende à plusieurs niveaux, en fonction suivant le contexte du métier audité et l’ob- données en même temps. Mais avant de ce
des besoins hiérarchisés en qualité, comme la jectif de nos travaux. faire, il est utile de se demander comment les
fiabilité, la facilité d’accès ou la fraîcheur. Ces Quelquefois encore, la non existence de informations seront employées et à quels
niveaux peuvent être, par exemple, relatifs à
la contractualisation, l’architecture fonction- 2
Fraicheur: terme couramment utilisé pour signifier que la donnée a le niveau d’actualisation nécessaire.
nelle, la stratégie de test, l’architecture du 3 L’Autorité de contrôle prudentiel et de résolution – ACPR – l’organe de supervision français de la banque et de l’assurance.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 29


L’AUDIT INTERNE ET LE NUMÉRIQUE

autres traitements il faut les soumettre avant  Tester les données dans leur globalité pour quels chemins (les flux de données)
de pouvoir les intégrer au rapport de vérifica- identifier les données manquantes, aber- suivent-elles ?
tion ». rantes, etc. Nous verrons plus bas ce point Ces éléments sont essentiels pour localiser
plus en détail. les points les plus sensibles, là où on s’at-
Planifier l’analyse des données – « L’ampleur  Vérifier un échantillon de données en les tend à ce que des contrôles soient localisés
et la nature de l’analyse dépendent des ques- rapprochant de leurs sources. On aura et effectifs.
tions auxquelles on cherche à répondre. Ainsi, alors la possibilité de constater que des De plus, il peut arriver, sur certaines ap-
un contrôle rapide suffira dans le cas d’une données existent alors que les sources sont plications, que les données
question descriptive simple, mais une vérifi- manquantes (dans ce cas il pourra être inté- de champs identiques
cation approfondie s’imposera s’il s’agit du ressant de vérifier si elles ont été détruites diffèrent par leur
fondement d’une recommandation ». par erreur, perdues, sont devenues illisibles, nature en
etc.), ou encore que des données présen- fonc-
Démarche du GAO tent des anomalies par rapport à leur
source. Suivant les cas, il pourra être néces-
La démarche du United States General saire de reconstituer les sources.
Accounting Office (GAO, 2009, « Assessing the Naturellement, on ne pourra généraliser les
Reliability of Computer-Processed Data ») conclusions de cet exercice que si l’échan-
permet de s’assurer raisonnablement et au tillon a été tiré de manière aléatoire pour
plus tôt d’une qualité suffisante des données être statistiquement représentatif ou
pour tirer des conclusions vraisemblables lors que, les sources étant numériques, la
d’une mission. vérification a été exhaustive.
Elle s’utilise quand il n’est pas envisageable  Rapprocher les sources des
de s’appuyer sur une mission approfondie données. Exercice inverse du
sur le ou les systèmes d’information ayant précédent, on pourra alors véri-
généré ces données et s’intègre facilement fier si toutes les informations
aux étapes de conception d’une vérification éligibles ont bien été saisies,
évoquée plus haut. par exemple. Cette étape ne
Par essence réalisée dans des délais courts, pourra être suivie si les
cette revue limitée s’intéresse uniquement sources ne sont pas disponi-
aux données utilisées pour les preuves d’au- bles, quelle qu’en soit la
dit. raison.
 Cibler des contrôles : il s’agit
Dès l’abord, un peu comme pour les dévelop- de se centrer sur les contrôles
pements agiles, on se donne des limites d’ité- qui affectent le plus directe-
ration. S’il apparaît (au plus tôt de la ment la qualité des données à
démarche, il faut l’espérer) que les données utiliser.
n’ont pas le niveau de qualité requis, il faut : Généralement on mettra a
 chercher d’autres sources plus crédibles, ou minima sous revue les contrôles
 revisiter les objectifs de mission, ou généraux relatifs à la gestion des
 utiliser mais avertir et restreindre, sinon habilitations et à la gestion des
 arrêter les investigations, avec un dossier changements ainsi que les
suffisant pour étayer cette décision. contrôles applicatifs dont l’objet est
d’assurer l’exactitude, la complétude
La démarche du GAO, actualisée tous les 7 à et l’autorisation des données concer-
10 ans, est opportuniste : les étapes et leur nées par nos travaux. Naturellement ce ne
ordre de succession dépendent des faiblesses sont que des exemples, car il se peut très
identifiées au fur et à mesure des investiga- bien que le plus important, dans un
tions ainsi que, naturellement, de la sensibilité contexte donné, soit la fraîcheur des
des données au regard des objectifs de la données.
mission nécessitant cette évaluation. tion
N’oublions pas que l’objectif est de détermi- Du test au nettoyage de leur
ner au plus tôt si oui ou non les données sont des données lieu d’alimen-
d’une qualité suffisante pour supporter les tation. Ce n’est pas
besoins de la mission. Nous avons vu les grandes étapes à suivre toujours détectable lors de
L’appréciation de la qualité des données pour évaluer la qualité des données. Nous tests. C’est un point particulièrement
procède des étapes envisageables suivantes : voudrions ajouter ici, rapidement, quelques délicat à traiter lors du nettoyage des don-
 Analyser l’information disponible, par éléments complémentaires plus concrets nées (voir plus bas).
entretiens ou consultation de rapports, suivis par les auditeurs SI comme par les  Nous nous intéressons aussi à l’histoire des
études, articles de presse, etc. afin de cerner spécialistes des tests informatiques. données, dans les lieux que nous avons
les enjeux et problématiques et, le cas  Nous nous intéressons à la géographie des identifiés comme les plus sensibles : la mise
échéant, discerner les données les plus à données : où ont-elles été créées, où sont- en place de nouvelles versions de logiciels,
risque et les contrôles les plus fragiles. elles stockées, où sont-elles transformées, de bases de données, de structures de

30 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

fichier, etc., fait-elle l’objet de tests, et incidents et des problèmes ce qui nous Il faut noter que cette phase descriptive
notamment de tests de non-régression sur fournira des éléments pertinents pour iden- utilise beaucoup de techniques de repré-
les données ? Ces derniers sont-ils réalisés tifier et analyser plus finement encore les sentation, comme la courbe de densité ou
de manière professionnelle et outillée ? Etc. points à risque. les boîtes à moustache (pour repérer et
Ces éléments nous permettent d’appré- dénombrer les valeurs extrêmes).
hender le sérieux de la prise en compte de Il s’agit alors d’apprécier la qualité des Durant cette phase sont aussi identifiées
la qualité des données et à encore mieux données par des tests ciblés, dont plusieurs et analysées les valeurs négatives et nulles.
cibler les points à risque. déjà (rapprochement données et sources, En effet, dans cet environnement profes-
 Nous nous intéres- appréciation des contrôles) ont été exposés sionnel, ce type de valeurs peut avoir un
sons de plus aux plus haut. D’autres tests, bien plus élémen- sens autre que numérique et représenter
accidents, et taires, sont réalisés sur : des données qualitatives ou logiques, qu’il
tant mieux  la conformité des structures de données et est donc nécessaire de déterminer afin, le
si les des types des champs (numérique, alpha- cas échéant, de les transformer à bon
bétique, lien hypertexte, etc.) ; escient.
 la vraisemblance des informations dans les
champs, hors tout (par exemple, le fait pour 2. Reste ensuite à déterminer que faire des
une information dans un champ de ne pas, données « non conformes » : supprimer les
par nature, être négative, de ne pas dépas- enregistrements qui les portent, leur attri-
ser ou d’être inférieure à un certain seuil, buer une valeur arbitraire ou calculée
etc.), ou en lien avec d’autres champs (moyenne, médiane, ou encore calcul plus
(en s’appuyant sur des règles de compliqué), ne pas les prendre en compte
gestion) ; ou les mettre à zéro, etc. ?
 l’existence d’un code dans un Pour aider à déterminer une réponse à ce
champ contrôlable par ailleurs sur type de questionnement, les statisticiens
une base de référentiel ou dans vont, par exemple, essayer de déterminer
un autre fichier ; etc. si les valeurs manquantes le sont d’une
manière complètement aléatoire, d’une
Une autre approche, ou plutôt manière pseudo-aléatoire (l’absence peut
une approche complémentaire, être légèrement corrélée avec certaines
commence à apparaître dans valeurs d’autres variables) ou pas aléatoire
notre milieu : celle, historique- du tout .
ment, des statisticiens. Elle nous
intéresse principalement quand Ici aussi, une bibliothèque complète existe sur
nous avons à contrôler ou audi- ces problématiques. Il apparaît cependant
ter des modèles de simulation, que la solution la plus prudente consiste à
qu’ils soient explicatifs ou prédic- supprimer les enregistrements contenant les
tifs (par exemple, dans le scoring variables mal formées ou manquantes (ou les
pour l’attribution de prêts). Dans variables elles-mêmes si on peut en utiliser
ce cadre, les traitements préalables d’autres à la place ou si, tout simplement, on
à l’exploitation des données sont arrive à s’en passer). Bien sûr cela ne peut se
(Han & Kamber. Data Mining: Concepts faire que si l’impact global est faible au regard
and Techniques. Morgan Kaufmann des études à réaliser avec ces données.
Publishers, 2011) :
1. le nettoyage des données (data clea-  
ning), 
2. leur transformation (data transformation),
3. leur réduction (data reduction). Nous avons brossé rapidement le portrait de
démarches et techniques à notre disposition
ser- L’étape de nettoyage des données (nous ne pour passer des données à des éléments de
vices in- nous intéresserons pas aux autres étapes dans preuve. Nous aurions pu aussi aborder les
formatiques le cadre de cet article) se réalise généralement outils d’analyse de données (comme IDEA ou
en charge des en deux phases : ACL), les outils de dataviz (comme Tableau)
points sensibles iden- qui peuvent être de très utiles compléments
tifiés précédemment ont dé- 1. La phase de description des variables qui, dans ce cadre, voire des modules (R, Python,
ployé une démarche ITIL4 (ITIL est un – d’une part, va collationner les principales etc.) dédiés à ce sujet, sans arriver à l’épuiser. 
sinon LE – cadre de référence international informations statistiques (moyennes,
pour la production informatique. Conçu médianes, min, max, écarts types, etc.)
comme un système de pilotage unifié et pour obtenir une connaissance d’ensem-
outillé, il décrit, entre autres, les bonnes ble des données et, d’autre part, va repré-
pratiques de gestion des incidents, de ges- senter la « forme » générale des variables
tion des changements, etc.). pour déterminer celles qui sont extrêmes,
4
Nous disposons ainsi d’une gestion des manquantes, aberrantes, etc. Information Technology Infrastructure Library.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 31


L’AUDIT INTERNE ET LE NUMÉRIQUE

Etat des lieux


de l’utilisation
de l’analyse de
données au sein
de l’audit interne
Yohann Vermeren,
Associé Advisory, IT Risk Consulting, KPMG

