« la data science métier de demain · « la data science pour un assureur, c’est le cœur de...

N°0084e trimestre 2016

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

« La Data Science pour un assureur, c’est le cœur de sonmétier de demain »Jacques RichierPrésident d’Allianz France

DOSSIERDans un monde numériqueQuelles compétences pour les auditeurs internes ?

VOTRE PASSEPORTPROFESSIONNELINTERNATIONAL

Franchissez le pas et certifiez-vous pour :

faire reconnaître vos compétences

prouver votre maîtrise de l’audit interne

accéder à de nouvelles opportunités de carrière

Le CIA est la seule certification en audit interneinternationalement reconnue

Plus d’informations sur www.ifaci.com

SOMMAIRE

03n°�008 — audit, risques & contrôle — 4e trimestre 2016

05 EDITO

L’audit interne et le NumériquePanorama des enjeux

06 CHRONIQUE

Les cyber-risquesUne priorité ?

08 VOIX DE LA FRANCOPHONIE

L’UFAI : une association en évolution continue

11 OUVERTURE SUR LE MONDE

11 Un monde de connexions

15 L’auditeur face au chantier du GDPR

19 RENCONTRE AVEC ...

Jacques Richier, Président d’Allianz France

23 DOSSIER

24 Les nouveaux usages du numérique :Panorama des enjeux

28 Qualité des donnéesUn bricolage méthodique

32 État des lieux de l’utilisation de l’analyse de donnéesau sein de l’audit interne

36 Détection et prévention des fraudesL’essor du Machine Learning

38 Le DataVizRetour d’expérience

40 Valeur ajoutée de l’audit dans un monde numériqueQuelles compétences pour demain ?

46 TRIBUNE LIBRE

46 Anticiper la conformité au nouveau RèglementGénéral sur la Protection des DonnéesUn élément incontournable de la gestion des risques de votre organisation !

50 ACTUALITÉ

DOSSIERL’audit interne et le Numérique

08

19

42

23

11

EDITO

05

La révolution numérique n’est pas un effet de mode. « Le numérique estpartout, et ce serait une erreur de vouloir le nier ou le relativiser … Le défi del’homme est de reprendre le pouvoir sur les données, de leur donner du sens »( Satya Nadella, Directeur général de Microsoft, dans Les Échos du 8 octo-

bre 2016). Dans ce contexte, les organisations doivent faire face à de nouveauxrisques et d’aucuns se demandent si on doit se doter d’un droit spécifique ousimplement adapter les lois existantes.

Les auditeurs internes, pour leur part, se demandent, à juste titre, à quellescompétences ils devront faire appel pour bien appréhender cette révolutionnumérique, et être à même d’analyser et d’évaluer correctement ces nouveauxrisques. C’est pour apporter quelques éléments de réponse à leurs interrogationsque nous avons construit ce numéro spécial « L’audit interne et le Numérique ».

C’est un numéro dense où sont traités des concepts pas encore très familiers telsque le DataViz, le Machine Learning ou l’Internet of Things (IoT). À la lecture de cenuméro vous aurez peut-être parfois l’impression de redites mais il nous estapparu nécessaire d’avoir sur un même sujet des regards croisés que, j’espère,vous apprécierez, « la répétition n’est-elle pas (comme l’affirmait Napoléon) la plusforte figure de rhétorique ».

Pour savoir comment le numérique est traité dans une grande entreprise enavance sur beaucoup d’autres, nous avons le témoignage de Jacques Richier,Président directeur général d’Allianz France, que nous remercions vivementd’avoir répondu à nos nombreuses et parfois impertinentes questions.

Le dossier « bâti » par José Bouaniche, Président du groupe professionnel« Système d’Information » de l’IFACI est riche de 6 articles, tous passionnants etenrichissants à lire et à relire en prenant tout son temps.

Les objets connectés (IoT) sont à l’honneur dans plusieurs articles et tout parti-culièrement dans celui de Jane Seago, traduit de l’Internal Auditor, nous donnantune vision américaine des risques qui leur sont associés et de leur traitement parles auditeurs internes.

Concernant le règlement européen sur la protection des données applicable dèsle 25 mai 2018 dans tous les pays de l’Union Européenne, deux articles secomplètent et nous donnent, au-delà d’une apparente redondance, deux regardsdifférents.

Parmi tous les risques inhérents au numérique, il y a les cyber-risques qui fontbien souvent la une des médias comme le montre, dans sa chronique Antoinede Boissieu qui nous explique aussitôt que ce sont des risques marginaux compa-rés aux risques produits. Il recommande donc aux auditeurs internes de se « foca-liser, encore pour un temps, sur le cœur de métier de leur entreprise, c’est-à-dire, dansl’industrie, les risques liés aux produits ».

Ce numéro relate enfin deux événements récents : dans« Les Actualités », le grand succès de la conférenceIFACI/UFAI tenue les 14 et 15 novembre ; dans « La voixde la Francophonie », l’élection du nouveau Président del’UFAI, Tommaso Capurso, en remplacement de MireilleHarnois que je remercie chaleureusement d’avoir sitalentueusement œuvré pour le développement de l’au-dit interne dans les pays francophones et plus particu-lièrement pour Haïti et les pays de l’Afriquesubsaharienne. À Tommaso, membre du Comité delecture d’AR&C et grand professionnel de l’audit interne,je souhaite un beau et efficace parcours à la tête del’Union Francophone de l’Audit Interne.

Bonne lecture.

Louis Vaurs - Rédacteur en chef

Dans un mondenumériqueQuelles compétences pour les auditeurs internes ?

n°�008 — audit, risques & contrôle — 4e trimestre 2016

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°008 - 4e trimestre 2016

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONTommaso Capurso

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Tommaso Capurso - Eric Blanc - Antoine de Boissieu - Christian Lesné

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie Bialec23, allée des Grands Pâquis - C.S. 7009454183 Heillecourt Cedex (France)

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : 2427-3260Dépôt légal : décembre 2016Crédit photo couverture : © Allianz France

Les articles sont présentés sous la responsabilitéde leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Cette revue est impriméeavec des encres végétales.

Les risques liés à l'écono-mie digitale et au bigdata font désormaispartie des priorités de la

plupart des services d'audit etdes comités d'audit. Il est vraiqu'ils sont appelés à prendre deplus en plus d'importance, pourau moins deux raisons :1- L'explosion du nombre d'ob-

jets connectés augmente à lafois la probabilité qu'uneattaque réussisse, en offrantplus de cibles, et l'impactd'une telle attaque, enrendant vulnérables desinstallations qui jusqu'ici nel'étaient pas.

2- La réussite des attaques surdes cibles durcies et prépa-rées prouve que la menaceest en train de devenir de plusen plus sophistiquée, tout enétant très évolutive, ce qui larend compliquée à parer.

Plusieurs exemplessignificatifs ces 3derniers mois

On note ainsi dans l'ac-tualité de ces troisderniers mois plusieursillustrations de cyber-risques : Le système de factura-

tion des transports deSan Francisco a été mishors de service pour 2jours à la suite d'uneattaque de hackers.

Fin novembre, 900 000 clientsde Deutsche Telekom ont étéprivés de service pendant 48

heures après une attaque surdes routeurs du réseau.

Fin novembre toujours, onapprenait qu'un logicielmalveillant (malware) avait prisle contrôle d'un million detéléphones sous Android,grâce au vol préalable desidentifiants google de leursdétenteurs.

Dans le secteur bancaire, lescomptes de 20 000 clientsde Tesco Bank ont étépiratés, les pirates réus-sissant à déclencherdes virements. Plustôt cette année, despirates avaient réussià dérober 80 M€ surle compte de

la banque centrale duBangladesh auprès de la FEDde New York après avoirusurpé ses identifiants SWIFT.

Aux Etats-Unis, l'accès à denombreux sites (y comprisTwitter, Amazon ou Netflix) aété rendu impossible pendantplusieurs heures dans certainsÉtats, à la suite d'une attaque

par déni de service visant unopérateur spécialisé dans l'in-ternet des objets.

On a appris récemment égale-ment que les données de prèsde 500 millions d'utilisateursde comptes yahoo ! auraientété dérobées fin 2014.

Enfin, Delta Airlines a subi unepanne informatique deplusieurs jours cet été, en chif-frant le coût à 150 millions de

dollars (sans toutefois l'im-puter à une cyber-

attaque).

Des risquesencore

marginauxcomparés

aux risques Produit

Ces risques sont bien réels, etpeuvent parfois (rarement) avoirun impact supérieur à 100millions de dollars. Il faut bienconstater néanmoins qu'ils

restent marginaux quand onles compare à d'autres caté-gories de risques, survenuseux aussi ces trois derniersmois. Si l'on s'intéresse parexemple au secteur indus-triel, on remarque que lesgros risques sont encore, etde très loin, les risques liés

aux produits.

Samsung a ainsi dû retirer lestéléphones Galaxy 7, pour uncoût estimé à 5 milliards dedollars. Un peu plus tard,Samsung a également annoncérappeler 3 millions de lave-vais-

06 4e trimestre 2016 — audit, risques & contrôle - n°�008

CHRONIQUE

© s

uppa

rsor

n - F

otol

ia.c

om

Une priorité ?Les cyber-risques

CHRONIQUE


selle, pour des défauts de fabrica-tion.

Dans le secteur automobile, Forda annoncé le rappel de 1,5millions de véhicules, pour 650millions de dollars, tandis queGeneral Motors rappelait 4,3millions de véhicules dans lemonde, pour des problèmesd'airbags et de ceintures de sécu-rité, et Fiat Chrysler 1,9 millions,sans communiquer sur le coûtdes rappels. Volkswagen, aprèsavoir accepté de payer plus de 15milliards aux Etats-Unis poursolder le dieselgate, se voit désor-mais réclamer 8 milliards enjustice en Allemagne après 1 400plaintes d'investisseurs s'estimantlésés. Mi-novembre, Toyotaannonçait avoir accepté de payer3,4 milliards de dollars pour réglerdes problèmes de rouille sur 1,5millions de pickup et de SUV.

Dans le secteur de l'énergie, auJapon, les autorités ont annoncél'abandon du surgénérateur deMonju, faute d'être parvenues àfiabiliser l'installation dans desconditions de sécurité satisfai-santes, après y avoir investi plusde 8 milliards d'euros. En France,les anomalies de fabricationdétectées sur des pièces de réac-teurs nucléaires ont provoquél'arrêt forcé d'une partie du parcde centrales, avec un impactévalué à un milliard d'euros.

Dans le secteur de la défense,toujours sur la période deseptembre à novembre, ont étécommuniqués des retards etdifficultés sur plusieurs projetsmajeurs américains (F351,DDG10002, Littoral Combat Ships,porte-avions G.Ford...) et français(sous-marins Barracuda, hélicop-tères NH90, avions A400M).

Dans le secteur aéronautique,Airbus et Prat-Whittney ontcertainement perdu des dizaines,voire des centaines de millions

d’euros à la suite des retards dedéveloppement du moteur GTF3

devant équiper les A320Neo.