Guillaume Cuisset,
© Graphicroyalty - Fotolia.com

Senior Manager, IT Risk Consulting, KPMG

 D’autre part, les comités d’audit et le

D
ans un monde en pleine transfor- turées (messages, vidéos, par opposition aux
mation avec la digitalisation des Management attendent plus encore de données structurées provenant souvent des
entreprises, les modèles écono- leur direction d’audit interne qu’elle se ERP). Cette révolution est aussi celle des outils
miques sont en pleine évolution et comporte en partenaire d’affaires en de visualisation des données (par exemple,
ils impactent très fortement les modèles apportant de la valeur ajoutée aux direc- Qlik, Tableau Software…), qui ont permis de
opérationnels. Nous assistons à une mutation tions métiers. faciliter la prise en main et le partage des
en profondeur des organisations, des proces- analyses en les rendant graphiques et intui-
sus et de la culture des entreprises. Les nouvelles technologies liées à la révolu- tives pour des utilisateurs non experts.
tion de l’analyse de données sont une formi-
L’audit interne a pour mission de donner de dable opportunité pour les directions d’audit Les niveaux d’intégration et
manière indépendante et objective « à une interne de répondre à ces attentes en permet- d’automatisation de l’analyse
organisation une assurance sur le degré de tant notamment de quantifier les impacts, de de données au sein de l’audit
maîtrise de ses opérations, lui apporter ses les prédire, de valoriser les enjeux financiers interne
conseils pour les améliorer, et contribuer à et de proposer des recommandations perti-
créer de la valeur ajoutée »1. Or, les attentes nentes. Les techniques d’analyse de données sont
du management et des comités d’audit sont déjà présentes au sein des fonctions d’audit
grandissantes notamment sur deux aspects Les récentes évolutions du marché ont en et de contrôle interne, avec des degrés d’uti-
du rôle de l’audit interne : outre levé un certain nombre de barrières à lisation plus ou moins importants. Il apparaît
 D’une part, l’attente quant à la couverture l’utilisation des technologies Big Data. Ces que de nombreuses directions d’audit interne,
des risques émergents est très forte et dernières permettent désormais de traiter des bien que convaincues des bénéfices de l’uti-
seulement 5 % des membres de la direction volumes de données très significatifs (avec le
et des comités d’audit estiment recevoir déploiement par exemple des technologies
une information de qualité de leur direction de type Hadoop, SAP Hana ou Oracle 1 Source IFACI, Définition de l’audit interne.
d’audit2. Exalytics) et d’analyser des données non struc- 2 Seeking value for internal audit – KPMG 2016.

32 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

Niveaux de
Niveau I Niveau II Niveau III Niveau IV Niveau V
maturité
Intégration des Audit en continu Assurance en
Méthodologie Audit et contrôle
Audit traditionnel analyses de données et évaluation des continu de la
d’audit interne en continu intégrés
Ad Hoc risques en continu gestion des risques

Analyse stratégique

Evaluation des risques


de l’entreprise

Développement du
plan d’audit interne

Réalisation des
missions et
établissement des
rapports

Amélioration en
continu

Descriptive, Descriptive,
Descriptive,
Types de données Descriptive, Diagnostique, Diagnostique,
Descriptive Diagnostique,
applicables Diagnostique Prédictive, Prédictive,
Prédictive Prescriptive Prescriptive

Analyse de données Analyse de données partiellement Analyse de données utilisées de manière


généralement non utilisées utilisées mais sous-optimisées efficace et uniforme (adaptées)

Figure 1 : Source : KPMG - 2016

lisation de l’analyse de données, n’ont pas Niveau de maturité I – Audit traditionnel lyse de données est automatisée sur les
réussi à les démontrer. Nombre d’entre elles  L’utilisation d’analyses de données est limi- processus clés, les programmes de travail
ont considéré comme suffisant l’investisse- tée à des rapports d’exception et à prennent en compte l’analyse de données,
ment dans des outils et des spécialistes quelques analyses de données descriptives l’utilisation d’analyses prédictive et pres-
(internes ou externes). Mais pour une (notion abordée ci-dessous). criptive est rendue possible.
approche efficace et durable, l’analyse de
données nécessite plus que d’ajouter de la Niveau de maturité II – Intégration Niveau de maturité IV – Audit et contrôle
« technique » au sein de ses activités quoti- d’analyse de données Adhoc en continu intégrés
diennes. Même si ces éléments sont fonda-  Plan d’audit : l’utilisation d’analyses réalisées  Plan d’audit : Les risques prioritaires font
mentaux, une réflexion plus stratégique est par les opérationnels permet de réaliser des l’objet d’analyses intégrées dans les
nécessaire autour de l’évolution de la façon comparaisons et des analyses de risque. systèmes d’information de l’entreprise, des
dont les audits sont planifiés, exécutés et  Exécution des missions et reporting : l’utili- analyses et outils de pilotage des contrôles
partagés, ainsi que dans la façon d’interagir sation d’analyses descriptives permet une et des risques sont exploitées par les direc-
avec les parties prenantes. Le GTAG 33 – dispo- analyse des risques et du périmètre de la tions métiers, les analyses prédictives et
nible sur le site de l’IFACI – présente les phases mission. prescriptives sont réalisées en complément
clés de la mise en œuvre de l’audit en continu pour affiner les analyses de risques.
et donne plusieurs études de cas. Niveau de maturité III – Audit en continu  Exécution des missions et reporting : Des
et évaluation des risques en continu procédures de tests automatisés sur
Les directions d’audit doivent définir le niveau  Plan d’audit : l’utilisation d’analyses sur les certains objectifs d’audit permettent de
de maturité qu’elles souhaitent atteindre. risques prioritaires est systématique, l’ex- faire des audits par exception, l’audit
Néanmoins, cette transformation de l’audit traction est automatisée et des outils de interne a accès à l’ensemble des outils de
interne doit être progressive dans le temps visualisation sont en place, la réalisation pilotage des contrôles, la qualité des
mais aussi en parallèle des autres directions d’analyses prédictives est réalisée lorsque données est pilotée par les opérationnels,
(contrôle interne, conformité, risques, nécessaire. des analyses prédictives et prescriptives
systèmes d’information, métiers, financière et  Exécution des missions et reporting : l’ana- sont réalisées en complément.
Direction générale).

À titre d’illustration, cinq niveaux de maturité 3 Global Technology Audit Guide - Audit en continu : Coordonner l’audit et le contrôle en continu pour fournir une assurance continue. 2016.
peuvent être proposés : 4
Best practices in Analytics : integrating Analytical Capabilities and process flows, Gartner, Mars 2012.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 33


L’AUDIT INTERNE ET LE NUMÉRIQUE

Opérationnel Tactique Stratégique


et enrichir la donnée. Ces outils sont géné-
ralement utilisés afin d’obtenir un fichier qui
sera ensuite exploité dans un outil de visua-
Analyse lisation. Ce secteur connait une tendance
Quelle action prendre ? prescriptive vers l’utilisation de plateformes en libre-
service incluant du contenu prédéfini
Modélisation
Que va-t-il se passer ? prédictive (connecteurs système, requêtes), contenu
qui peut être ensuite enrichi par les utilisa-
teurs.

Data
Attentes métier

Mining Pourquoi est-ce arrivé ?


Les outils de visualisation des données
(par exemple, Tableau Software, Qlik). Ces
Requêtes Où est le problème ? outils permettent une navigation intuitive
dans les données à l’aide de représenta-
Rapports tions graphiques variées (y compris repré-
Quand ? Comment ?
ad hoc sentations géolocalisées) et de
fonctionnalités de navigation dans le détail.
Rapports Cette évolution du marché se traduit par le
standards Que s’est-il passé ?
positionnement de Tableau Software et
Création de valeur Qlik dans le premier quartile du Magic
Quadrant de Gartner.
Figure 2 : Source : KPMG - 2016
 Les outils de business intelligence (par
exemple Microsoft Power BI, SAP, Oracle,
Microstrategy. Ces outils d’aide à la décision
Niveau de maturité V – Assurance en leurs contextes ; Que s’est-il passé et dans s’articulent autour d’un ETL (Extraction,
continu quel contexte ? Transformation, Chargement), d’un entre-
 Plan d’audit : La stratégie est totalement  Analyse Diagnostique (dans figure 2 : les pôt de données permettant de stocker les
alignée avec la cartographie des risques, les requêtes et le data mining): Analyse des cubes de données, et d’outils de reporting
objectifs stratégiques et les risques sont root causes ; Pourquoi est-ce arrivé ? ou tableaux fournissant une aide à la déci-
pilotés en temps réel, le plan d’audit est  Analyse prédictive : Estimation de l’impact sion.
dynamique et s’adapte à la transformation potentiel sur la base de l’historique et de  Les outils d’analyse de données spéciali-
du métier, l’ensemble des technologies modèles scientifiques ; Qu’est-ce qui arri- sés pour l’audit et le contrôle interne (ACL,
d’analyse de données est disponible et vera ? Pourquoi cela arriverait ? IDEA). Certains acteurs de l’analyse de
utilisé.  Analyse prescriptive : Définition du données ont fait le choix de se spécialiser
 Exécution des missions et reporting : Les modèle idéal permettant d’éviter l’excep- vers les métiers de l’audit et du contrôle,
procédures d’audit prennent en compte tion ; Que faire pour que ça n’arrive pas ? notamment en garantissant la piste d’audit
l’analyse de données sur les principaux et en développant des fonctionnalités d’au-
objectifs et risques de l’entreprise, les Le type d’analyse dépend de l’objectif des dit et de contrôle continu. La tendance
procédures d’audit automatisées sont travaux et de la maturité de l’audit interne. Il chez ces acteurs est à l’évolution vers le
orientées sur l’analyse des causes premières faut considérer ces différents types d’analyses « Big Data », voire à l’augmentation de leur
(root causes) et sur les recommandations. comme une boite à outils. couverture fonctionnelle afin de couvrir les
Les programmes de travail proposent l’uti- fonctionnalités attendues de solutions de
lisation des analyses prédictives et prescrip- Quels sont les outils et services GRC, mais aussi en embarquant des fonc-
tives. pouvant répondre aux besoins tionnalités prédictives.
de l’audit interne ?  Les outils de GRC (SAP GRC, Oracle GRC
Quels sont les types d’analyses Management, BWISE) Ces outils permettent
de données pertinents pour Il est difficile de faire un inventaire de l’ensem- une intégration du contrôle continu et de
l’audit interne ? ble des solutions, outils, éditeurs et cabinets l’audit continu à la gestion des risques, des
évoluant sur le marché de l’analyse de politiques et procédures de l’entreprise,
En parallèle du niveau d’automatisation et données. Il en est de même pour catégoriser ainsi qu’avec la fonction de conformité. Du
d’intégration que les directions d’audit interne ces outils, compte tenu de la tendance du côté des acteurs de la GRC, on note égale-
souhaitent atteindre, il faut aussi se poser la marché à évoluer vers des solutions bout en ment un renforcement des capacités d’ana-
question des types d’analyses de données à bout (Big Data, visualisation, contrôle continu, lyse de données (par exemple, SAP GRC
mettre en œuvre. L’effort nécessaire à cette prédictif…). En complément, nous voyons dispose désormais d’un module Fraud
mise en œuvre sera plus important et les apparaître, en plus des acteurs « tradition- Management possédant des capacités
besoins humains et technologiques seront nels » du marché, des acteurs de niche propo- d’analyses « Big Data » et prédictives et
plus forts en fonction des types d’analyses sant des solutions ciblées et pertinentes. donnant la capacité d’identifier des cas de
souhaités. fraude notamment).
Gartner4 distingue quatre types d’analyses Il est possible de classifier les outils disponi-  Les outils spécifiques : nous proposons ci-
qu’il est possible de disposer dans « sa boite à bles sur le marché de la manière suivante : après deux exemples d’utilisation d’outils
outils » :  Les outils de préparation des données (par d’analyse de données pertinents pour les
 Analyse descriptive (dans la figure 2 : les exemple, SAS, Alteryx, Datawatch …). Ces directions d’audit interne :
rapports) : analyse des exceptions dans outils permettent de nettoyer, transformer - Les réseaux sociaux ont contribué à créer