Dans le domaine spatial, l'explo-sion de la fusée Falcon 9 deSpace X a interrompu pour aumoins 6 mois l'activité de lasociété. Fin novembre, l'ESA(l'agence spatiale européenne) apar ailleurs reconnu que desdéfauts de fabrication de certainséquipements risquaient derendre inopérants un ouplusieurs des satellites Galileo.

Dans le domaine pharmaceu-tique enfin, Sanofi a annoncécoup sur coup devoir retarder lamise sur le marché de sonnouveau médicament vedette àla suite de problèmes dans l'usinede fabrication, et arrêter à partirde 2018 la production d'un anti-cancéreux, là encore à cause deproblèmes industriels sur uneautre usine.

Comme on le voit, dans l'in-dustrie, les gros risquesrestent pour le momentles risques liés auxproduits. Le nombre d'af-faires significatives et leursimpacts sont sans communemesure avec ce que coûtentpour l'instant les cyber-risques.On pourrait faire la même analyseavec le secteur bancaire, oùplusieurs affaires touchant lecœur de métier de grossesbanques (Wells Fargo, DeutscheBank, Monte Paschi, Mastercard)ont été rendues publiquesrécemment, avec des impacts sechiffrant en milliards d'euros.

Quelles conclusionsfaut-il en tirer ?

L'importance de lacartographie des risques

La première conclusion est qu'ilest toujours utile de faire unecartographie des risques, et d'y

prendre en compte les risquesavérés récents, qu'ils concernentl'entreprise elle-même ou sonsecteur d'activité. Cela permetd'obtenir des éléments de cota-tion des risques, etde relativiser lespossibles effets demode.

La nécessité derester focalisésur les risquesmétier

La deuxièmeconclusionest que lesauditeursi n t e r n e sdoivent ,e n c o r epour untemps,se fo-calisersur le

cœur de métier de leur entre-prise, c'est-à-dire, dans l'industrie,les risques liés aux produits. Lescyber-risques sont réels et déjàlà, mais force est de constater que

l'on en a une représentationlargement amplifiée, et qu'ilssont encore loin d'être au ni-veau où on se les repré-sente. Le rôle de l'audit in-terne est certes d'assurerune veille sur les risquesémergents et de jouer unrôle préventif, mais ilfaut veiller à ne pastomber dans l'excès in-verse en se désinté-ressant trop vite desrisques ma-jeurs.

Antoine deBoissieu

Associé, OSCSolutions

Retrouvez ces publications sur le site de l’IFACI.

Le rôle de l’audit interneface au cyberisques

Perspectives internationalesNouvelles tendances

Publications

1 F35 : Lookeed Martin F35 avion multi rôle.2 DDG 1000 : destroyer lance-missiles Marine US.3 GTF : moteur Pratt & Whitney Geared Turbo Fan.

Ma perception de l’UFAI

En tant que Président du Comitéd’audit de l’OIF (Organisation In-ternationale de la Francophonie)et nouveau Président de l’UFAI,j’ai, du coup, une double visionsur les valeurs de la Francophonie.J’espère que je ne serai pas atteintrapidement de strabisme.Il me plairait d’abord de faire ré-férence en particulier aux deuxderniers Secrétaires généraux dela Francophonie.Monsieur Abdou Diouf : « La Fran-cophonie est un espace de coopé-ration fondé sur le partage d’unelangue, coopération pour promou-voir le multilinguisme, la diversitéculturelle, l’éducation, la formation,la recherche. […] La Francophonieexprime une volonté commune devivre dans un monde où la décou-verte de nos différences nous offrede nouvelles voies vers la solidarité.Le respect des différences appelleun enracinement toujours plus pro-fond d’une culture de tolérancedans les cœurs et les esprits ». Dansce contexte, Monsieur AbdouDiouf mettait aussi en lumière lerôle de l’UFAI pour favoriser le dia-logue des cultures et contribuerà l’instauration d’une mondialisa-

tion respectueuse des diffé-rences, au partage des connais-sances et expériences, à l’amélio-ration des performances desorganisations, qu’elles soient dusecteur public ou privé.Madame Michaëlle Jean, actuelleSecrétaire générale de la Franco-phonie. A l’occasion de la mise enplace du Comité d’audit de l’OIF,Madame Michaëlle Jean a par-tagé un certain nombre de va-leurs « inspirantes » – je dois re-connaître – pour tous les audi-teurs internes et pour toute lacommunauté de l’UFAI : La Francophonie s’est dotée, à

travers ses instances, d’une sé-rie d’outils parce qu’elle a lesouci de développer une cul-ture participative et responsa-ble d’évaluation, d’audit, detransparence et d’imputabilité.C’est cette culture organisa-tionnelle qu’elle a la volontéd’impulser pour tirer le parti deces nouveaux « outils de gou-vernance ».

L’audit interne doit être vucomme un « facilitateur » dansune culture de dialogue etd’ouverture.

Les actions de sensibilisationdoivent être menées pour dé-

velopper une vision partagée,afin de créer un espace de dia-logue et d’échanges entre lesdifférentes parties prenantes,tout en favorisant la clarifica-tion des rôles et responsabilitésdans la bonne gouvernance del’Organisation.

Je ne vais pas décrire ici les statutsde l’UFAI, revisités en 2012, sa mis-sion, ses objectifs. L’UFAI est enrésumé porteuse de nombre desvaleurs précitées, dont le béné-volat, qui font que les instituts quiy adhèrent ont … « plus que letransport en commun ». Valeursuniverselles d’humanité, d’écoute,de dialogue, de diversité des cul-tures, d’écoute, tissant ainsi de-puis 28 ans les liens étroits de lagrande famille de l’UFAI.Aider à la constitution d’associa-tions d’auditeurs internes, pro-mouvoir la pratique profession-nelle de l’audit et du contrôleinterne, constituer une force deproposition envers toutes les par-ties intéressées, produire et par-tager des connaissances de ma-nière multilatérale, coopérer avecd’autres associations profession-nelles, etc. sont des déclinaisonsconcrètes de ces valeurs.

Les défis

L’UFAI est certes connue, mais est-elle suffisamment reconnue ?Cette reconnaissance ne se dé-crète pas ; elle se méritera.L’UFAI, fondée sur l’adhésion vo-lontaire des Instituts et le béné-volat, manque cruellement deressources et de moyens.La valeur ajoutée et l’apport del’UFAI, dans un contexte de mon-dialisation, nécessitent notam-ment : de travailler en bonne intelli-

gence avec The IIA, dont je sa-lue chaleureusement le soutienà l’UFAI et avec qui l’UFAI vientde signer un nouveau MoU(Memorandum of Understan-ding) ;

de disposer, au sein de chaqueInstitut, d’une gouvernance ef-ficace et transparente ;

d’inspirer, de susciter des voca-tions et d’accroître les adhé-sions d’auditeurs internes pourque les Instituts atteignent unetaille critique leur permettantde disposer alors de ressourcespermanentes (à noter que lesauditeurs internes franco-phones représentent actuelle-ment, selon une statistique de


VOIX DE LA FRANCOPHONIE

L’UFAI : une association enévolution continue

© M

aksi

m P

asko

- Fo

tolia

.com

The IIA, sensiblement 5 % du« membership » mondial) ;

d’accentuer les certificationsprofessionnelles des auditeurs,le label « CIA » étant le seulmondialement reconnu dansla profession ;

de réaliser un reporting de qua-lité des Instituts vers l’ IIA etl’UFAI sur un certain nombred’indicateurs clefs et d’obliga-tions du règlement intérieur ;

de développer la mise en ré-seau et la coopération avecd’autres associations profes-sionnelles de renom, la coopé-ration multilatérale entre insti-tuts et la mutualisation de leursressources « rares » ;

d’améliorer les structures et lesprocessus de l’UFAI.

Qu’il me soit permis de rendre unhommage appuyé à l’IFACI, et àson Délégué général, MonsieurPhilippe Mocquard, qui apporteson engagement constant àl’UFAI et, avec une immense gé-nérosité, met à la disposition dela communauté de l’UFAI unegrande richesse de « savoirs » etde « connaissances » par un accèsdocumentaire structuré.

Quelques mots del’AGO du 13/11/2016

Cette AGO a été précédée d’unforum de l’IIA, animé avec profes-sionnalisme par Mmes SylviaGonner et Séverine Chanay-Sa-voyen sur le thème : « L’initiativeafricaine de développement : desactions et des objectifs ambi-tieux ». Un grand merci à leur in-tention pour leur soutien, leursconseils et aussi pour avoir : fait part des initiatives de dé-

veloppement en Afrique,

dirigé des discussions sur lespriorités et les objectifs,

insisté sur la gouvernance effi-cace des Instituts et la néces-sité de revoir leurs « modèles »,

suscité des débats de groupepar rapport aux besoins et ser-vices.

Dix-neuf instituts étaient repré-sentés à l’AGO (Suisse, Algérie,Mali, Luxembourg, Montréal /Québec, Congo Brazzaville, Ga-bon, Liban, Tunisie, Cameroun,Côte d’Ivoire, Ghana, Maroc, Haïti,

Burkina Faso, Guinée, Togo, Bel-gique, France).Les membres du Conseil d’admi-nistration (CA) ont présenté lerapport de leurs mandats respec-tifs.Deux pays se pont portés candi-dats pour l’organisation de la pro-chaine Conférence internationalede l’UFAI en 2018. La finalisationdu processus de candidature etde sélection sera poursuivie.Les représentants des instituts ontdésigné, pour un mandat de 2ans au sein de l’UFAI:


09

Pour ceux qui ne me connaissent pas encore : qui suis-je ?Tout d’abord, je tiens à saluer et chaleureuse-ment remercier les membres de la famille UFAI,qui m’ont accueilli en leur sein en 2004.Et particulièrement, à l’époque, Monsieur YvesChandelon, qui m’a fait immédiatement et entiè-rement confiance dès notre première rencontreà Tunis. Sur sa proposition, l’IIA Belgique m’a rapi-dement désigné comme son représentant offi-ciel auprès de l’UFAI. C’est ainsi que j’ai eu ensuitel’insigne honneur d’intervenir régulièrementcomme orateur, parfois comme formateur, lorsdes Conférences de l’UFAI, essentiellement enterre africaine, ainsi que dans les terres plus loin-taines d’Haïti. C’est vrai que le prix de reconnais-sance reçu à Paris en 2008, dans le contextechargé d’émotion des 20 ans de l’UFAI, m’a parti-culièrement touché tant professionnellementqu’humainement, alors que j’étais encore assez« jeune » … du moins dans le métier de l’auditinterne ! Je suis né en Belgique en 1953, d’une famille ita-lienne, qui compte cinq enfants, suite à la vagued’immigration, résultant de l’accord en 1946 en-tre la Belgique et l’Italie, accord résumé par laformule devenue célèbre « Du charbon contredes hommes ». Accord dont la commémorationdes 70 ans a eu lieu cette année. J’ai fait toutes mes études en Belgique et obtenuun diplôme d’ingénieur civil, que je souhaitaismettre au service des autres (métier d’autantplus attractif que le dictionnaire Larousse luiaccorde de l’«ingenium» : du génie ! C’étaiten outre bon pour l’ego d’un jouven-ceau !). J’avais toutefois longuementhésité avec une carrière de méde-cin. J’ai également été récipien-daire d’un certificat en pédago-gie. Alors que j’imaginais être ensei-gnant et partager des savoirs, j’aien fait travaillé toute ma carrièredans l’industrie : de productiond’énergie (Groupe Schneider puisAlsthom-Jeumont) ; ensuite,du secteur équipe-

ments automobiles, chez Valeo puis au sein deDelphi Automotive Systems, filiale à l‘époque deGeneral Motors. Fort de cette expérience tech-nique, j’ai rejoint en 1999 l’audit … technique,qui se mettait en place au sein de l’audit internerécemment créé alors à la SNCB, la Société Na-tionale des Chemins de fer Belges.Un ingénieur dans un service d’audit interne,historiquement peuplé de financiers et de comp-tables ? Un extra-terrestre à l’époque !J’ai découvert alors une profession nouvelle etpassionnante et pour paraphraser le chanteurRenaud : je n’ai pas pris l’audit, c’est l’audit quim’a pris. Je me suis investi, par nécessité d’ap-prentissage d’abord et par conviction ensuite,dans plusieurs formations et certifications en au-dit interne et gestion des risques, afin de com-prendre les évolutions de notre métier, de lesanticiper et d’adapter notre capacité d’accom-pagner l’entreprise dans un environnement enmutation. À noter que, contrairement aux asser-tions de ces dernières années, le changementn’est pas un attribut de nos temps dits « mo-dernes ». Héraclite (~-550, - 480 avant JC), philo-sophe présocratique, disait en effet déjà : « Seulle changement est constant ».Alors, pour tous les services d’audit internenouveaux ou instituts qui se mettent en placeab nihilo, je leur dis : n’ayez pas peur de la « pageblanche » ; au contraire, c’est une opportunitéunique de découverte de la profession, de créa-

tivité et, en plus, l’UFAI est là pour vous yaider.

J’ai aussi été honoré de servir sur lapériode 2008-2012, comme VP

Europe (hors France), le PrésidentDenis Neukomm, qui a donné uneimpulsion nouvelle à l’UFAI avec sonplan stratégique; enfin aussi honoré

d’être au service de l’infatigable etd’un dévouement sans limite

Présidente Mireille Harnois, grâce àqui de nombreux projets de

développement et de soutienaux instituts ont vu le jour.

— 4e trimestre 2016



Monsieur Mounim Zaghloulcomme Vice-président Afriquedu Nord ;

Madame Kadiatou Konatécomme Vice-présidente Afri-que sub-saharienne ;

Monsieur Christian Van Neder-velde comme Vice-présidentEurope ;

Monsieur Daniel Lebel commeVice-président Amérique duNord et Caraïbes ;

Madame Loubna Khatibcomme Trésorière ;

Monsieur Tommaso Capursocomme Président.

Madame Mireille Harnois siègerad’office en tant que Présidentesortante.Le CA nouvellement constitué seréunira mi-décembre pour : revisiter les objectifs de l’UFAI

et les traduire en termes opé-rationnels ;

tirer les conclusions de l’AGO,et en particulier définir les ar-

bitrages à réaliser : ce qu’ellepeut faire et ce qu’elle ne peutpas faire, compte tenu de sesmoyens limités.

Mes projets / monrêve ?

Je n’ai pas la prétention, étant Pré-sident tout récemment désigné

de l’UFAI, d’énumérer des projetsqui me tiendraient à cœur. Je suisprofondément attaché et engagéau sein de l’UFAI depuis déjà denombreuses années…Conformément à une gouver-nance transparente, il appartientau CA de fixer les grandes orien-

tations stratégiques, et leurs dé-clinaisons opérationnelles, qui se-ront discutées et décidées de ma-nière consensuelle. Ces projets,dans lesquels les instituts devrontse reconnaître, appartiendront àla communauté de l’UFAI.

Je partage résolument les grandsaxes présentés par The IIA au

cours du forum précité : Promotion et visibilité des ins-

tituts. Gestion et direction des instituts. Renforcement et soutenabilité

des ressources. Évolution professionnelle.

Il relèvera des instituts de l’UFAIde s’adapter, de repenser leurs« modèles » de fonctionnement,de trouver, dans un contexte glo-balisé et en mutation, les méca-nismes d’interaction pour répon-dre aux exigences nouvelles (èrenumérique, réglementations…)et enfin de coopérer efficace-ment et en bonne intelligenceavec toutes les parties intéressées.Mon rêve ? Poursuivre l’œuvre despères fondateurs et visionnairesde l’UFAI et des président(e)s quim’ont précédé. Tout simplementque les instituts et services d’auditinterne aident, dans un climat deconfiance qu’ils auront suscité etmérité, les organisations à attein-dre leurs objectifs et rendent,avec humilité et professionna-lisme, le service qui est attendud’eux.

Tommaso Capurso, CIA, CCSA, CRMAPrésident de l’Union

Francophone de l’Audit Interne

« Je dormais et je rêvais que la vie n’était que joie.Je m’éveillais et je vis que la vie n’est que service.

Je servis et je compris que le service est joie. »

Rabindranàth Tagore (1861-1941), Ecrivain indien, Prix Nobel de littérature, 1913

Bien chers tous,

Après 4 années à la présidence de l’Union Francophone del’Audit Interne, j’ai passé le flambeau, lors de l’Assemblée géné-rale ordinaire du 13 novembre à Paris, à une personne excep-tionnelle, une personne qui a la flamme pour la profession maisaussi pour le réseau de l’UFAI. Je remercie Tommaso Capurso(Belgique) d’avoir ainsi accepté cet insigne honneur de pour-suivre la mission exaltante de l’UFAI.

Je me sens fortement privilégiée d’avoir pu servirla communauté de l’UFAI et vivre des expériencesinoubliables, d’un point de vue professionnelmais aussi d’un point de vue humain avec tousles liens qui ont été tissés et l’enseignement quim’a été également offert de parcourir différentspays et leurs différentes cultures. Jamais je nel’oublierai.

D’ailleurs j’ai choisi de ne pas renouveler monmandat justement pour assurer la transitionet la continuité. Je demeure donc pour lesprochaines années en tant que présidentesortante, au sein du Conseil de l'UFAI, au côtéde votre nouveau président. Je poursuis égale-ment mes activités au sein de l’IIA jusqu’en 2019en tant que membre du Comité des Relations avecles Instituts ainsi que membre du « AfricanInitiatives Advisory Council », demeurant ainsiconnectée avec chacun d’entre vous.

Mes profonds remerciements vont à Louis Vaurs,un si grand homme, pour sa confiance et ses

encouragements. Je lui serai toujours reconnaissante pour sagrande générosité, son dévouement et son fort attachement àla communauté francophone. Je lui emprunte des paroles qu’ila déjà citées « Chapeau l’artiste ».

Je tiens aussi à saluer et remercier les Instituts francophones,membres de l’UFAI, qui m’ont permis de vivre cette expé-

rience. Nous continuerons à travailler ensemble.

Une pensée bien spéciale pour les pionniers et fonda-teurs de l’UFAI, des figures emblématiques, au seindu réseau qui ont bien semé le savoir, le partage etl’entraide.

Pour terminer, je profite de cet instant pour remer-cier l’IFACI, le cœur de l’UFAI, son délégué géné-

ral Philippe Mocquard et son équipe pour lesupport indispensable qu’il assure à l’UFAI et

pour la générosité du partage permettant àtoute la communauté professionnelle fran-

cophone de tous les continents de sedévelopper et de progresser ensemble.

Je vous invite à visionner ces quelquesimages UFAI, sa fondation et rétrospec-tive 2015-2016 :

https://youtu.be/BLfnzif8kuY

Merci à tous mes collègues et amis,

Mireille Harnois

Selon la source consultée, d’ici 2020, lenombre d’appareils connectés àInternet dans le monde pourrait oscil-ler entre 26 milliards (Gartner) et 50

milliards (Cisco). Dans les deux cas, les chiffressont vertigineux. À l’évidence, des forces dumarché, comme une accessibilité toujoursplus grande de l’Internet à haut débit, labaisse des coûts de connexion, l’utilisationrépandue du Cloud, le nombre croissant d’ap-pareils équipés de fonctions Wi-Fi et decapteurs intégrés, ainsi que la baisse du coûtdes technologies, se sont conjugués pourcréer l’environnement parfait pour l’Internetdes objets.

L’impact de l’IoT est déjà prégnant. « Un réseaud’objets physiques contenant une technologieleur permettant de capter leur environnement etd’interagir avec lui, et ce au profit des entre-prises » : c’est ainsi que Jim Tully, directeur dela recherche en matière d’IoT chez Gartner, àLondres, définit cette dernière tendance tech-nologique, peut-être la plus ubiquitaire detoutes, qui fait partie intégrante de nos vies(voir « Exemples d’IoT » dernière page de l’ar-ticle). Ses adeptes en vantent le côté pratique,la vitesse, la personnalisation et la facilité d’uti-lisation. Les entreprises mettent en avant sa

capacité à réduire les coûts, assurer la sécurité,générer des recettes et collecter des données.Cependant, d’aucuns prennent en compte lesimplications qu’ont les milliards de conne-xions et les téraoctets de données de l’IoT. Ilssavent que, pour être importants, ses avan-tages n’en comportent pas moins des aspectsnégatifs : risques de sécurité, atteinte à la vieprivée, et capacité moindre des personnes àcontrôler leur vie. Kenneth Mory, consultantprincipal chez Stronghold Solutions Interna-tional et ancien chef de l’audit interne de laville d’Austin, Texas, déclare : « Les horizons desrisques introduits par l’IoT sont infiniment supé-rieurs à ceux que nous connaissons actuelle-ment. Ces nouvelles vulnérabilités ont de trèssérieuses implications pour la sécurité informa-tique et la cybersécurité ».

Les auditeurs internes ont des raisons bienprécises de s’interroger sur les conséquencesde l’IoT sur leurs organisations. Ils peuvent êtreinvités à donner des conseils à la direction surles bénéfices et l’avantage concurrentielpossible qu’il pourrait offrir. Pour autant, ilsdoivent également surveiller les nouveauxrisques qu’il introduit, ainsi que les contrôlescompensatoires nécessaires. Ils ne peuvent sepermettre de présumer qu’un problème réglé

aujourd’hui le restera à l’avenir. De même quela marée montante soulève tous les bateaux,le cycle de développement rapide de l’IoTentraîne une évolution tout aussi rapide desrisques. Les auditeurs internes doivent doncsuivre de près ces changements et être prépa-rés à en informer leurs organisations.