34 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

de nouvelles menaces, notamment en services ponctuels peut permettre aux direc-  Définir un programme de protection des
termes d’image (e-reputation) pour les tions d’audit interne d’accélérer leur projet de données (personnelles ou critiques) en
entreprises. Ces menaces et leur gestion digitalisation en profitant de solutions, de accord avec les enjeux réglementaires
ont fait naitre un éco-système d’outils et technologies, d’expertises et de cas d’utilisa- (CNIL ou avec le Règlement Général sur la
de services autour de la gestion des tion. À titre d’exemples, citons des applica- Protection des Données au niveau
réseaux sociaux. Les outils d’analyse de tions pour l’analyse des taxes indirectes, le Européen…).
la e-reputation (par exemple Bottlenose) parcours client, l’optimisation des processus  Sécuriser et protéger les données et
permettent de détecter les sujets les plus ERP, la cyber sécurité et les analyses secto- analyses.
fréquents sur les réseaux sociaux, ainsi rielles …
que d’identifier l’aspect positif ou négatif Utilisation et intégration de l’analyse
du commentaire pour l’entreprise. Ces démarches peuvent en effet permettre de de données dans les audits
- Détection des risques de corruption : limiter la difficulté de certaines organisations  Faire évoluer les approches d’audit et les
Certains outils (par exemple Astrus) à disposer des compétences et de ressources programmes de travail en incluant l’analyse
permettent de faire une analyse des en interne et de se concentrer sur l’acquisition de données.
contreparties et d’émettre des rapports des compétences nécessaires à l’exploitation  Définir ce qui est attendu de l’analyse de
avec l’aide de consultants de due dili- de ces résultats, l’analyse des causes données : exceptions, identification des
gence sur les risques liés aux contrepar- premières (root causes) et la proposition de « faux-positifs » et des « faux-négatifs ».
ties et à l’intégrité des tiers. recommandations à valeur ajoutée.  Définir le processus de traitement des
 Le cognitif avec l’intelligence artificielle exceptions et notamment au regard du
(par exemple IBM Watson) promet une véri- Retours d’expérience pour volume potentiel.
table révolution dans l’analyse de données un déploiement efficace de
avec la capacité d’apprentissage automa- l’analyse de données Facteurs humains
tique. Ces outils, grâce à la capacité d’auto-  Définir le socle de compétences néces-
matiser les analyses prescriptives, Même si nous avons évoqué la levée de saires à la bonne exploitation de ces
permettront une prise de recul avec des certaines barrières à l’utilisation de techniques données par les auditeurs internes
recommandations innovantes et perti- d’analyse de données (plus ou moins avan- (connaissance des systèmes et des
nentes. cées), certaines demeurent non négligeables. contrôles attendus).
 Évaluer le besoin en termes de gestion du

« Le cognitif avec l’intelligence artificielle promet


une véritable révolution dans l’analyse de
changement sur les opérationnels, contrô-
leurs internes et auditeurs internes suite à
la mise en place de solutions de contrôles
et audits en continu.
données avec la capacité d’apprentissage  Rester connecté avec les autres directions

automatique » Elles peuvent être réparties de la façon


utilisant des techniques d’analyses de
données.

Dans leur ensemble, les directions d’audit


Gartner prédit dans son dernier Magic suivante : interne ont donc débuté leur projet de
Quadrant for Business Intelligence and Analytics déploiement des capacités d’analyse de
Platforms5 une intégration des outils dits de « Questions générales données profitant de la révolution du Big Data
préparation des données » et des outils de  Définir et partager des objectifs clairs et des et de la DataViz. Les directions d’audit interne
visualisation des données, le tout appuyé sur critères de succès en lien avec la stratégie n’ont pas toujours pu ou pas toujours su
des fortes capacités de traitement, notam- et la gouvernance de l’entreprise. matérialiser les bénéfices et la valeur ajoutée
ment à l’aide du cloud (par exemple Microsoft  Mesurer et démontrer les succès. de l’analyse de données. Néanmoins, les
Power BI, reposant sur le cloud Microsoft  Anticiper les besoins techniques (outils, directions ont tout intérêt à penser à une
Azure). Des regroupements autour de parte- compétences et conseil externe). transformation de la manière de planifier,
nariats ont notamment été initiés, entre des  Prendre en compte les efforts et initiatives d’exécuter et de partager les travaux d’audit
spécialistes métiers du risque et de l’audit et déjà existantes au sein de l’organisation en intégrant l’analyse de données de manière
des acteurs technologiques (Analytics as a (DSI, Data Scientists, Responsable Digital...). pertinente. Les questions autour de l’intégra-
service avec KPMG, en partenariat avec tion et de l’automatisation sont capitales, mais
Microsoft) ou des solutions en cloud permet- Sécurité, disponibilité et qualité des c’est aussi l’analyse des risques et des enjeux
tant de faire de l’audit et du contrôle en données stratégiques qui permettra de définir quelles
continu (comme SOFY de KPMG ou encore  Ne pas sous-estimer les difficultés d’accès solutions (approches, outils, conseils internes
ACL ou SAP qui proposent des solutions en aux données (extraction). et externes nécessaires) apporteront la plus
cloud).  Prendre en compte la diversité des grande valeur ajoutée pour le métier, la direc-
systèmes et des formats de données. tion et le Comité d’audit. 
En ce qui concerne le consulting, le conseil  Mettre en place un processus d’analyse de
autour des solutions d’analyse de données est la qualité des données (exhaustivité, exac-
désormais mature. Au-delà, de l’accompagne- titude, intégrité) sur les données internes et
ment à la définition de la stratégie d’analyse externes.
de données et au déploiement des solutions
5 Magic Quadrant for Business Intelligence and Analytics Platforms – Gartner 2016.
d’audit et contrôle en continu, l’offre de

n° 008 — audit, risques & contrôle — 4e trimestre 2016 35


L’AUDIT INTERNE ET LE NUMÉRIQUE

Détection
et prévention
des fraudes
L’essor du Machine
Learning
Francis Wolinski, Directeur, Yotta Conseil -
Expertise & Audit du SI

© Iconimage - Fotolia.com
L
a détection et la prévention des Un rapport récent sur les outils de surveillance utilisé pour l’apprentissage des règles de clas-
fraudes font depuis quelques années des marchés mentionne d’ailleurs le Machine sement par l’ordinateur. Par exemple, dans le
l’objet d’une attention particulière, due Learning comme étant l’un des principaux domaine de la fraude, on va considérer un
concomitamment aux exigences moteurs d’évolution de ces systèmes automa- historique de transactions représentées par
réglementaires croissantes, à l’explosion du tiques [2]. Il faut également noter que l’un des un ensemble de variables dont l’une d’entre
nombre de transactions et aux capacités tech- autres facteurs cités est la visualisation de elles indique si la transaction était frauduleuse
nologiques en perpétuelle évolution. données (dataviz), complémentaire du ou non. Cet apprentissage des règles de clas-
Machine Learning au sein des techniques rele- sement va conduire à fabriquer un modèle
Si l’on prend l’exemple des prestataires de vant de la Data Science. prédictif (à partir de l’échantillon d’apprentis-
services d’investissement, ils sont depuis 2005 sage) : le modèle une fois obtenu permettra
soumis à une réglementation concernant la Qu’est-ce que le Machine de déterminer si une nouvelle transaction qui
détection des abus de marché (opérations Learning ? se présente est frauduleuse ou non.
d’initiés ou de manipulation de cours). Elle
impose aux prestataires la mise en place d’un L’apprentissage automatique (Machine Lear- Evidemment, le modèle parfait n’existe pas et,
dispositif de détection des opérations poten- ning) est un domaine de l’informatique qui parmi les nouvelles opérations qui seront
tiellement constitutives d’un abus de marché. relève des techniques de l’Intelligence présentées, certaines transactions réellement
Ce dispositif peut reposer sur un système Artificielle. L’idée consiste à doter les ordina- frauduleuses seront classées comme étant
automatique de détection [1]. teurs d’une capacité d’apprentissage sans normales par l’algorithme (il s’agit des faux
qu’ils ne soient explicitement programmés. négatifs dans le jargon du Machine Learning)
Il existe, sur le marché, différentes solutions et, inversement, certaines transactions
pour détecter automatiquement des opéra- On distingue habituellement 3 types d’ap- normales seront classifiées comme étant frau-
tions potentiellement frauduleuses. Les tech- proche de Machine Learning : l’apprentissage duleuses (les faux positifs). Nous allons voir
niques mises en œuvre ont évolué au fil des supervisé, l’apprentissage non supervisé et les de quelle manière aborder ces erreurs de clas-
ans depuis les systèmes à base de règles (ou techniques de renforcement. sification.
systèmes experts) recherchant un nombre Dans l’apprentissage supervisé, principale-
limité de scénarios prédéfinis, jusqu’aux algo- ment abordé dans cet article, on va apprendre Mesure des performances :
rithmes de Machine Learning dont la nature à l’ordinateur comment classer des objets. précision et couverture
même, fondée sur les données, permet de Pour ce faire on dispose au départ d’un
détecter des opérations frauduleuses unique- échantillon dit d’apprentissage dont le classe- Les performances d’un algorithme d’appren-
ment à partir d’exemples fournis. ment est connu. Cet échantillon est alors tissage supervisé, lors de la phase d’appren-

36 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

tissage, peuvent être synthétisées dans une œuvre : Lorsque l’on utilise des paramètres comme le
matrice, dite de confusion, où l’on dénombre  Lorsque le modèle est trop simpliste par degré polynomial ou le nombre de couches
les quatre catégories de transactions selon rapport aux données utilisées dans la phase d’un réseau de neurones, il y a en fait plusieurs
qu’elles sont réellement frauduleuses ou non d’apprentissage, par exemple lorsqu’on algorithmes d'apprentissage à faire tourner en
et selon que l’algorithme les a estimées utilise un modèle linéaire pour des fonction des différentes valeurs que peut
comme étant frauduleuses ou non. données complexes, on parle de sous- prendre le paramètre. Il va alors falloir couper
apprentissage (underfitting) et de biais la base en 3 : chaque algorithme va apprendre
La matrice de confusion permet de calculer, élevé. Quel que soit le nombre d’exemples sur la base d'apprentissage (environ 60 % des
entre autres : fournis au système, son modèle étant cas) et on va évaluer sa performance sur la
 la performance globale de l’algorithme ; intrinsèquement limité, il ne pourra pas base de validation (20 %). On choisira ensuite
c’est la mesure du taux d’opérations correc- apprendre de manière satisfaisante à partir le paramètre qui donne la meilleure perfor-
tement classifiées (frauduleuses et non des données. mance sur cette base puis on évaluera la
frauduleuses) ;  Inversement, lorsque le modèle est poten- performance finale de l'algorithme choisi sur
 la sensibilité, qui peut être assimilée à la tiellement plus complexe que les données la base de test (20 %). Avec cette démarche,
capacité d’un modèle à bien prédire les elles-mêmes, on parle de sur-apprentis- le data scientist sera non seulement en
positifs (on regarde la prédiction de vrais sage (overfitting) et de variance élevée. Le mesure de déterminer le paramètre optimal,
positifs et on la compare aux positifs réels). modèle n’apprend pas réellement, il enre- mais également de détecter les cas de sous-
Il faut rappeler que, dans notre modèle de gistre en quelque sorte les exemples four- apprentissage et de sur-apprentissage vus
détection de fraude, un positif est une nis dans la phase d’apprentissage sans précédemment.
opération frauduleuse ; effectuer aucune généralisation.
 la précision, permet d’apprécier les vrais Parfaitement adapté à l’échantillon d’ap-  
positifs parmi l’ensemble des positifs prentissage, l’algorithme s’avérera défaillant 
prédits. On voit assez rapidement qu’il faut dès qu’il faudra prédire de nouvelles
être prudent à propos de cette notion. fraudes qui ne seront pas dans l’échantillon D’une manière générale, les analystes consi-
Imaginons qu’on utilise un modèle prédictif initial d’apprentissage. dèrent que les outils analytiques peuvent être
très mauvais, qui ne trouve qu’une opéra- répartis en quatre classes en fonction des
tion frauduleuse (alors qu’il y en a des Pour s’assurer qu’un algorithme a correcte- réponses qu’ils apportent [3]. Il est clair qu’en
centaines) et que celle-ci soit une vraie ment appris à partir des exemples fournis, il matière de détection et de prévention des
fraude, la précision sera cependant de est d’usage de découper le jeu initial de fraudes, ce sont les systèmes prédictifs, et
100 %. données en deux bases : une base d’appren- dans l’avenir prescriptifs, c’est-à-dire, induisant
tissage regroupant par exemple 70 % des cas des actions automatiques ou non, qui sont
De l’importance des cas d’usage et une base de test regroupant les 30 % mis en œuvre (sur les notions de descriptif et
restants. La base d’apprentissage est consti- de prescriptif, voir l’article État des lieux de l’uti-
La performance d’un algorithme en termes tuée des exemples fournis à l’algorithme pour lisation de l’analyse de données au sein de l’audit
de précision et de sensibilité n’est pas une son éducation. La base de test sera utilisée interne de Y. Vermeren et G. Cuisset dans ce
mesure absolue, elle doit être adaptée au cas pour apprécier la performance du modèle même numéro).
d’usage (use case). Si l’on prend l’exemple des obtenu. Il est important de s’assurer que ces
abus de marché, la réglementation indique deux bases soient constituées de manière De la prescription à l’action (niveau d’alerte,
qu’un système automatique doit permettre aléatoire à partir de la base initiale pour éviter blocage des transactions...), les systèmes de
de réguler le nombre d’alertes générées au un biais qui serait dû à l’ordre des cas utilisés Machine Learning devront également inclure
regard de l’activité de l’établissement et des par exemple. des règles métiers, prenant en compte la
moyens humains dédiés à leur traitement.[1] sémantique, associées aux données [4]. 
On comprend dès lors qu’en pareil cas, si un Algorithmes de Machine
nombre limité d’opérateurs humains doit Learning
analyser les alertes issues d’un système auto-
matique, il faudra prioritairement prendre en Nous n’avons pas encore abordé la question
compte la précision de l’algorithme. En effet, des méthodes de Machine Learning qui sont
on préfère avoir peu de positifs prédits, mais légions : régressions linéaires et logistiques,
être plutôt sûr que ce soient des vraies arbres de décision et forêts aléatoires (random
fraudes, du fait du nombre limité de person- forest), réseaux de neurones et bayésiens,
nels pour les traiter. machines à vecteurs de support (SVM), algo- Références
Inversement, si l’objectif est de repérer toutes rithme du gradient, partitionnements de
les transactions potentiellement frauduleuses, données (méthode des k plus proches bibliographiques
à partir d’un montant donné par exemple, voisins), etc.
c’est la mesure de la sensibilité qui sera Chaque méthode nécessite d’une part de 1. Guide AMAFI – FBF de mise en œuvre des
prépondérante. On voudra en effet ne pas sélectionner les variables qui vont être utili- procédures de déclaration de soupçon
passer à côté d’une opération frauduleuse, sées dans le modèle, et d’autre part d’ajuster d’abus de marché, FBF, avril 2015.
quitte à perdre du temps à trier les vrais posi- un ensemble de paramètres propres à la 2. Market Surveillance Systems for Exchanges:
tifs des faux positifs. méthode. Il peut s’agir de paramètres mathé- A Look at the Leading Products, Celent, juin
matiques comme le degré polynomial ou le 2015.
Sous-apprentissage et facteur de régularisation, ou bien de paramè- 3. IT Glossary, Gartner, novembre 2012.
sur-apprentissage tres algorithmiques comme le nombre d’ité- 4. Continuous Fraud Monitoring and
rations ou le pas de l’itération, ou encore de Detection via Advanced Analytics State-of-
Deux écueils assez classiques peuvent surve- paramètres structurels comme le nombre de the-Art Trends and Directions, Deloitte,
nir aux algorithmes d’apprentissage mis en couches d’un réseau de neurones. mars 2014.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 37


L’AUDIT INTERNE ET LE NUMÉRIQUE

La DataViz
Retour d’expérience
Pascal Paraire, Auditeur informatique
© bakhtiarzein - Fotolia.com

« Un bon croquis vaut mieux Cette démarche doit permettre de sortir du Des résultats tangibles qui
qu’un long discours ». cadre traditionnel de restitution pour propo- favorisent la collaboration …
ser des représentations dont la seule limite est
Cette phrase, souvent attribuée à Napoléon, l’imagination. Les premiers prototypes réalisés montrent
résume de manière condensée l’objectif de la une transformation du raisonnement chez les
Datavizualisation (DataViz) qui est une Une démarche itérative utilisateurs. Ils abandonnent rapidement la
démarche de représentation simplifiée de la et participative … logique de travail standardisée et en silo au
réalité s’appuyant sur la puissance des tech- profit d’une recherche plus dynamique et
nologies actuelles. Une démarche DataViz est itérative et parti- collaborative de représentation des données.
cipative : l’utilisateur (c.-à-d. le client) voit que Ils s’interrogent de façon pertinente en se
Une démarche pour libérer les données produisent elles-mêmes de l’in- centrant sur le « comment » valoriser l’infor-
l’imagination et restituer leur formation, ce qui engendre un processus mation et les messages.
sens aux données quasi naturel de créativité.
Les capacités interactives proposées par le … mais des écueils à éviter
La DataViz est une démarche (ce n’est pas un DataViz permettent par ailleurs d’élargir le obligatoirement
outil !) ayant pour objectif de proposer des champ d’exploration et d’interprétation des
représentations intelligibles et parlantes des données, contrairement aux visualisations La DataViz n’a pas vocation à faire du traite-
informations pour exploiter au mieux les gise- statiques. ment de données (tâche qui doit être effec-
ments de données utilisés par l’entreprise. tuée en amont) et doit se concentrer sur le
Son objectif est simple : aider à la décision, … qui doit s’appuyer sur message à délivrer.
faciliter l’analyse et mieux piloter son activité, des méthodes agiles
rendre l'information accessible par une En ce sens la DataViz est uniquement dépen-
approche dynamique, voire ludique (on Le principe d’interactivité qui gouverne la dante de la qualité des systèmes amont (qui
emploie souvent le terme de data storytel- DataViz implique obligatoirement de s’ap- sont fournisseurs de données à valeur ajou-
ling = les données doivent raconter une puyer sur des méthodes agiles de développe- tée) et ne doit pas constituer un « infocentre
histoire). ment, c’est à dire des cycles courts entre la bis » sauf à accepter des charges de dévelop-
réalisation et la visualisation. pement (charges initiales, évolutives ou

38 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

« Son objectif est simple :aider à la décision,


faciliter l’analyse et mieux piloter son
activité, rendre l’information accessible
par une approche dynamique voire
ludique »

correctives) importantes et des réductions de délivrer doit être réservée dans la charge Driven Documents) est une bibliothèque
performance. globale de la mission. graphique Javascript qui permet l'affichage
Les seules opérations opportunes à ce niveau de données numériques sous une forme
doivent essentiellement consister en des Quelques liens en guise graphique et dynamique ». La richesse des
calculs ou des filtrages simples (ex : maximum, d’exemples représentations est impressionnante.
minimum ou moyenne).  Le framework Shiny encapsule D3.js afin
Par nature, la dataviz est une représentation d’offrir une visualisation dynamique
Un large choix dynamique. Il n’est donc pas possible de (http://shiny.rstudio.com/gallery/) de gra-
donner des exemples sur papier. Voici phiques conçus avec le langage statis-
Le développement de services DataViz peut quelques liens à explorer : passez la souris sur tique R.
s’appuyer sur des cadres open-source (jquery, les images, cliquez sur les ascenseurs et les  Dans le cadre de nos travaux de dataviz,
D3js,...) ou vers des outils du marché boutons à votre disposition, etc. nous utilisons directement D3.js. Vous
(Tableau, ...). pouvez consulter un exemple (prototype)
Les outils du marché ont l’avantage de faciliter  McKinsey met à disposition une dataviz sur les taxes locales en France au cours des
la mise en œuvre (beaucoup d’entreprises ne sous Tableau Software à l’adresse suivante : ans (constitué à partir de données en open
disposant pas de personnels prêts à se spécia- https://public.tableau.com/profile/mckin- data) en suivant le lien : www.decliccon-
liser en DataViz) mais peuvent montrer leurs sey.analytics#!/vizhome/AutomationBySect seil.ovh
limites dans des approches plus pointues. or/WhereMachinesCanReplaceHumans.  Voici enfin un exemple de ce qui pourrait
Cette dataviz accompagne une étude1 constituer peut-être le futur de nos
La dataviz et l’audit d’identification des métiers pouvant être supports de rapport : http://worrydream.com/
numérisés ou non (800 métiers ont été ClimateChange. Si, dans cet exemple, les
La DataViz peut constituer un levier de valeur étudiés) à courte échéance. représentations graphiques ne sont pas
ajoutée forte pour l’auditeur (comme pour le  Le must actuel de la dataviz est le frame- dynamiques, en revanche, les liens le
contrôleur) en appui de ses principaux work D3.js (https://d3js.org/) que Wikipedia sont. 
messages. présente ainsi : « D3.js (ou D3 pour Data-
Cependant, la charge de réalisation de resti-
tutions graphiques adaptées aux messages à 1 Article « Where machines could replace humans - and where they can't (yet) », McKinsey Quarterly, July 2016.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 39