Un éventail de risques

Tout le monde ou presque s’accorde pourreconnaître que l’hyperconnectivité de l’IoTprésente des risques. Toutefois, des diver-gences d’opinions existent quant à leurnature.D’aucuns y voient un caractère apocalyptique.Ils estiment que le contrôle des activitésquotidiennes et la production d’un flux quasicontinu d’informations entraînent un niveaude profilage et de ciblage accru, se traduisantpar une intensification des luttes sociales,économiques et politiques. Ils suggèrent demettre en place des moyens permettant auxgens de se désengager du réseau, d’arrêterd’envoyer et de recevoir des données. JimTully est plutôt sceptique à l’égard de cesoptions de déconnexion : « L’IoT est omnipré-sent », dit-il. « Impossible de s’en affranchir tota-lement ».

L’Internet des objets (ou IoT pour « Internet of things ») impose aux auditeursinternes de faire face à des risques encore relativement mal maîtrisés.

© b

akht

iarz

ein

- Fot

olia

.com

Par Jane Seago

OUVERTURE SUR LE MONDE



Toutefois, d’autres points de vue sur lesrisques liés à l’IoT ont un caractère plus prag-matique : pertes financières affectant le tauxde profitabilité (piratage informatique descompteurs électriques intelligents pour volerde l’énergie), interruption de l’activité (du faitd’une attaque par déni de service), perted’avantage concurrentiel (attaques de toutenature par un concurrent), troubles au seind’un gouvernement (propagande ou « hack-tivisme »), voire perte de vie (dommagescausés à des stimulateurs cardiaques ou à desblocs opératoires dans les hôpitaux). KennethMory souligne un autre risque : la perte departs de marché, qui advient lorsque « l’orga-nisation n’adopte pas l’IoT et ne profite pas desopportunités et des avantages qu’il peut offrir ».Mory fait référence au risque en amont del’IoT, une perspective souvent négligée dansle cadre du risque bien réel sur la sécurité etla protection des données personnelles. Maisune raison explique l’expansion rapide dumarché de l’IoT, malgré le risque inhérent : sesavantages qui, pour la plupart des individuset des entreprises, l’emportent sur les risquesqui lui sont associés. Les clients apprécient lafaçon dont les appareils IoT facilitent leur vieen anticipant leurs besoins et leurs préfé-rences et en y répondant (par ex., le réglagepermanent de la température de la maison enfonction de ses caractéristiques et de l’emploidu temps de ses occupants, la préparation ducafé selon les goûts précis de l’individu, avecla possibilité de la contrôler à distance). Lesentreprises qui utilisent des appareils IoT dansleurs processus, ou dont les salariés utilisentces appareils, sont susceptibles d’en tirer unemultitude d’avantages : obtenir un avantageconcurrentiel sur des concurrents moinsversés en technologie, réaliser des économiesgrâce à des gains d’efficacité et une surveil-lance en temps réel générés par ces appareils,bénéficier d’un engagement plus immédiatet personnalisé des clients, et récolter davan-tage de retours sur leurs investissementsmarketing grâce à des messages plus effi-caces et précisément ciblés. Les entreprisesqui fabriquent des appareils IoT verrontprobablement une augmentation de leurchiffre d’affaires du fait de la demande desclients, voire des occasions de créer denouvelles activités. Et tous, les particulierscomme les entreprises, bénéficieront de l’in-térêt accru pour la cybersécurité que créentles appareils IoT, ainsi que de son corollaire :l’adoption de normes généralement accep-tées et les efforts déployés par les entreprisespour gagner la confiance des consomma-teurs.

Que le risque soit en amont ou en aval, il s’agitlà d’un problème pragmatique qui présente à

l’audit interne un champ d’action pour iden-tifier, évaluer et atténuer les risques. Mais l’au-dit interne ne peut faire office d’avant-posteisolé du risque. D’autres domaines doiventégalement intervenir. Toutefois, Steven Babb,directeur et consultant indépendant chezNewton Leys Consulting Ltd., à Berkshire,Royaume-Uni, estime que la direction n’estpeut-être pas pleinement consciente durisque – probablement parce qu’il n’est pasénoncé en termes opérationnels – et que lespolitiques ne sont pas encore en prise directeavec la définition de l’usage de l’IoT. « En règlegénérale, l’IoT est englobé dans la cybersécurité,qui fait l’objet d’une attention accrue de la partde la direction, même si beaucoup reste encoreà faire sur le sujet », déclare-t-il. « Par ailleurs, l’IoTrecouvre des domaines qui en principe ne relè-vent pas aujourd’hui des services de sécurité del’information ».

Corbin Del Carlo, directeur, audit interne,sécurité de l’informatique et de l’infrastructurechez Discover à Riverwoods, dans l’Illinois, faitvaloir qu’un autre groupe doit s’impliquerdans la gestion des risques liés à l’IoT : lesdéveloppeurs de logiciels (programmeurs).

« Nombre de programmeurs ont toujours évoluédans des systèmes fermés », dit-il. « Peut-être nesavent-ils pas vraiment ce que la connectivitéimplique. En tant que troisième ligne de maîtrise,les auditeurs doivent leur parler et les sensibiliseraux risques ».

Faire la lumière sur les risques

Pour Steven Babb, le rôle de l’audit interne enmatière d’IoT est « essentiellement une questionde visibilité et de risque. Il s’agit d’aider les équipesde gestion des risques à mettre en évidence le faitque le risque est bien réel, à quantifier l’expositionet à porter la question à l’attention de la direc-tion », déclare-t-il.

Cette orientation trouve un écho chez CorbinDel Carlo. « Nous devons contrer les vecteurs demenaces », explique-t-il. « Nous ne devons pashésiter à proposer des axes d’amélioration de lasécurité. Nous ne devons pas hésiter à poser desquestions sur les menaces que présentent lesfournisseurs ». Il ajoute qu’en toute probabilité,ces derniers ne produisent pas ces appareilseux-mêmes. Il se demande si les fournisseurssavent qui fabrique les composants dont ils




dépendent dans leur chaîne d’approvisionne-ment. « Testent-ils ces éléments pour s’assurerqu’ils répondent bien à nos spécifications enmatière de sécurité ? »

Peter Rhys Jenkins, architecte IoT chezWorldwide Watson, IBM, à Dartmouth,Massachusetts, réitère cet impératif de sécu-rité dans l’ensemble du processus de fabrica-tion. « Je veux que mon réfrigérateur soit toutaussi sécurisé qu’un appareil du gouverne-ment », dit-il.

Les organisations qui mettent en œuvre desappareils IoT doivent se doter d’une stratégiepour leur déploiement. M. J. Vaidya, consul-tant principal, EY, Atlanta, Georgie, observeque si la fonction audit interne ne participepas à l’élaboration de cette stratégie, elle n’enest pas moins « une entité cruciale pour veillerà la bonne mise en œuvre de la stratégie, dupoint de vue de la gestion des risques ».

Pour les auditeurs internes, la conduite d’uneévaluation des risques relative aux appareilsIoT utilisés dans leur organisation est lapremière étape constructive pour aborder

l’IoT. Les risques varient d’une entreprise à l’au-tre, en fonction du type de systèmes d’IoTprésents et des processus opérationnels qu’ilsprennent en charge. Une fois les risques iden-tifiés, l’audit interne peut alors veiller à ce queles contrôles d’atténuation soient mis enplace et fonctionnent efficacement, sansjamais perdre de vue le contexte dans lequelces systèmes fonctionnent.Lors de l’examen du contexte, il est importantde ne pas oublier que rien n’existe en vaseclos. Corbin Del Carlo se souvient d’un inci-dent survenu lors de la conférence Black HatUSA 2015, où les hackeurs avaient relevé ledéfi de s’emparer à distance des commandesd’un véhicule connecté à l’Internet. Leurdémarche était relativement simple. Leconstructeur du véhicule n’avait pas mis enœuvre la protection par mot de passe pourl’accès à Internet de la radio de la voiture. « Lesconcepteurs n’ayant pas estimé que la radioprésentait des éléments sensibles, il n’y avaitdonc pas besoin de la protéger », explique-t-il.« Et, si l’on s’en tient strictement à la radio, ilsavaient raison. Mais ce point d’entrée permettaitd’accéder au reste de la voiture ». Le contexteest primordial.

Domaines d’intervention

Assumer les risques associés à l’IoT est uneénorme gageure qui repose sur un travaild’équipe dans l’ensemble de l’organisation.Même le plus long des voyages commencetoujours par un premier pas, dit le proverbe :dans cet esprit, les missions de l’audit internepeuvent porter sur plusieurs activités initiales.

Savoir s’il existe une politique

En abordant des questions liées à la sécuritéau sein d’une entreprise, l’une des premièresétapes est de vérifier s’il existe une politiqueet si elle est à jour. Bien qu’à ce jour il sembleque peu d’organisations se soient dotéesd’une politique IoT spécifique, beaucoup fontréférence au sujet dans leur politique de «Bring Your Own device » (BYOD) (Apportezvotre équipement personnel de communica-tion). Steven Babb explique que la plupartd’entre elles portent uniquement sur un petitsous-ensemble d’appareils qui sont du ressortde l’IoT. Et il ajoute : « Si les salariés apportentun grand nombre de ces appareils, les organisa-tions en achètent et en utilisent tout autant.Beaucoup ne relevant pas de l’IoT et de la sécuritéinformatique, les risques qui en découlentpeuvent être cachés ».

Kenneth Mory ajoute que si son ancienemployeur, la ville d’Austin, ne disposait d’au-cune politique générale pour traiter de l’IoT, il©

cky

be -

Foto

lia.c

om

Exemples d'IoT

La plupart des appareils IoT sont si bienintégrés dans la vie quotidiennemoderne que nous ne nous rendonsmême plus compte de leur présence.Mais l’IoT est partout, comme l’indique cepetit échantillonnage suggéré par JimTully, directeur de la recherche enmatière d’IoT chez Gartner, à Londres :

Voitures : Des modules analysentconstamment le comportement duconducteur – comment il accélère,négocie les virages, appuie sur lapédale de freins. Cette informationpermet aux compagnies d’assurancesd’adapter les risques des conducteursindividuels à leur prime spécifique. Ellepeut également leur permettre deproposer une assurance « à la carte »,dans laquelle le montant de la primeest déterminé en fonction du temps deconduite de la voiture ou de l’endroitoù elle est conduite – sur une routereculée de campagne ou dans unegrande ville aux heures de pointe.

Stationnement : Des capteurs analy-sent les voies urbaines et déterminentsi les places de stationnement sontlibres ou occupées. Ils se relient alors àune application mobile qui guide leconducteur vers une place disponible.

Éclairage : Un nouvel éclairage peutanalyser la localisation des personnesdans les immeubles, offrant ainsi desavantages en termes de sécurité (lazone est éclairée) et de réduction descoûts (les lumières sont éteintes dansdes espaces inoccupés).

Jouets : Certains jouets sont équipésde caméras qui reconnaissent le visagede l’enfant. Ils sont capablesd'« apprendre » à le connaître et d’in-teragir avec lui de façon éminemmentpersonnalisée.

Agriculture : Des capteurs dans leschamps analysent l’humidité et l’enso-leillement, suggèrent une meilleurefaçon d’irriguer, et prédisent même lemoment de la récolte.