L’AUDIT INTERNE ET LE NUMÉRIQUE
« S’il n’y a pas de solution,
c’est qu’il n’y a pas
de problème. »
Jacques Rouxel,
Les shadocks

© alexdndz - Fotolia.com
Valeur ajoutée de l’audit
dans un monde numérique
Quelles compétences pour demain ?
José Bouaniche, Auditeur interne, Caisse des Dépôts et Consignations a plus de 10 ans, comme « Using Regression
Analysis To Continuously Monitor Exceptions »
ou « Using Excel as an Audit Software ». On
Nous abordons dans cet article la notion de valeur ajoutée de l’audit dans le cadre de constate alors l’extrême lenteur de notre
la problématique actuelle de numérisation des entreprises. Nous questionnons la vision acculturation numérique.
que le métier (via notamment les enquêtes de l’IIA) se construit sur le sujet. Enfin nous
Il apparaît de même que des outils particuliè-
nous interrogeons sur les compétences attendues des auditrices/teurs dans un futur
rement efficaces, comme le calcul opération-
proche. nel ou la théorie des graphes, restent
pourtant confinés à des métiers spécifiques
de l’industrie ou de l’armement. Pire, les outils
les plus simples pour l’heuristique et l’innova-
Une lente évolution Ainsi, depuis plus de 20 ans, on nous exhorte tion comme les cartes des idées, la conduite
à l’analyse de données via des tableurs ou des de réunion popularisée par David Strauss (qui
L’audit à valeur ajoutée a souvent été abordé outils spécialisés. On ne peut parler cepen- a largement influencé les méthodes de rapid
comme une panoplie d’outils (les meilleures dant de lame de fond (figure 1). prototyping puis les méthodes agiles), la
pratiques du moment) qu’il suffirait de Mieux, si on veut se faire peur, il suffit de méthode Delphi, … sont demeurés l’apanage
déployer. (re)lire les articles de Richard Lanza parus il y de quelques professions. Pourtant l’audit

40 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

Évaluations de
populations entières 5 sur 10
plutôt que d’échantillons

Tests de conformité
réglementaire 4 sur 10

Possibilités
d’améliorations
opérationnelles 3 sur 10

0 2 4 6 8 10

Figure 1 : Utilisation de l’analyse des données par les services d’audit en 2015 (source IIA)

interne aurait pu les utiliser avec profit et, par  une forte connaissance de l’entreprise, de tence de l’audit interne de l’IIA (2013) la carac-
son exemple, contribuer à diffuser une culture ses valeurs, de ses acteurs clés, de son envi- térise essentiellement par la capacité de sélec-
de l’outil heuristique et d’aide à la décision ronnement compétitif ; tion et d’utilisation d’une gamme d’outils et
dans les entreprises.  un certain courage pour proposer des de techniques manuels et automatisés, de
innovations non attendues par les manière appropriée pour la collecte de
Pour Dean Brooks et Richard Lanza1, la faible donneurs d’ordre de l’audit ; preuves.
généralisation de l’usage de logiciels par la  une connaissance approfondie de ce que
profession peut s’expliquer (surtout pour les la profession considère comme les Il est intéressant de pouvoir comparer ces
services modestes) par : pratiques à valeur ajoutée ; attentes à celle des donneurs d’ordre
 la mauvaise connaissance de l’offre logi-  une capacité créative pour adapter ces (enquête 2016 de KPMG auprès de 400 Chief
cielle par l’audit, due entre autres à une pratiques innovantes et répondre le mieux Financial Officers (CFO) et membres de comi-
offre pléthorique, sans cesse renouvelée et possible aux besoins de l’entreprise. tés d’audit, voir figure 3).
avec de nombreuses spécialités de niche ;
 la difficulté intrinsèque pour collecter les Des compétences clés Mais ces compétence clés nous assurent-elles
données puis les analyser, corrélée à un suffisantes ? de réaliser un audit à valeur ajoutée ?
déficit de compétences sur le sujet dans les
services d’audit ; Les 4 axes de Roth peuvent s’assimiler à des Un point d’inflexion ?
 un manque de personnels qualifiés, de compétences clés : forte connaissance de l’en-
temps et de budget pour s’investir sur le treprise, courage pour innover, connaissance En 2016, Deloitte faisait paraître une étude
sujet. des pratiques à valeur-ajoutée, capacité créa- rapportée dans un article du supplément
tive. Nous aurons du mal à retrouver celles business Les Échos du 19 septembre 2016,
C’est ce qu’on appelle une « étreinte concernant l’innovation et la créativité dans sous le titre « Les directeurs de l’audit interne
mortelle » chez les informaticiens… les différentes enquêtes et études qui ont cherchent à se réinventer ».
suivi.
Innovation ou suivisme, où se Coincés par les exigences de conformité de
trouve la valeur ajoutée ? Ainsi, selon l’IIA (CBOK 2015), les compétences plus en plus importantes, ils ne peuvent
les plus recherchées par les responsables répondre à la demande de conseils straté-
Alors, au-delà de l’utilisation d’outils et de d’audit sont présentées ci-après (figure 2). giques réclamés par leur direction générale,
pratiques émergents, qu’est-ce qui va carac- semble-t-il. Tout service d’audit est ainsi
tériser un service d’audit à valeur ajoutée ? Il On voit que l’esprit critique est au top ce qui confronté à une avalanche de domaines de
apparaît clairement que ce n’est pas en faisant est à la fois rassurant (c’est effectivement la compétences « impératives » comme la
« comme les autres », aussi intéressants soient qualité fondamentale du métier) et inquié- gestion du risque, la fraude, la gouvernance,
les benchmarks. tant, car les différentes enquêtes sociales la cybersécurité, etc. auxquels s’ajoutent doré-
menées ces dernières années (voir notam- navant, a minima3, la maîtrise de la communi-
Dans un des rares articles de fond sur le sujet, ment l’étude Gallup 2013 sur l’engagement) cation numérique ainsi que la capacité
« How Do Internal Auditors Add Value ? » (revue montrent que c’est loin d’être la qualité atten- d’anticipation (sur les risques) et de prédiction
Internal Auditor, février 2003), James Roth2 due dans les entreprises pour les cadres et (à partir des données) tout en effectuant
soulignait justement que la valeur ajoutée de employés. D’ailleurs le référentiel de compé- toujours les contrôles de troisième niveau sur
l’audit dépend des circonstances et de l’envi-
ronnement.
1 « Why Companies Are Not Implementing Audit, Antifraud and Assurance Software and How to Fix It » JournalOnline ISACA 2006.
Il proposait cependant 4 axes pouvant aider 2 Cette réflexion s’appuie entre autres sur une enquête menée par l’IIA, auxquels ont répondu 673 responsables de services d’audit nord-américains.
les auditrices/teurs à déployer une valeur Roth a essayé de fournir une synthèse qui soit détachée des modes.
ajoutée pour leur entreprise : 3 Source « Evolution or Irrelevance ‒ Internal Audit at a Crossroad - CAE Survey », Deloitte, 2016.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 41


L’AUDIT INTERNE ET LE NUMÉRIQUE

les processus et la conformité (conformité raccourcir des délais de mission, identifier plus Ainsi, le RAI ou, mieux, le service dans son
toujours plus présente par ailleurs). facilement certains écarts ou erreurs, etc. On ensemble, doit réfléchir à l’environnement
peut aussi ajouter les conseils suivants : qu’il souhaite développer pour (idéalement)
Pourtant, bien souvent encore, l’audit interne 1. d’abord ne pas partir dans une pensée répondre aux conseils déjà anciens de James
n’est pas considéré comme un métier, mais magique4 où l’outil serait considéré Roth.
comme un passage ayant plus ou moins de comme la solution, alors qu’il n’est qu’un
sens dans une vraie carrière. Les « men (and moyen ; Ces évolutions sont-elles
women) in black » formatés par les cabinets 2. ensuite savoir en quoi nous avons un réel à la hauteur des enjeux ?
renforcent cette image d’un audit qui n’aurait besoin et déployer une démarche
de sens que « comptafi » (axé exclusivement adéquate pour choisir et implanter l’outil Mais tous ces efforts nous préparent-ils suffi-
sur la comptabilité et la finance), dans une (voir le cahier de la recherche « Choisir un samment ? Six évolutions majeures sont iden-
organisation hiérarchisée avec un turn-over outil pour un service d’audit ou de tifiées dans le rapport « Analytics Trends 2016 »
rigoureux. Si ce type d’organisation est parfai- contrôle interne »). du cabinet Deloitte. La première est que les
tement adapté à un cabinet d’audit, l’est-il humains et les machines « devront trouver de
encore pour les nouvelles manières
services d’audit de se compléter les
interne ? uns les autres (will
find new ways to
Des évolutions Compétences personnelles complement one
émergent à la another) ». Si le rôle
marge, afin de 1- Capacité d’analyse, esprit critique des humains est
pouvoir répondre défini – concevoir et
aux enjeux et 2- Communication implanter des tech-
COMPÉTENCES
contraintes sans nologies cognitives,
trop remettre en Compétences techniques s’assurer de la perti-
cause les habitudes. nence et la perfor-
Le modèle de l’au- 3- Comptabilité mance des machines
ditrice/teur généra- aux processus de
4- Evaluation de l’efficacité de la gestion des risques
liste issu du sérail travail, occuper des
comptable ne serait 5- Système d’information (connaissances générales) fonctions (mettant
plus le paradigme par exemple en jeu
6- Connaissances spécifiques au secteur d’activité
adéquat, car il de l’empathie, de la
devient nécessaire 7- Extraction et analyse de données créativité, des soins)
de gérer une multi- que les machines ne
plicité de compé- peuvent pas tenir –
Figure 2 : Compétences recherchées par les Responsables Audit Interne (RAI) avec le choix de 5 priorités
tences spécialisées. (source Top 7 des compétences recherchées par les responsables de l’audit interne ‒ celui des machines
Les propositions Constituer la combinaison de talents adéquate pour votre organisation, IIA CBOK, 2015) n’est pas abordé.
sont alors, par Deloitte considère
exemple : qu’il faut s’attendre,
 disposer d’auditrices/teurs de profession Le périmètre de compétences attendues sur ce sujet, à un impact majeur sur la société
(quelle que soit leur « spécialité »), colonne s’élargit. Par exemple, il serait dorénavant et le business d’ici à 5 ans.
vertébrale du service ; étonnant de faire venir un spécialiste de la
 diversifier les origines professionnelles et de statistique qui ne pratique pas couramment Une autre évolution majeure attendue est la
formation ; des langages et outils spécialisés dans le pénurie de compétences scientifiques et
 face à la pénurie d’auditeurs informatique domaine. technologiques pour les entreprises.
compétents, former les auditeurs comptafi
au sujet ; De même, pour que les auditeurs « comptafi » Selon le Conseil National du Numérique, l’im-
 externaliser ; (ainsi que les généralistes) pratiquent enfin un pact du numérique sur le travail va être un
 réduire au minimum la ligne hiérarchique « audit avec l’ordinateur », l’expérience montre bouleversement sociétal : « il ne s’agit pas
(l’un des marqueurs du lean auditing) pour qu’ils se saisissent plus facilement d’outils d’une crise, mais d’une métamorphose : non
favoriser l’innovation et l’intelligence orga- adaptés plutôt qu’ils ne supportent les d’un passage entre deux états, mais d’une
nisationnelle. conseils de leurs collègues spécialistes en installation dans l’inconnu. Quand la crise
On a vu plus haut pourquoi, selon Dean informatique… En revanche, des auditeurs suppose de résoudre des enjeux qui peuvent
Brooks et Richard Lanza, nous étions si frileux technophiles préféreront souvent développer être cruciaux, la métamorphose nécessite de
sur les outils informatiques. Pour s’en sortir ils une compétence théorique appuyée directe- modifier les conditions mêmes d’analyse de
préconisent d’identifier dans le service un ou ment par des langages et des bases de ces enjeux ».
deux champions et de leur donner carte données adaptés. « Si – et c’est une des hypothèses plausibles –
blanche (dans les limites d’un budget défini
même modeste) pour connaître le marché,
dialoguer avec leurs pairs et expérimenter les 4
« Le poids de la pensée magique en informatique », article de Patrick Gilbert & Claudine Gillot, paru dans L’informatique Professionnelle,
solutions. Ils soulignent la nécessité de se numéro 129 de décembre 1994, reste une référence.
centrer sur des résultats tangibles, comme

42 4e trimestre 2016 — audit, risques & contrôle - n° 008


L’AUDIT INTERNE ET LE NUMÉRIQUE

50 % des emplois sont menacés par l’automa-


tisation dans un horizon proche, si nos savoirs Communication Technology Critical thinking / Understand Understand /
skills judgment global markets command of
et nos compétences doivent évoluer en data analytics
continu tout au long de notre vie profession-
nelle, il ne s’agit pas de modifier quelques
indicateurs, mais d’entreprendre une révolu-
tion épistémologique ».

Se démarquant de l’enthousiasme des cabi- 39 %


nets anglo-saxons, le Conseil d’analyse écono-
mique soutient plutôt que l’automatisation va
conduire à une polarisation du marché du 52 % 48 %
travail. Tandis que les professions intermé-
diaires, situées au milieu de la distribution des
salaires, tendraient à se raréfier, l’économie 67 % 62 %
numérique créerait principalement deux
catégories d’emplois :
 des emplois bien rémunérés, à dimension Figure 3 : Cinq compétences clés attendues (source Seeking Value Through Internal Audit, KPMG International, 2016)
managériale ou créative requérant une
qualification élevée ; nées et les traces numériques peuvent égale- L’audit comme interface humanoïde
 des emplois peu qualifiés et non routiniers ment être utilisées pour reconstituer et
largement concentrés dans les services à la surveiller les comportements ». En s’adaptant à l’évolution numérique comme
personne, qui sont peu rémunérés car leur « De manière générale, des dispositifs de préconisé par les grands cabinets et par l’IIA,
productivité reste faible. contrôle encadrent de manière de plus en sans effectuer d’innovations disruptives, le
plus importante les conditions de travail des métier se cantonne à un contrôle des
« Cela équivaudrait donc, sous couvert d’une employés, concernant à la fois ce qu’il faut contrôles par des outils qu’il sait utiliser mais
revalorisation du secteur des services à la faire, la manière dont cela doit être fait et les dont il ne maîtrise pas la technicité. L’audit
personne, à la reconstitution d’une popula- raisons pour lesquelles il faut le faire. Ainsi la apparaît alors comme une interface humaine
tion de domestiques, au service des différenciation des effets du numérique sur d’algorithmes opaques de troisième niveau,
personnes les plus intégrées dans les proces- l’autonomie des travailleurs est à nuancer en rappelant à l’ordre encadrement et exécutants
sus de production de la valeur ». termes de conditions de travail et d’exécution dans une sorte de « Toyotisme » poussé à l’ex-
des tâches ». trême.
Dernier point à souligner, qui nous touche de
près, le contrôle peut devenir aliénant : Trois scénarios L’audit à valeur ajoutée pour la
« Le numérique est un grand virage des pour l’audit interne société comme pour l’entreprise
conditions de travail, poursuit le Conseil
d’analyse économique : le problème de Je vous propose ici trois scénarios afin d’envi- Ne craignant pas d’apparaître iconoclaste, la
l’usure physique devient celui de l’usure sager à très gros traits l’avenir de la profession profession se positionne en troisième ligne de
psychologique. Le numérique accentue en et les compétences indispensables à défense en capacité d’auditer les algorithmes
effet le phénomène d’intensification du déployer. et programmes de processus largement auto-
travail, du fait de l’automatisation. La rapidité matisés et robotisés à tous les niveaux, de
et la facilité des échanges via le numérique La disparition est envisageable garantir l’usage humain des êtres humains
développent une culture de l’urgence et de (pour citer Norbert Wiener), de toujours se
l’immédiateté dans l’activité de travail. La Dans un environnement systématiquement positionner comme un acteur incontournable
nécessité de connexion permanente qu’en- robotisé et automatisé, si nous restons dans face aux risques, à la fraude, etc... Dans ce
traînent les outils numériques fait également le paradigme de l’auditeur généraliste et cadre, il n’est pas absurde d’espérer que l’au-
peser un risque d’usure psychologique ». « comptafi » au turnover fréquent, la dispari- tonomie au travail5 des auditrices/teurs
« Au-delà de la question de l’usure psycholo- tion de la profession est envisageable. De devienne la norme, que l’ensemble du service
gique se joue celle du renouvellement des nouvelles offres bien plus pertinentes dans soit formé à la pensée critique et à la réflexion
outils de contrôle. Le numérique a tout une société numérique pourront émerger. éthique6 ou que les spécialités informatiques
d’abord permis la démultiplication des outils Des certificateurs externes (CAC ou toute et mathématiques deviennent le nouveau
de reporting. D’autres dispositifs, qui n’étaient autre profession à venir) exécuteront des logi- paradigme de l’audit généraliste au détriment
pas initialement pensés dans ce but ont pu ciels de leur cru pour vérifier données, de l’aspect comptafi.
également favoriser le sentiment d’être programmes, logs de contrôles, bonne actua- De par son rôle de modèle et d’exemple pour
contrôlés chez les salariés : ainsi l’infobésité lisation des robots, etc. Ce contrôle de troi- le reste de l’entreprise, l’audit interne a la
peut être utilisée comme outil de contrôle, sième niveau sera effectué à distance et en pleine responsabilité de tracer aujourd’hui les
dans la mesure où des outils asynchrones continu. contours du monde de demain. 
deviennent des outils synchrones (par exem-
ple avec la configuration de notifications
immédiates sur boîtes mails), qui peuvent 5 Voir par exemple « Vers des organisations du travail responsabilisantes », Terra Nova, 2016.
installer un climat d’injonction à répondre 6
Avec l’excellence de l’offre des MOOCs qui permettent d’obtenir maintenant des certificats,
sans délai à un ordre donné. Les métadon- il n’y a plus l’excuse des coûts de formation renchéris par les coûts de déplacement.

n° 008 — audit, risques & contrôle — 4e trimestre 2016 43


TRIBUNE LIBRE

© pict rider - Fotolia.com


Anticiper la conformité au
nouveau Règlement Général
sur la Protection des Données
Un élément incontournable de la gestion
des risques de votre organisation !
tive européenne de 1995 sur la protection des
Patrick Soenen, Associé audit informatique, Crowe Horwath | Callens,
données à caractère personnel (95/46/CE).
Pirenne, Theunissen & C°
Cette législation unique met fin à la fragmen-
tation juridique actuelle entre les états
membres et permettra à l'Europe de s'adapter
aux nouvelles réalités du numérique.
La notion de « donnée à caractère personnel »
couvre toute information se rapportant à une
personne physique identifiée ou identifiable,
dénommée « personne concernée ». Une

U
n défi majeur auquel la gestion des Le Règlement Général sur la personne concernée est une personne
risques des entreprises doit faire Protection des Données physique qui peut être identifiée, directement
face, aujourd’hui est celui qui ou indirectement, notamment par référence
consiste à protéger les données à Le RGPD (2016/679) a été adopté par le à un identifiant, tel qu'un nom, un numéro
caractère personnel (par exemple fichiers de Parlement Européen et le Conseil de l’Europe d'identification, des données de localisation,
clients ou du personnel). Son importance le 27 avril 2016 et a été publié au Journal un identifiant en ligne, ou à un ou plusieurs
croît proportionnellement aux exigences du Officiel le 4 mai 2016. Il sera applicable le 25 éléments spécifiques propres à son identité
nouveau Règlement Européen sur la mai 2018 dans tous les pays de l’Union physique, physiologique, génétique, psy-
Protection des Données. Européenne. Le règlement remplace la direc- chique, économique, culturelle ou sociale.

46 4e trimestre 2016 — audit, risques & contrôle - n° 008


TRIBUNE LIBRE

Est interdit le traitement des données à carac-


tère personnel qui révèle l'origine raciale ou 5.
ethnique, les opinions politiques, les convic- 1. 3. Responsabilisation
tions religieuses ou philosophiques ou l'ap- Consentement Registre interne
partenance syndicale, ainsi que le traitement
7.
des données génétiques, les données biomé-
Protection des données
triques aux fins d'identifier une personne
physique de manière unique, des données
concernant la santé ou des données concer- 6.
8.
nant la vie sexuelle ou l'orientation sexuelle 2. 4. Analyse
Information & Transparence
d'une personne physique. Droits de la personne Champ d’impact
concernée d’application
Les changements majeurs 9.
Amendes administratives
Les principaux changements par rapport à la
directive européenne 95/46 peuvent se
synthétiser en 9 points d’attention incontour- Schéma 1 : Les changements majeurs.
nables, repris dans le schéma 1.