Administration publique : Denombreuses villes utilisent des applica-tions « ville intelligente », prises encharge par l’IoT, pour la gestion del’analyse de la pollution et la gestion dela circulation.


existait néanmoins des politiques portant surl’utilisation des clés USB, des lecteurs porta-bles et autres appareils portables comme lestéléphones et les ordinateurs.

Les insuffisances en matière de sécurité del’IoT offrent à l’audit interne une occasion dejouer un rôle important en travaillant avec leséquipes de la cybersécurité, de l’informatique,du service juridique et de la fonction protec-tion de la vie privée pour les conseiller surl’élaboration d’une politique d’IoT. Les poli-tiques existantes relatives aux mots de passe,aux patchs correctifs et à la surveillance dusystème devront être revues afin de placerclairement l’IoT dans leurs champs d’applica-tion. La création ou la mise à jour des poli-tiques en matière de segmentation de réseauet de contrôle d’accès peut s’avérer néces-saire. Les appareils approuvés et leur usagedoivent être précisément énoncés, et leursimplications clairement identifiées, non seule-ment pour les salariés, mais également pourles partenaires commerciaux, les fournisseurset les clients ayant des connexions avec leréseau de l’entreprise.

Vérifier l’inventaire

Il est difficile de faire respecter une politiqued’IoT sans connaître précisément le nombreet le type d’appareils IoT présents au sein del’entreprise. Steven Babb et Kenneth Moryreconnaissent que les inventaires, s’ils existent,plutôt que de présenter une vision globalesont probablement incomplets ou cloisonnés.Certains couvriront des appareils achetés parl’organisation mais ne mentionneront pasceux apportés par les salariés.

Une fois que l’inventaire a fourni les informa-tions nécessaires, les contrôles appropriéspeuvent alors être mis en place. La société deCorbin Del Carlo, Discover, fait de la protectionde son réseau un enjeu prioritaire. « Nousavons l’interdiction générale des appareils n’ap-partenant pas à la société », dit-il. « Nous ne lesautorisons pas sur notre réseau. Nous fournis-sons un réseau dédié aux « invités » qui peut êtreutilisé pour la connexion de ces appareils, etuniquement à l’Internet ». Discover installeégalement des logiciels de virtualisation surles téléphones qu’elle fournit pour segmenterles données, et s’est dotée d’un système dedéfense périphérique rigoureux. Les ordina-teurs portables sont cryptés et les donnéespeuvent être effacées à distance. Malgré tout,fait remarquer Corbin Del Carlo « chaque jources contrôles bloquent des centaines d’exploitsde la part de pirates informatiques de différentsniveaux de sophistication. Mais sans une vigi-

lance constante à l’égard de ces assauts, proba-blement aucune organisation ne serait enmesure de contrer chacune de ces attaques ».

Sensibiliser la direction

Quel que soit le niveau de conscience actuelde la direction sur les risques liés à l’IoT, ilsemble y avoir un consensus pour dire qu’ilfaut une plus grande sensibilisation en lamatière. Kenneth Mory dit que certainesdirections connaissent le concept général quirégit l’IoT, mais qu’elles n’en saisissent pas lesopportunités et les menaces qu’il présente.Selon lui, l’audit interne a un rôle évident àjouer pour aider la direction à comprendre etgérer les risques.M.J. Vaidya reconnaît l’importance de la sensi-bilisation, « du conseil d’administration jusqu’auniveau tactique et partout ailleurs, à tous lesniveaux, pas seulement l’informatique, pas seule-ment les cadres, pas seulement le développe-ment de produit, pas seulement la production,mais dans l’ensemble de l’entreprise ».

Revoir la sécurité

Peter Jenkins dresse une liste des mesures debase, mais indispensables, que les auditeurspeuvent tester après leur mise en œuvre. « Ence qui concerne l’approvisionnement, lorsqu’unnouvel appareil rejoint le Cloud pour la premièrefois, veillez à ce que le mécanisme utilisé pour laconnexion soit crypté », dit-il. Il conseille parailleurs de vérifier que le Cloud lui-même estsécurisé, que les hachages des mots de passesont stockés loin de leur identification, et queles données en provenance et à destinationdes appareils sont cryptées. Il ajoute : « Desmises à jour par radio de micrologiciels sontnécessaires pour que l’équipement soit toujoursactualisé. Assurez-vous que ce processus esteffectué en toute sécurité ».

Maîtriser l'IoT

Il semble impossible de discuter un tant soitpeu de l’IoT sans en revenir aux risques qu’ilpose. Mais Jim Tully souligne que de trèsnombreux appareils d’IoT sont déployés pourla sécurité. Ils existent pour réduire les risques.« Prenez les capteurs structurels dans les ponts,par exemple », remarque-t-il. « Ces capteurs

avertissent en cas de charges ou de contraintesexcessives – ils sont liés aux systèmes de contrôlede la circulation qui arrêteront le trafic entrantsur le pont. Les détecteurs de monoxyde decarbone et les détecteurs de fumée connectés àinternet ont la même fonction. Ils sont directe-ment déployés pour réduire les risques ».

Mais, dans les domaines de l’audit interne etde la sécurité de l’information, la plupart desintervenants pourraient arguer que ce qui lespréoccupe, ce n’est pas tant le domaine d’ap-plication de l’appareil que sa connectivité etl’impossibilité quasi certaine de la sécurisationtotale d’une organisation, de ses actifs ou despersonnes qui utilisent ses systèmes. CorbinDel Carlo en convient, mais ne s’arrêtera paspour autant d’essayer d’y parvenir. « Selon unfameux dicton, il est parfaitement impossible deconstruire quoi que ce soit à l’épreuve des imbé-ciles, les imbéciles se montrent toujours si ingé-nieux ! », dit-il « Mais l’on ne peut toutsimplement pas baisser les bras. Je travaille pourune banque. Nous sommes là où est l’argent.Nous devons maintenir un niveau de sécuritémaximal ».

L’IoT est pour les auditeurs internes l’occasiond’intervenir dans un rôle qu’ils n’ont guère l’oc-casion de jouer : celui de défenseur. Ilspeuvent défendre les intérêts des utilisateursdes appareils IoT, les particuliers comme lesorganisations. « La sécurisation des appareils IoTest une entreprise difficile et chronophage, maiselle est indispensable », poursuit Peter Jenkins.« Les fabricants de ces appareils disent le faire, etbien le faire. Mais est-ce vraiment le cas ? Ilappartient aux auditeurs internes de leur en faireapporter la preuve ».

Jeane Seago, est une rédactricecommerciale et technique qui vit à Tulsa,

dans l’Oklahoma


LISEZ « L’opportunité des objets » sur InternalAuditor.org pour savoir comment l’audit internepeut aider les organisations à identifier les avantages concurrentiels qu’elles peuvent retirerde l’Internet des objets.

Cet article du numéro d’août 2016 du magazine InternalAuditor, publié par The Institute of Internal Auditors, Inc.,www.theiia.org , a été traduit et réimprimé avec leurpermission.

Publications



Obligations du GDPR

Les données à protéger sont celles du person-nel, des clients, des fournisseurs, des pros-pects ou autres qui se trouvent sur toutordinateur, serveur ou dispositif – nomade oufixe – appartenant à l’entreprise. Il peut s’agirau-delà des fiches signalétiques, de simples

échanges d’e-mails, de journaux d’activité, delogs techniques ou bien encore de donnéesde traçage géographique ou technique desvisiteurs de sites web. Ces données devraientêtre sécurisées de manière à les protégercontre le vol ou tous risques de divulgation àdes tiers mettant en danger la vie privée desindividus concernés.

L’entreprise qui détient les données possèdela charge de la gestion de leur intégrité ainsique celle de la détection de toute menace deleur intégrité et confidentialité. En cas d’inci-dent de compromission des données, l’entre-prise devra notifier l’autorité compétentedans les soixante-douze heures qui suivrontla découverte. Et dans des cas spécifiquesgraves, elle devra aussi informer les individusconcernés. Le règlement impose l’obtention de l’autori-sation des individus lorsque leurs donnéesprivées seraient rassemblées ou traitées. Laconservation des données ne devra pasdépasser les besoins raisonnables liés à leurutilisation. De même, l’entreprise devrapermettre aux individus l’accès aux informa-tions les concernant ainsi que la possibilité derépondre à leurs demandes de modifier oud’effacer ces données. Celles-ci ne pourrontêtre transférées en dehors de l’UnionEuropéenne que dans des cadres bien définis.De même, le traitement par des tiers, sous-traitants ou filiales, devra offrir les mêmesgaranties de confidentialité.Les autorités de contrôle vont pouvoir infligerdes amendes administratives à concurrencede 20 millions d’euros ou de 4 % du chiffred’affaires annuel si ce montant est plus élevé.

L’auditeur face auchantier du GDPR

(General Data Protection Regulationou Règlement sur la protection des données)

Le nouveau règlement européen approuvé fin 2015 sera en vigueur à partir de mai2018. Il est à craindre que les entreprises ne soient pas prêtes à temps même si ellescommencent à se préparer dès à présent. Le GDPR est une évolution logique suite à la première initiative européenne de 1995appelée « Directive sur la protection des données ». Elle a été suivie en 2012 par l’obli-gation de notification des violations des données et en 2014 par le droit à l’oubli.Présentant des enjeux et des amendes faramineuses pour les acteurs économiquespublics et privés, il impactera les activités d’audit et les processus de contrôle interne.

Georges Ataya, Professeur à Solvay Brussels School of Economicsand Management et Associé gérant du cabinet de conseil ICTControl SA

© ro

bu_s

- Fot

olia

.com

Un besoin d’adapter le programme d’audit interneaux besoins de la nouvelle règlementation

L’entreprise devra maîtriser à tout momentl’inventaire des données dont elle dispose,leur localisation, l’objet de leur collecte, lemodèle de sécurisation, de stockage et deleur effacement. Pour prouver sa conformitéà la directive, la société devra conserver lesdocumentations pertinentes de manière àrassurer les autorités de contrôle lorsquenécessaire.

Certaines entreprises devront désigner undélégué à la protection des données, ou DataProtection Officer (DPO). Le responsable dutraitement et le sous-traitant désignerontrespectivement un délégué à la protection

des données dans des cas spécifiques. Ce serale cas lorsque le traitement est effectué parune autorité publique ou un organismepublic ; lorsque les activités exigent un suivirégulier et systématique à grande échelle despersonnes concernées et lorsque les activitésconsistent en un traitement à grande échellede catégories particulières de données sensi-bles ou à caractère personnel relatives à descondamnations pénales ou à des infractions.La règlementation concerne tous les acteurs,même ceux situés en dehors de l’union euro-péenne dès qu’ils seraient amenés à traiterdes données appartenant à des individuseuropéens. Elle distingue les rôles de respon-sable du traitement et exécutant du traite-ment, ou sous-traitant ayant chacun leursentières responsabilités. Les donnéesnouvelles tels l’adresse IP, les données degéolocalisation et les identifiants techniquessont formellement identifiées et font partiedes données considérées comme privées.