1. Le « consentement » de la personne traitant sur le territoire de l'Union, que le 6. Lorsqu'un type de traitement est suscep-
concernée est toute manifestation de traitement ait lieu ou non dans l'Union. tible d'engendrer un risque élevé pour les
volonté, libre, spécifique, éclairée et droits et libertés des personnes physiques,
univoque par laquelle celle-ci accepte par 5. Le règlement s'applique aux responsables le responsable du traitement effectue,
une déclaration ou par un acte positif clair, du traitement et aux sous-traitants qui avant le traitement, une analyse de l'im-
que des données à caractère personnel la fournissent les moyens de traiter des pact des opérations de traitement envisa-
concernant fassent l'objet d'un traitement. données à caractère personnel. La respon- gées sur la protection des données à
Lorsque le traitement a plusieurs finalités, sabilisation (accountability) implique que caractère personnel. Le responsable du
le consentement devrait être donné pour le responsable du traitement met en traitement consulte l'autorité de contrôle
l'ensemble d'entre elles. œuvre des mesures efficaces et appro- préalablement au traitement lorsque l’ana-
priées afin de se conformer au règlement lyse d'impact indique que le traitement
2. La personne concernée a le droit d'obtenir européen et d’apporter la preuve, sur présenterait un risque élevé.
du responsable du traitement la confirma- demande de l’autorité de contrôle, que les
tion que des données à caractère person- mesures appropriées ont été prises. Les 7. En matière de protection des données, le
nel la concernant sont ou ne sont pas éventuels sous-traitants doivent présenter responsable du traitement adopte des
traitées, la rectification des données à des garanties suffisantes quant à la mise mesures techniques et organisationnelles
caractère personnel qui sont inexactes, la en œuvre de mesures appropriées équiva- appropriées qui sont destinées à mettre en
limitation du traitement, et l'effacement lentes. œuvre les principes relatifs à la protection
(droit à l’oubli). La personne concernée a
également le droit de s'opposer à tout
moment à un traitement des données à
caractère personnel la concernant (droit Protection renforcée des données
d’opposition), et de recevoir les données à à caractère personnel
caractère personnel la concernant dans un
format structuré, couramment utilisé et
lisible (droit à la portabilité).
Consentement clair requis pour
traiter les données Droit de transférer
3. Le responsable du traitement tient un les données d’un
registre interne des activités de traitement Information plus prestataire à un
Droit de rectification
complète et claire autre
effectuées sous sa responsabilité, et Limitation du recours et de suppression des
concernant le
au traitement données collectées
chaque sous-traitant tient également un lorsque la personne
traitement
automatisé pour
registre de toutes les catégories d'activités arrêter des décisions, concernée a le statut
de traitement effectuées pour le compte p. ex. dans le cas du d’enfant, y compris
droit à l’oubli Accès plus aisé aux données à
du responsable du traitement. profilage
caractère personnel

4. Le règlement s'applique au traitement de


Garanties plus rigoureuses en cas de
données à caractère personnel, automa- Droit à une notification en cas de transfert de données à caractère personnel
violation des données
tisé en tout ou en partie, ainsi qu'au traite- hors de l’UE
ment non automatisé de données à
caractère personnel contenues ou appe-
lées à figurer dans un fichier, dans le cadre
des activités d'un établissement d'un
Schéma 2 : Protection renforcée des données à caractère personnel..
responsable du traitement ou d'un sous-

n° 008 — audit, risques & contrôle — 4e trimestre 2016 47


TRIBUNE LIBRE

à présent les rôles et responsabilités est une


des premières étapes de l’implémentation.

Le Délégué à la Protection des Données :


un acteur clé de la deuxième ligne de
Davantage de perspectives maîtrise

pour les entreprises Le Délégué se substitue au Correspondant


Informatique et Libertés (CIL) et se voit doté
de compétences élargies. Le Délégué à la
Conditions de Dès règles Approche fondée
concurrence égales permettant aux sur les risques, Protection des Données devra agir dans le
entre entreprises entreprises, obligations du respect des principes d’absence de conflit
Un seul ensemble
établies dans l’UE notamment aux PME, responsable du
de règles pour d’intérêts, de confidentialité, d’indépendance
et hors de l’UE de tirer le plus grand traitement mises en
toute l’UE
proposant des biens parti possible du concordance avec et de secret professionnel, pour assister les
et des services à des marché unique le niveau de risque
personnes dans l’UE numérique du traitement organismes et faire appliquer le traitement
des données conformément au règlement
européen. Il sera chargé de :
 Informer et conseiller le responsable de trai-
Schéma 3 : Perspectives pour les entreprises.. tement ou le sous-traitant sur les obliga-
tions qui lui incombent en matière de
protection des données ;
des données (protection dès la concep- fie à l'autorité de contrôle compétente si  Contrôler le respect de la législation appli-
tion), ainsi que les mesures pour garantir possible, 72 heures au plus tard après en cable en matière de protection des
que, par défaut, seules les données à avoir pris connaissance. Lorsqu'une viola- données et des règles internes du respon-
caractère personnel qui sont nécessaires tion de données à caractère personnel est sable de traitement ou du sous-traitant en
au regard de chaque finalité spécifique du susceptible d'engendrer un risque élevé matière de protection des données à carac-
traitement sont traitées (protection par pour les droits et libertés d'une personne tère personnel, y compris en ce qui
défaut). Le responsable du traitement et le physique, le responsable du traitement concerne la répartition des responsabilités,
sous-traitant mettent également en œuvre devra communiquer la fuite à la personne la sensibilisation et la formation du person-
les mesures techniques et organisation- concernée dans les meilleurs délais. nel participant aux opérations de traite-
nelles appropriées afin de garantir un ment, et les audits s’y rapportant ;
niveau de sécurité adapté au risque. 9. La responsabilisation passe par un renfor-  Dispenser des conseils sur demande, en ce
cement des pouvoirs de sanction de l’au- qui concerne l’analyse d’impact relative à la
Le responsable du traitement et le sous- torité de contrôle. Les violations font l'objet protection des données et vérifier l’exécu-
traitant désignent un Délégué à la d'amendes administratives pouvant s'éle- tion de celle-ci ;

«
Protection des Données notamment
lorsque le traitement est effectué par une
autorité publique ou un organisme public, Le Délégué à la Protection des Données -
ou lorsque les activités de base du respon-
un acteur clé de la deuxième ligne de
sable du traitement ou du sous-traitant
consistent en des opérations de traite-
ment qui, du fait de leur nature, de leur
portée et/ou de leurs finalités, exigent un
suivi régulier et systématique à grande
maîtrise »
ver jusqu'à 10 millions € ou jusqu'à 2 % du  Coopérer avec l’autorité de contrôle ;
échelle des personnes concernées. chiffre d'affaires annuel mondial total de  Faire office de point de contact pour l’au-
l'exercice précédent pour les infractions de torité de contrôle sur les questions relatives
8. Lorsque des données à caractère person- non-conformité et jusqu'à 20 millions € ou au traitement et mener des consultations,
nel relatives à une personne concernée jusqu'à 4 % de ce chiffre d'affaires pour les le cas échéant.
sont collectées, le responsable du traite- infractions liées aux violations de données.
ment lui fournit lors de la collecte des Mais l’interdiction de traitement des La Direction des Systèmes d’Information :
informations détaillées concernant données personnelles pourrait constituer un rouage de la mise en œuvre
notamment l'identité et les coordonnées une sanction bien plus handicapante.
du responsable du traitement ; le cas La mise en œuvre de la réglementation
échéant, les coordonnées du Délégué à la Les principales responsabilités implique une révision complète des proces-
Protection des Données ; les finalités du sus des traitement de données à caractère
traitement auquel sont destinées les Transformer le risque de non-conformité au personnel. Tout développement de logiciel
données à caractère personnel ainsi que la nouveau Règlement Général sur la Protection devra prévoir la protection des données dès
base juridique du traitement. des Données en opportunité est pour le la conception et la protection par défaut. Ces
conseil d’administration et le comité exécutif obligations entraînent pour la DSI la néces-
Dès que le responsable du traitement un axe de gestion clé s’ils peuvent démontrer saire conformité « du la conception du logiciel
apprend qu’une violation de données à aux parties prenantes leur engagement vis-à- jusqu’à sa mise en œuvre opérationnelle ».
caractère personnel s’est produite, il la noti- vis des exigences. Pour ce faire, désigner dès

48 4e trimestre 2016 — audit, risques & contrôle - n° 008


TRIBUNE LIBRE

Le Responsable de la Sécurité des mentions légales, négociation de contrat, (analyse d’impact), la protection en amont
Systèmes d’Information : un guide des bonnes pratiques en matière de (avec les principes de protection par concep-
incontournable du principe de protection des données, sensibilisation à la tion et par défaut), la protection en chaîne
sécurisation protection des données... (responsabilité du sous-traitant et possibilité
de coresponsabilité) et la protection docu-
Le responsable du traitement et le sous-trai- La mise à conformité à anticiper ! mentée (documentation obligatoire en tant
tant mettent en œuvre les mesures tech- que preuve de la conformité légale). La mise
niques et organisationnelles appropriées afin Les organisations doivent déployer dès main- en conformité peut donc représenter une
de garantir un niveau de sécurité adapté au tenant les bases d’une stratégie efficace de charge de travail importante très dépendante
risque, y compris entre autres : protection des données pour être en confor- du secteur d’activité.

Pourquoi démarrer dès aujourd’hui ? Pour


Sécurité du traitement avoir le temps de cartographier vos données
à caractère personnel, de mettre en place des
processus et des plateformes informatiques
« sécurisés », de désigner un délégué à la
Confidentialité, Moyens pour Tester, analyser protection des données, d’analyser les risques
Pseudonymisation intégrité, rétablir en cas et évaluer d’impact, de former vos collaborateurs à la
et chiffrement des disponibilité et d’incident la régulièrement collecte des données, d’obtenir le consente-
données résilience disponibilité et l’efficacité des
constante l’accès mesures de sécurité ment des personnes concernées, de mettre à
niveau les contrats avec vos sous-traitants, de
réaliser des audits pour vérifier votre confor-
Schéma 4 : Mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. mité au regard des nouvelles directives, …
Tout un programme ! 

Le Service Juridique : essentiel dans le mité lorsque le règlement entrera définitive-


conseil et l’accompagnement ment en vigueur le 25 mai 2018.
Retrouvez le texte intégral du Règlement
Le service juridique joue un rôle essentiel En effet, le règlement prévoit l’exercice du Européen sur la Protection des Données
dans la gestion des données à caractère principe de protection des données person- sur le site de la CNIL :
personnel. Il conseille, accompagne et met en nelles au travers de la protection renforcée https://www.cnil.fr/reglement-europeen-
garde les opérationnels : rédaction des (droits des personnes), la protection analysée protection-donnees

n° 008 — audit, risques & contrôle — 4e trimestre 2016 49


ACTUALITÉ

500+
PARTICIPANTS
10
PLÉNIÈRES
14 VOUS RENDEZ-

PARTENAIRES
16
ATELIERS
50+
INTERVENANTS

Conférence UFAI-IFACI 2016


Dessiner ensemble l'avenir
de la profession Rassemblant année
après année un nombre

C
e sont plus de 500 professionnels de l'audit interne, du contrôle interne et de la
toujours plus important
maîtrise des risques qui se sont rassemblés les 14 et 15 novembre derniers à la Maison
de participants, alternant
de la Chimie, à Paris, dans le cadre de la conférence de l’UFAI - IFACI « Vison Audit ». Cet
pratiques et thèmes
événement francophone, organisé tous les deux ans par un des instituts de l’Union et,
plus généraux,
cette année, organisé conjointement avec la conférence annuelle de l’IFACI, a joui d'une
la conférence de l'IFACI
participation exceptionnelle d’auditeurs et de contrôleurs en provenance de France et des pays
est devenue le
d'Afrique subsaharienne.
rendez-vous incontournable
des professionnels de l'audit
Prospectif, le programme, animé par plus de 50 intervenants africains, européens et canadien, a
et du contrôle interne.
couvert les axes principaux de la transformation de nos métiers et en particulier :
 les nouvelles technologies, tant en termes de conséquences sur l'activité des organisations L’IFACI vous donne
qu'en termes d'impact sur nos professions ; rendez-vous les
 les nouvelles responsabilités des conseils d'administration et des comités d'audit, ainsi que les
16 et 17 novembre 2017
pour sa prochaine
réponses que doivent leur apporter les auditeurs internes ;
conférence annuelle.
 les nouvelles compétences dont doivent se doter les acteurs de la maîtrise des risques avec,
en premier lieu, la capacité à communiquer efficacement avec l'ensemble des parties
prenantes.

Philippe Mocquard,
Délégué général de l’IFACI

50 4e trimestre 2016 — audit, risques & contrôle - n° 008


Calendrier 2017
Tarifs Tarifs non
SESSIONS Durée adhérents adhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.
SE FORMER À LA MAÎTRISE DES RISQUES ET AU CONTRÔLE INTERNE
S’initier à la maîtrise des risques et au contrôle interne 2j 950 € 1 125 € 16-17 2-3 6-7 5-6 4-5 7-8 3-4 6-7 5-6 7-8 4-5
Réaliser une cartographie des risques 3j 1 675 € 1 875 € 18-20 6-8 8-10 11-13 10-12 12-14 5-7 12-14 11-13 13-15 6-8
Elaborer le dispositif de contrôle interne 2j 1 200 € 1 350 € 23-24 13-14 14-15 18-19 15-16 15-16 10-11 18-19 16-17 16-17 11-12
Piloter un dispositif de maîtrise des risques et de contrôle interne 2j 1 200 € 1 350 € 25-26 15-16 16-17 20-21 22-23 20-21 21-22 18-19 20-21 13-14
ATELIER - Mise en œuvre du COSO 1j 700 € 785 € 17 24 4 29 24
Le contrôle interne des systèmes d’information 2j 1 200 € 1 350 € 27-28 22-23 2-3
Maîtrise des risques, contrôle interne et communication 2j 1 200 € 1 350 € 20-21 29-30 12-13 23-24 19-20
Utiliser les outils du contrôle interne 2j 1 200 € 1 350 € 25-26 26-27 25-26 22-23
Organiser les interfaces Gestion des risques –
Contrôle interne – Audit
NOUVEAU 1j 700 € 785 € 9 18 10
SE FORMER À L’AUDIT INTERNE
Les compétences fondamentales
S’initier à l’audit interne 2j 950 € 1 125 € 9-10 2-3 2-3 3-4 3-4 1-2 3-4 4-5 2-3 8-9 30/11-1/12
- 20% pour un participant inscrit
simultanément à 4 formations

Conduire une mission d’audit interne : la méthodologie 3j 1 710 € 1 850 € 11-13 7-9 6-8 5-7 9-11 6-8 5-7 6-8 4-6 13-15 4-6
Maîtriser les outils et les techniques de l’audit 3j 1 610 € 1 785 € 16-18 13-15 13-15 11-13 15-17 12-14 10-12 11-13 9-11 20-22 11-13
Maîtriser les situations de communication orale de l’auditeur 2j 1 120 € 1 230 € 19-20 16-17 16-17 18-19 18-19 15-16 10-11 14-15 12-13 23-24 7-8
Réussir les écrits de la mission d’audit 2j 1 120 € 1 230 € 23-24 20-21 20-21 20-21 22-23 22-23 12-13 18-19 16-17 16-17 14-15
Exploiter les états financiers pour préparer une mission d’audit 3j 1 610 € 1 785 € 25-27 27-29 29-31 20-22 28-30
Désacraliser les systèmes d’information 3j 1 610 € 1 785 € 22-24 19-21 25-27 18-20
Détecter et prévenir les fraudes 2j 1 120 € 1 230 € 23-24 25-26 26-27 28-29 18-19 21-22
Adopter un comportement déontologique lors de la mission NOUVEAU 1j 700 € 785 € 24 6
Réussir les écrits de la mission en anglais 2j 1 120 € 1 230 € 27-28 23-24
Oral Skills in Internal Audits NOUVEAU 2j 1 120 € 1 230 € 24-25 19-20
Les compétences avancées
Utiliser la pensée critique pour innover NOUVEAU 1j 700 € 785 € 26 20
Utiliser le Balanced Scorecard du service d’audit interne 1j 700 € 785 € 15 11
Utiliser les outils d’analyse causale pour l’auditeur NOUVEAU 1j 700 € 785 € 10 30
ATELIER - Construire le référentiel de contrôle interne de la mission NOUVEAU 1j 700 € 785 € 28 12 7
Intégrer le reporting intégré à l’audit interne NOUVEAU 2j 1 325 € 1 480 € 23-24 16-17
Connaître et utiliser ISO 9001-2015 1j 700 € 785 € 3 27
Connaître et utiliser ISO 31000 1j 700 € 785 € 6 8
Constituer un dossier de fraude au pénal, le rôle de l’auditeur NOUVEAU 2j 1 325 € 1 480 € 16-17 24-25
Organisation et management
Piloter un service d’audit interne 2j 1 325 € 1 480 € 22-23 1-2 9-10
Manager une équipe d’auditeurs au cours d’une mission 1j 700 € 785 € 24 12 17
Le suivi des recommandations 1j 700 € 785 € 18 13 13 13
Préparer l’évaluation externe du service d’audit interne 2j 1 325 € 1 480 € 16-17 21-22
L’audit interne, acteur de la gouvernance 1j 700 € 785 € 19 12
Processus et fonctions
Audit du Plan de Continuité d’Activité - PCA 2j 1 325 € 1 480 € 23-24 28-29 5-6
Audit de la fonction Ressources Humaines 2j 1 325 € 1 480 € 4-5 22-23
Audit de la fonction Achats 2j 1 325 € 1 480 € 2-3 4-5
Audit des contrats 1j 700 € 785 € 10 25
Audit de la fonction Contrôle de Gestion 2j 1 325 € 1 480 € 6-7 25-26
Audit des projets et investissements 2j 1 325 € 1 480 € 9-10 20-21
Evaluer le reporting financier 2j 1 325 € 1 480 € 24-25 26-27
Audit du processus de gestion des risques NOUVEAU 1j 700 € 785 € 9 20
Audit de la conformité de la paie NOUVEAU 2j 1 325 € 1 480 € 20-21 28-29
Audit de l’optimisation et de sécurisation du BFR NOUVEAU 2j 1 325 € 1 480 € 7-8 4-5
Audit de la trésorerie NOUVEAU 2j 1 325 € 1 480 € 20-21 9-10
Audit de la prévention des risques psycho-sociaux NOUVEAU 1j 700 € 785 € 27 10
Audit d’acquisition et Due diligence NOUVEAU 2j 1 325 € 1 480 € 30-31 14-15
Systèmes d’information
Audit de la sécurité des systèmes d’information 2j 1 325 € 1 480 € 29-30 28-29
Audit des processus informatisés 2j 1 325 € 1 480 € 26-27 21-22
Audit de la gouvernance du système d’information 1j 700 € 785 € 1 4
Audit de la cyber sécurité NOUVEAU 1j 700 € 785 € 19 21
Audit de la qualité des données NOUVEAU 1j 700 € 785 € 24 3 27
Gestion et audit des libertés individuelles NOUVEAU 1j 700 € 785 € 7 15
Audit de la direction des systèmes d’information NOUVEAU 2j 1 325 € 1 480 € 22-23 26-27
Intégrer les exigences de sécurité dans les projets NOUVEAU 1j 700 € 785 € 24 24
SE FORMER DANS LE SECTEUR PUBLIC
Audit et contrôle des marchés publics 2j 1 325 € 1 480 € 14-15 12-13 18-19
La gestion des risques dans le secteur public 2j 1 325 € 1 480 € 20-21 4-5 15-16
Audit et contrôle interne des aides publiques NOUVEAU 2j 1 325 € 1 480 € 25-26 27-28 30/11-1/12
SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER
S’approprier l’arrêté du 3/11/2014 relatif au contrôle interne bancaire 1j 700 € 785 € 31 11
Maîtriser la comptabilité et le contrôle de gestion bancaires pour auditer 2j 1 325 € 1 480 € 27-28 16-17
Auditer un dispositif LCB-FT 2j 1 325 € 1 480 € 23-24 14-15 8-9
Auditer la conformité en banque 2j 1 325 € 1 480 € 30-31 13-14 26-27
Auditer le reporting réglementaire Bâle III NOUVEAU 2j 1 325 € 1 480 € 21-22 14-15
ATELIER - Maîtriser les risques des prestations externalisées NOUVEAU 1j 700 € 785 € 2 6
SE FORMER DANS LE SECTEUR DES ASSURANCES
Adapter le contrôle interne à Solvabilité II 2j 1 325 € 1 480 € 22-23 6-7 13-14
Auditer les dé́légations de gestion en assurances 2j 1 325 € 1 480 € 28-29 10-11 17-18
Audit des prestations liées aux contrats d’assurance 1j 700 € 785 € 12 1
SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE
Audit de la gestion des stocks et de la logistique 2j 1 325 € 1 480 € 27-28 28-29
Audit du processus de ventes 2j 1 325 € 1 480 € 13-14 19-20
ACQUÉRIR UNE CERTIFICATION
Préparation au CIA - Partie 1 2j 970 € 1 150 € 6-7 7-8 12-13 6-7
Préparation au CIA - Partie 2 2j 970 € 1 150 € 13-14 13-14 19-20 11-12
Préparation au CIA - Partie 3-1 2j 970 € 1 150 € 20-21 20-21 25-26 18-19
Préparation au CIA - Partie 3-2 2j 970 € 1 150 € 22-23 22-23 27-28 20-21

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : formation@ifaci.com - Retrouvez également le programme complet sur le site internet www.ifaci.com