Modifications du contrôleinterne

La mise en place de la règlementation néces-site une révision des contrôles internes et unemise en place des modifications nécessaires.Il s’agit d’actions à quatre niveaux : le niveaude la gouvernance et de l’organisation globalede la conformité ; le niveau des processusfonctionnels et de leurs adaptations ; le niveaudes opérations et de la journalisation des trai-tements et l’inventaire des données et desactivités et finalement le niveau des solutionstechnologiques nécessaires.

Ces exigences de conformité nécessiterontdes chantiers importants. Les méthodes detravail de toutes les fonctions concernées de

l’entreprise devront être adaptées. Lesexigences fonctionnelles des applicationsinformatiques actuelles et celles des applica-tions en construction devront être actualisées.Les exigences non fonctionnelles serontrenforcées pour confirmer les protections, lesgaranties de service et la documentation desopérations (logs des activités et journaux desincidents).

Des modifications importantes du contrôleinterne seront nécessaires pour d’une partréaliser la conformité et d’autre part pour quecette conformité soit atteinte de manièreoptimale en coût, en effort et en risque.

Les nouvelles règles actuelles de contrôleinterne devront être revues rapidement, déjàen 2016, pour que les chantiers puissentdébuter et pour que l’entreprise puisse êtreconforme au courant de l’année 2018.

Le contrôle interne et sa maturité dépendentde leviers critiques. Si on se réfère à la défini-tion du cadre COBIT, on cite alors sept leviers :le premier levier concerne la disponibilité dessystèmes, des applications et des services. Ledeuxième levier concerne le personnel quidevrait pouvoir consentir à un effort impor-tant face à ce changement en acquérant denouvelles compétences. Le troisième levierest relatif à l’organisation qui devra être modi-fiée pour intégrer ces adaptations.D’autres leviers tels que la disponibilité de l’in-formation de gestion (quatrième levier), le

développement de nouvelles politiques etrègles de travail (cinquième levier) et finale-ment celui du comportement des employés,des fournisseurs et même des clients, sont àinstaller pour renforcer les contrôles utiles(sixième levier). Le septième levier consiste enune définition des processus et des activitésde confidentialité commune à l’entreprise.Il ne sera certes pas aisé de réaliser cette miseen place pourtant essentielle. Il est même àparier que pour des entreprises d’une certainetaille et d’une certaine inertie, les sept leviersrisquent d’être mis en place de manièreséquentielle plutôt que simultanée, retardantdu coup la date finale de la conformité effec-tive.

Besoins de sécurisation de l’information

La sécurité de l’information consistait dans lepassé en des activités techniques commel’installation de dispositifs de protection del’infrastructure et de logiciel technique. Pourrappel, il s’agissait de pare-feu, de détecteursd’intrusion ainsi que de programmes demises-à-jour automatiques de nouvellesversions de systèmes d’exploitations et autresprogrammes de middleware (intergiciel).

Les risques ont bien évolué et les vulnérabili-tés ne sont plus limitées à la couche tech-nique de l’infrastructure, notamment desserveurs et des réseaux. Elle atteint rapide-ment les couches les plus élevées puisquequ’elles concernent actuellement les donnéeset les opérations essentielles à la poursuitedes activités.

Les trois catégories de risques les pluscourants sont la continuité des opérations,l’intégrité des données et de la confidentialité.Ces deux dernières catégories sont les plusconcernées par le GDPR.


Les sept leviers risquent d’être mis en placede manière séquentielle plutôt quesimultanée, retardant du coup la datefinale de la conformité effective

«»

LES RISQUES MAJEURS DE LA RÉGLEMENTATION GDPR

Financier

Pénalités sur la basedu revenu annuel

Opérationnel

Mise en place pénalisantd’autres activités

Réputation

Détérioration de laconfiance des clients

Alignementglobal

Règles contradictoiresdes pays ou continents

Extra-territorial

Au-delà desfrontières de l’UE



Plusieurs publications structurent l’entreprisenumérique en une couche architecturale avecles composants suivants : infrastructure, appli-cations, services, information et processusmétiers.

La couche des applications semble actuelle-ment être la plus négligée en ce qui concerneles risques inhérents et les besoins en effortsde sécurisation. La dette technique, c’est à direla masse d’efforts nécessaires pour mettre lesapplications critiques à un niveau acceptablede sécurité, est souvent immense, commerégulièrement rapporté par plusieurs étudesspécialisées (par exemple : it-cisq.org/stan-dards/technical-debt).La couche applicative contient souvent desfailles non documentées, des imperfectionsinsérées naturellement par l’action humainequi continue à construire du logiciel en arti-sanat parfois en oubliant les principes de basede construction de logiciel. Le nouveau stan-dard ISO/IEC 27034 apporte à ce sujet desméthodes formelles de sécurisation des appli-cations critiques.

La sécurité de l’information nécessite des acti-vités sur toutes les couches architecturales.Parmi celles-ci citons-en quatre essentielles : Activité 1 : La gouvernance de la sécurité

et la définition de sa responsabilité et de sesobjectifs relatifs au GDPR. Il s’agit d’identifierles informations, services et autres actifs àprotéger et définir les niveaux de protec-tion.

Activité 2 : L’analyse des risques (menaces,vulnérabilités attaques possibles...) et ledéveloppement de plans d’améliorationpour la mitigation de ces risques.

Activité 3 : La mise en place de projets deprotection qui concernent souvent lesinfrastructures, les applications, les donnéeset leurs gestionnaires fonctionnels dans l’or-ganisation.

Activité 4 : Le développement desméthodes, de la communication et de lagestion potentielle de crise en cas d’inci-dent.

Ces quatre activités constituent le corps deconnaissance de la certification CISM (CertifiedInformation Security Manager que l’auteur acontribué à développer en 2002. Il existeactuellement plus de 25 000 professionnelscertifiés dans le monde).Les menaces liées à la cyber sécurité augmen-tent d’année en année les exigences et lesbesoins de sécurisation. Les attaques contreles données privées, la menace de publicationde ces données sur Internet avec chantage de

rançon et le chiffrage des données sont deve-nus des cas très fréquents.

Il sera impératif de renforcer la capacité dedéfense nécessaire et suffisante pour assurerla conformité avec les nouvelles exigences dela règlementation GDPR. Parmi celles-ci citonsles trois activités à ajouter aux quatre définiesplus haut : Activité 5 : La détection rapide des inci-

dents est déterminante pour réaliser unedéfense efficace. Or, il n’est pas rare dedécouvrir une attaque cyber criminelle

plusieurs jours, semaines, voire mois aprèsson premier enclenchement. Les processuset activités de détection nécessitent d’unepart un renforcement des protections tech-niques et d’autre part l’adéquate conscien-tisation du personnel afin qu’il devienne lepremier vecteur de détection. Celui-cidevra se familiariser avec tout indice inquié-tant et reconnaitre les détecteurs d’anoma-lies et de signaux d’attaques.

Activité 6 : La réponse appropriée auxattaques est essentielle. Les premiers

La couche applicative est la couchearchitecturale la plus souvent négligée etelle nécessite des efforts de sécurisationimmenses

«»

LES 7 LEVIERS DE GOUVERNANCE INFORMATIQUE

Process

2Organisational

Structures

3Culture, Ethicsand Behaviour

4

Principles, Policies and Frameworks1

Information

5 Services6

People,Skills and

competencies

7

Applications

Infrastructure

Ressources

© Copyright ICTC.EU 2016, source COBIT



instants sont déterminants pour la gravitéde l’envahissement et des conséquencessubies. Le personnel devra apprendre à agirde manière adéquate selon le type de l’at-taque. La direction devra éviter de commu-niquer sur l’incident, que ce soit en interneou en externe, de manière maladroite etirrécupérable. Une notification légale devraparfois être préparée à l’avance et elledépendra du type d’intrusion.

Activité 7 : La récupération et le retour àune situation normalisée consistent à plani-fier déjà en avance et selon l’attaque, lesdispositifs, les opérations, les modalités etles séquences nécessaires pour une remiseà niveau saine. Des erreurs dans ce parcourspeuvent susciter plus de dommages queceux créés par l’attaque elle-même.

Il faudra s’assurer que des activités fonction-nelles seront réalisées tels un cadre légal, desprincipes de protection de la confidentialité ;des rôles et des responsabilités ; une gestiondu cycle de vie des données ; des processusadaptés aux concepts de confidentialité ; uneclassification des données ; une labellisationde l’information ; une sécurité des bases dedonnées physiques et logiques et finalementune méthodologie de protection contre lesfuites des données (Data Leakage).

Les activités d’audit

Sur la base de ce qui précède, les activitésd’audit sont essentielles pour donner uneassurance sur les différentes étapes de miseen place de la conformité selon la règlemen-tation GDPR.

Lors de la phase de développement descontrôles internes répondant aux risques, l’au-dit interne devra maîtriser les élémentssuivants : La définition d’une stratégie d’attaque et de

l’implication de tous les acteurs concernéspar la directive. L’auditeur s’assurera que lesdifférentes exigences et modalités de miseen place ont été attribuées à des décideursau sein de l’entreprise.

L’existence d’une feuille de route détailléeet une gestion de la conformité en tant queprogramme intégré. Celui-ci devra recevoirla visibilité nécessaire et disposer d’un plan-ning raisonnable vers l’horizon 2018 ainsique d’un budget adapté.

La réalisation d’une analyse des contrôlesinternes nouveaux et nécessaires à laconformité.

Lors de la phase de mise en place, Il devradévelopper son plan d’audit et ses missions

sans faire l’économie d’un plan d’audit adaptéà la spécificité de l’entreprise. Ceci est d’autantplus important que la règlementationmentionne la « Protection des données dès laconception » (Privacy By Design). Ceci signifiequ’en cas de conception de nouveaux traite-ments, l’entreprise doit intégrer la protectiondes données à caractère personnel dès ledébut du processus. L’implication de l’audi-teur dans les activités de conception dessystèmes et de leurs architectures sera indis-pensable.La refonte de l’organisation de sécurité devras’accompagner d’une évaluation des septactivités de sécurité de l’information citéesplus haut. Ceci comprend aussi l’analyse del’adéquation des sept leviers. Il est nécessaire dès lors d’analyser la descrip-tion de fonction du DPO et évaluer sa capa-cité à réaliser ce qu’on attend de cettefonction. Le processeur des données et ses sous-trai-tants éventuels doivent déclarer toute viola-tion de données à caractère personnel dansles meilleurs délais après en avoir pris connais-sance. L’audit des activités opérationnelles ycompris celles des sous-traitants et de leursrisques devient une activité importante àajouter aux plans d’audits annuels.

L’auditeur est un acteur important pour laréussite d’une mise en place de la conformitéGDPR.

Les activités d’audit sont essentielles pourdonner une assurance sur les différentesétapes de mise en place de la conformité

«»

P. S. : Source du texte original du règlement GDPR :http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf

RENCONTRE AVEC ...


Trois grands sujets d’actualité

Louis Vaurs : Je voudrais en premier lieu, Monsieur le Président,avoir votre opinion sur trois grands sujets d’actualité.Le Brexit peut-il permettre à la Place de Paris de devenirdemain, pour l’assurance, ce que la Place de Londres estaujourd’hui pour la banque ?

Jacques Richier : La question est justifiée ! En effet, le Brexitest en quelque sorte l’accélérateur d’une évolution préexis-tante, qui a vu Francfort prendre le leadership sur la régu-lation bancaire européenne. Si l’Union Euro-péenne n’apas encore proposé quelque chose de similaire pour lesecteur de l’assurance, il paraît sensé de s’y préparer. Parisserait un lieu possible pour accueillir une nouvelleinstance de ce type, surtout depuis le Brexit. MaisFrancfort reste une vraie possibilité concurrente.

L. V. : Bâle 2 n’a pas empêché les difficultés du secteurbancaire, avec récemment les difficultés de laDeutsche Bank et des banques italiennes. Pourrait-on connaître ce type de problème dans l'Assurance,et ce malgré la mise en place de Solvabilité 2 ?

J. R. : Le fait de traverser des périodes de difficultéfait partie de la vie des entreprises, de leur cyclede vie. À ce sujet, il me semble que Bâle 2 apermis d’alerter les acteurs bancaires suffisam-ment tôt, notamment via des tests de sensibilité(je pense à des acteurs bancaires allemands ouitaliens par exemple). Ceux-ci leur ont permis deprendre des mesures. C’est la raison pourlaquelle j’estime qu’il faut faire la différenceentre « traverser des difficultés » et « ne passavoir les surmonter ». Bâle 2 commeSolvabilité 2 sont là pour prévoir et mettre enplace des solutions pour surmonter les diffi-cultés.

L. V. : La conformité prend de plus en plus deplace dans votre métier : pensez-vous quel'on soit allé trop loin ?

Jacques Richier, Président d’Allianz France

La Data Sciencepour un assureur,c’est le cœur de sonmétier de demain


RENCONTRE AVEC ...©

Alli

anz

Fran

ce

Leader européen de l'assurance et des servicesfinanciers, Allianz propose une offre complète

qui couvre tous les besoins en assurance,assistance et services financiers des particu-

liers, professionnels, entreprises et collec-tivités. Avec 147 000 salariés dans le

monde, Allianz est présent dans 70 pays,au service de 85 millions de clients.

Assureur généraliste, spécialiste dupatrimoine, de la protection sociale,

Allianz France s'appuie sur larichesse de son expertise et le

dynamisme de ses 10 500 colla-borateurs en France. Près de

7 000 intermédiaires commer-ciaux, Agents, conseillers,

courtiers, partenaires sontprésents pour apporter

un conseil de qualité aux5 millions de clients qui

font confiance àAllianz France.

RENCONTRE AVEC ...


trends, les nouvelles solutions quinaissent, plutôt que de vouloir lesinventer nous-mêmes. Cette« capacité à discerner » sera sansdoute plus importante que la« capacité à faire soi-même. »

L. V. : Est-ce la fin progressive desréseaux physiques (agents sala-riés, généraux, courtiers …) ou ledébut de leur mutation ?

J. R. : Non, à mes yeux, il n’y a pasde fin aux réseaux physiques.Poser les choses ainsi seraitréducteur : je ne pense pas qu’ilfaille penser « substitution ». Jevois plutôt le monde commeétant en expansion, et celanécessite en revanche une muta-tion, une adaptation des réseauxphysiques.

L. V. : Les objets connectés etl’assurance : Est-ce la fin de lamutualisation du risque tellequ’on la connait ? Nouvellessegmentations et offres clientèle(voiture connectée, domotique

et impact sur la sinistralité et lesprimes en auto et MRH ..., assurésconnectés / paramètres biomé-triques et impact sur le risquesanté prévoyance ...) ?Quid des responsabilités en casde sinistre, par exemple ?

J. R. : Ce ne sont pas les objetsconnectés qui créent la fin de lamutualisation telle que vous l’ex-primez. Ce sont plutôt lesnouveaux usages de consomma-tion qui pourraient conduire àcela, notamment le besoin dereconnaissance individuelle.

Les objets connectés peuventpermettre d’accéder à davantaged’information, facilitant cettedemande de personnalisation del’offre. Mais les objets connectéspeuvent aussi être source deprévention, d’amélioration durisque, en encourageant les bonscomportements. Ils créent unerelation plus forte entre assuré et

assureur, avec un rôle accru desservices.

L’objet connecté par définition,c’est la voiture, qui est déjàconnectée aujourd’hui. A traversnos initiatives récentes (partena-riat avec Tom-Tom, etc.), noussommes entrés dans cette assu-rance qui répond à unedemande d’individualisation dusuivi, des tarifs, tout en faisantévoluer l’état de l’art de la tech-nique assurantielle vers la priseen compte du comportementindividuel dans l’assurance durisque.

Comme le formule FrançoisNédey, notre Directeur techniquedes assurances de biens et deresponsabilité civile, ce quidevient important, ce n’est plusce que je « suis », mais ce que je« fais ».

Cette voiture connectée, elle estde plus en plus autonome. Elleest « semi-autonome » pour l’ins-

tant, mais potentiellement, ledéveloppement du véhiculeautonome nous met en situationde disruption sur le marché del’assurance auto. C’est une disrup-tion lente, mais à effet certain.Avec par exemple, la question dela responsabilité qui va évoluer,avec un transfert de la responsa-bilité du conducteur vers leconstructeur, l’équipementier, lesfabricants de capteurs. Ce qui estcertain, c’est un cycle nouveauqu’entame l’assurance automo-bile !

L. V. : La « Blockchain » (stockagedécentralisé et transmissionsécurisée d’information) est-elleune révolution attendue (exécu-tion des contrats, offres deservices, nouvelles concurrences,lutte anti-fraude ...) ?

J. R. : C’est un sujet qui interpellecar il est révolutionnaire dans saconception et sa mise en œuvre.

Il doit être regardé et expéri-menté sur des portions de lachaîne de valeur. Plutôt que de levoir comme LA solution de l’assu-rance, je pense qu’il faut le voircomme une solution parmi d’au-tres, qui s’offrira à nous dans lamise en œuvre d’une sécurisa-tion et optimisation de nosprocessus.

L. V. : Que peut-on attendre àcourt et moyen terme des tech-nologies liées à l’IntelligenceArtificielle, au Big data ou auxrobots-advisors ?

J. R. : L’explosion des donnéesliées au digital et aux objetsconnectés, mais aussi les solu-tions techniques de traitementde ces données dans leur diver-sité sont un des enjeux de notreprofession. Sur des tâches répéti-tives ou bien normées, l’analysedes données associée à l’intelli-gence artificielle (au machinelearning, plus précisément)constitue une des évolutions

majeures des prochaines annéesdans l’assurance.

En termes d’efficacité opération-nelle, l’assurance est une bonnecandidate en effet pour l’intelli-gence artificielle et les robots-advisors.

L. V. : Comment le big data peut-il permettre de mieux évaluer laconnaissance des clients/risques(fraude, catastrophes naturelles) ?

J. R. : L’objet de la data science estde connaître davantage, d’ap-prendre davantage, et depermettre de meilleures gestionsprédictives, que ce soit en termesde comportements, de profils derisques, dont la fraude, ou depropensions à acheter desservices et produits ou à lesconsommer. La data science, pourun assureur, c’est le cœur de sonmétier de demain.

J. R. : Je ne sais pas si l’on est allétrop loin… mais je sais que cen’est pas fini !

L’impact du numérique

L. V. : Venons-en à présent aunumérique.Allianz France semble avoiramorcé le virage du numériqueavant beaucoup d’autres. Quelregard portez-vous sur la loirécente pour une Républiquenumérique ?

J. R. : Cette loi ne fait que confor-ter notre choix de poursuivreavec énergie et ambition la digi-talisation de notre entreprise.

L. V. : C’est quoi, être « digitalready », pour un assureur ?

J. R. : Etre « digital ready » pour unassureur, cela recouvre troischoses à mes yeux : 1- permettreune expérience clients remarqua-ble, 2- prendre en compte lesnouveaux usages issus du digital,et 3- vivre avec son temps.

L. V. : Quels sont les domaines del’assurance qui subissent le plusla transformation digitale ?

J. R. : En termes de marchés, onpense spontanément à celui desparticuliers, mais si on choisit deprendre le digital dans sonacception plus large, en yincluant les objets connectés etl’analyse des données, on voitque le risque entreprises sera trèsprésent car très connecté. En toutétat de cause, les parcours clientsqui ne seraient pas digitalisésnous mettraient en difficulté.

L. V. : Quels développementsparallèles ou de concert avec denouveaux acteurs (Fintech,modèles disruptifs, start-up enfort développement, opérateursinternet et du numérique …) ?

J. R. : Il faut apprendre à travailleravec les nouveaux acteurs issusdes fintechs et du monde digitalen général car nous sommesdans une époque très créative,où la vitesse de changement esttrès grande. Aussi, il est trèsimportant de développer debons capteurs, de discerner lesfuturs modèles, les nouveaux

Il faut apprendre à travailler avec les nouveaux acteursissus des fintechs et du monde digital en général carnous sommes dans une époque très créative

«»


sur les réseaux sociaux, pourapprendre à répondre aurythme des internautes, entemps réel ;

sur les aspects juridiques et deconformité, l’enjeu est moins laveille que la mise à niveau desoutils et des processus. C’estpourquoi nous réservons unepart significative de nos inves-tissements informatiques à lamise à niveau de nos systèmesde production.

L. V. : Pour l’audit interne quelssont les nouveaux défis à rele-ver ? Quel est l’impact sur le profilde l’auditeur interne ?

J. R. : Plusieurs facteurs ont unimpact sur le profil des auditeursinternes : D’abord la maturité du

système de gouvernance et decontrôle interne. Plus l’entre-prise est mature, plus l’auditeurdoit être capable d’être dansl’anticipation pour pousserl’entreprise à s’adapter auxrisques de demain. Dans les zones où la maturitéest moindre, l’audit interne aaussi un rôle à jouer pour diffu-ser la culture des risques. Celaimplique que les auditeursdisposent de qualités relation-nelles qui amènent les auditésà poser un regard neuf sur leurfaçon de maîtriser leur activitéau quotidien et à réfléchir auxrisques associés.Allianz encourage le feedbackà tous les niveaux, considérantque le feedback est une formede cadeau. L’audit étant uneforme de feedback, son effica-cité repose sur les talents de

L. V. : Comment sont pris encompte les aspects humains liésà la transformation digitale ?

J. R. : Les aspects humains de latransformation digitale, c’est à lafois une demande du consom-mateur et de l’employé. Je croisque la question générationnellese posera de moins en moins.Chez Allianz, nous avons mis enplace de nombreux programmes,showrooms digitaux, e-learning,digital sessions, etc., pourmontrer que nous sommesentrés dans la « digital-readiness »que vous évoquiez tout à l’heure.En même temps, cela permet derendre le monde du digital acces-sible, au sens le plus vaste possi-ble. Pour équilibrer notrepyramide des âges, nosembauches privilégient la géné-ration Y/Z, qui est favorable àcette transformation.

La maîtrise des risques

L. V. : Pour terminer, je souhaite-rais connaître votre point de vuesur la maîtrise des nouveauxrisques et le rôle de l’audit internedans un monde digitalisé.Quelle vigilance faut-il avoir faceaux nouveaux risques notam-ment juridique / conformité /sécurité / réputation ?

J. R. : Par essence, la vigilance estdans les gènes des métiers del’assurance puisqu’il s’agit degérer des risques. Nos équipesont développé de vrais savoir-faire. A titre d’exemple, sur le marchédes entreprises, nos équipesincluent des ingénieurs préven-tionnistes, qui interviennentavant que ne se produise unsinistre, pour conseiller et orien-ter les actions des chefs d’entre-prise et les aider à protéger leursactifs et leurs outils de produc-tion.Notre vigilance est donc perma-nente ; nous assurons une veilleparticulièrement active : face aux risques cyber, avec

des tests grandeur nature quenous organisons pour nousentraîner à réagir en cas d’at-taque. Cette vigilance nousl’avons aussi pour bâtir desoffres à proposer à nos clientsface à ce risque ;

communication de seséquipes.

L’autre tendance est la diversitédes défis. Par exemple :- s’adapter à un environne-

ment digital, en comprenantbien les nouveaux risquesassociés mais en cherchantaussi les nouvelles opportu-nités de méthodes decontrôles offertes par lesimpressionnantes quantitésde données désormaisdisponibles ;

- pousser à trouver le justeniveau de contrôle desservices externalisés ou délé-gués pour en garder la pleinemaîtrise.

Pour répondre à ces défis denature très variée, la diversité desprofils doit être privilégiée au seindes équipes d’audit.

Les nouveaux défispour les auditeursinternes

L. V. : Qu’attendez-vous de votredirection de l’audit interne :qu’elle soit le garant d’un boncontrôle interne ? Ou qu’elle soitun outil d’aide à la prise de déci-sion au service de vous-même etde votre Comité exécutif ?

J. R. : Ce que j’attends de l’auditinterne, c’est d’abord qu’il puissedonner des assurances : sur lesprocessus de gouvernance, degestion des risques et decontrôle de l’organisation. C’est samission première, qui doit s’exer-cer dans des conditions d’objec-tivité et d’indépendance immua-bles ; c’est le cœur de valeur ajou-

tée de la fonction.La proximité avec le Comitéexécutif est importante pourrester en phase avec les ambi-tions et le fonctionnement del’entreprise. Elle permet une veilleprécieuse pour l’élaboration d’unplan d’audit : le choix des sujetsaudités devient un moyen dedonner un éclairage prospectifsur les risques qui jalonnent lechemin que souhaite parcourirl’entreprise. À ce titre on peutparler d’aide à la prise de déci-sion. Il faut de la place dans unplan d’audit pour de tels sujets,mais cela doit être un complé-ment aux missions d’assurancepure que j’attends de l’auditinterne.

L. V. : Quelles relations doit avoirvotre directeur de l’audit interneavec le Comité d’audit ?

J. R. : Pour qu’un Comité d’auditjoue pleinement son rôle, latransparence et la mesure sontcapitales : un directeur de l’auditdoit avant tout délivrer une infor-mation fiable, complète etproportionnée au Comité d’audit.Il doit être dans l’écoute, passerdu temps, y compris en dehorsdes réunions formelles, àcomprendre ce que sont lespoints d’attention du Comitéd’audit, les attentes précises. Et ildoit adapter sa communicationaux attentes exprimées. Enfin, au-delà d’un rapport sur chacunedes missions d’audit, il doit oserla synthèse, fournir une visiond’ensemble.

L. V. : Merci Monsieur lePrésident.

RENCONTRE AVEC ...

Les nouveaux usages du numérique :Panorama des enjeux24

Qualité des donnéesUn bricolage méthodique28

Etat des lieux de l’utilisation de l’analyse de données au sein de l’audit interne32

Détection et prévention des fraudesL’essor du Machine Learning36

La DataVizRetour d’expérience38

DOSSIER


L’AUDIT INTERNE ETLE NUMÉRIQUEPanorama des enjeux

© icon

imag

e - F

otolia.com

Valeur ajoutée de l’audit dans un mondenumériqueQuelles compétences pour demain ?

40


L’AUDIT INTERNE ET LE NUMÉRIQUE

Ville connectée : repenser la ville

On parle beaucoup de ville connectée, mais à quoi fait-on référence ?Une ville peut être envisagée comme un empilement de couchesrépondant chacune à des besoins spécifiques. Ainsi les couches lesplus profondes répondent aux besoins énergétiques et d’alimentationen eau, puis viennent les couches de transport en commun souter-raines, les couches de transport d’information (fibres optiques et télé-communications filaires), les couches de mobilité (routes, trottoirs), lescouches d’habitation, les couches de communication sans fil(antennes relais) [1].

L’idée actuelle de la ville connectée est que chacune des couchesfondamentales génère de l’information (des données) qui peut êtreexploitée pour optimiser son fonctionnement. Mais encore plus, lescouches sont poreuses entre elles, et peuvent donc générer des infor-

Matthieu Sénéchal, Directeur R&D,Robin’Finance

Les nouveaux usages du numérique :Panorama des enjeux

Nous évoluons dorénavant dans un monde de villes connectées(smart cities), de données massives (big data), d’apprentissageautomatique (machine learning), de réseaux de neurones(neural networks)... Nous allons essayer d’approcher, bien modestement ici, carplusieurs livres n’y suffiraient pas, en quoi cela va changer nosvies, celles des entreprises et le métier d’audit.

© icon

imag

e - F

otolia.com

mations liées, conduisant à leur optimisationsystémique.L’objectif est d’arriver à un système en grillesintelligentes1 (smart grids), où chaque nœudde la grille a une capacité propre de généra-tion de données. Pour prendre un exempleconcret : afin d’optimiser le service de ramas-sage des ordures, on peut imaginer concevoirdes poubelles incluant un capteur et remon-tant des informations utiles pour planifier leramassage. L’utilisation de capteurs connectés fait émer-ger ce que l’on nomme l’Internet des objets.

Internet des objets :la nouvelle frontière ?

L’Internet des objets (ou Internet of things, IoT)est considéré comme la troisième évolutiond’Internet qui était jusqu’à présent une sphèrefermée, relativement déconnectée du mondephysique. Il s’agit dorénavant de connectersur Internet des appareils qui captent et trai-tent des informations, créant ainsi un lienentre monde physique et monde virtuel.Cette idée n’est pas nouvelle, puisque lepremier grille-pain connecté à Internet (vousavez bien lu) fut présenté à la conférenceInterop de 1989 [5]. Ce qui est nouveau estl'impressionnante quantité d’objets (selonGartner, 5,5 millions d’objets sont nouvelle-ment connectés chaque jour en 2016) qui seretrouvent connectés à Internet, générant desvolumes toujours plus conséquents dedonnées, qui doivent être stockées, traitées etdiffusées. Le traitement en temps réel devolumes massifs correspond à ce qui estappelé le big data.

Les usages sont nombreux, allant de la viequotidienne aux différents secteurs d’activitééconomiques [7]. Ainsi des réfrigérateurspeuvent automatiquement générer des listesde courses en fonction de l’évolution de leurcontenu, des systèmes domotiques peuventrégler des scénarios énergétiques en fonctiondes habitants et des conditions extérieures.Dans les entreprises, les objets connectésentrent pleinement dans la transformation dela chaîne de production de valeur. Ces objetspermettent par exemple de suivre une palettedans un entrepôt, ou de connaître en tempsréel l’état de la chaîne de production. Cetteévolution est d’une importance comparableà ce que furent le Taylorisme et le Toyotisme.Ces évolutions apportent des améliorationsconséquentes au processus de productionmais créent également de nouvelles vulnéra-bilités. Le risque de piratage devient ainsimajeur dans des processus industriels qui n’yétaient auparavant pas exposés [8].

Un rapport de la DNI (services secrets améri-cains) datant de 2015 présente ainsi la ques-tion [9][10] : « Le débat public sur le risqueinformatique a jusqu’ici mis l'accent sur laconfidentialité et la disponibilité de l'informa-tion ; le cyber-espionnage menace la confi-dentialité des données, et les attaques pardéni de service minent la disponibilité. À l'ave-nir, nous pourrions voir apparaître davantaged’opérations fondées sur la manipulation del'information électronique afin de compro-mettre son intégrité (c’est-à-dire son exacti-tude et sa fiabilité) et non pas pour lasupprimer ou en restreindre l’accès. Les déci-sions des hauts fonctionnaires (civils et mili-taires), des dirigeants d'entreprises, desinvestisseurs et bien d'autres seront compro-mises si ceux-ci ne peuvent pas avoir pleine-ment confiance dans les informations dont ilsdisposent ».Le rapport poursuit ainsi : « Le futur du pira-tage réside probablement dans la corruptionde données, dans le but de compromettreleur intégrité. Des données non fiables

risquent de perturber la prise de décision, deréduire la confiance dans les systèmes infor-matiques, ou de provoquer des effetsphysiques délétères ».

L’Internet des objets est donc riche en possi-bilités mais recèle également de nombreuxrisques dont certains restent à identifier.

Santé et données :l’alliance parfaite ?

L’apparition de petits objets connectés apoussé au développement d’une nouvellepratique : le quantified self. Le quantified self estl’utilisation d’outils et d’objets de tracking pardes individus pour suivre leur activité (dépla-cements, activité physique, nourriture, etc.),leur état (température, rythme cardiaque, etc.)et effectuer des mesures sur leur environne-ment (mesures de pollution notamment) [11].Des applications mobiles et des objets detracking (principalement des bracelets inté-grant des capteurs) sont largement utiliséspour ce faire.



Ces objets génèrent d’importantes quantitésde données que les usagers suivent et utili-sent pour se fixer des objectifs et influer surleurs comportements. Partant d’un mouve-ment individualiste de mesures de « perfor-mance », des acteurs liés à la santé ontrapidement compris l’intérêt que ces objetspouvaient avoir pour eux. Ainsi une mutuelleaméricaine a proposé à ses entreprisesclientes de fournir des podomètres à leursemployés. Ceux marchant plus de 11 000 paspar jour avaient alors droit à un rabais sur leurscotisations. Cette idée a depuis largement étéreprise par des compagnies françaises [12].Ces usages soulèvent évidemment denombreuses questions, notamment sur leurintrusion dans la vie privée des individus.

La génération de données dans le secteur dela santé ne se limite cependant pas àquelques objets gadgets. Les appareils large-ment répandus dans les milieux hospitalierssont des producteurs massifs de donnéesdepuis très longtemps. C’est par exemple le

cas des moniteurs cardiaques et des oxymè-tres de pouls (mesure du taux d’oxygène dansle sang) qui fonctionnent en continu.

Big data et machine learning : un amour sans limites

Ces quantités massives de données formentce que l’on appelle, en ce moment, le big data[13]. Le big data correspond à des volumes dedonnées trop importants pour pouvoir êtretraités par des outils classiques de gestion dedonnées. Avec le big data, tout change, lesméthodes habituelles pour stocker, traiter,analyser et visualiser les informationsévoluent. Les véritables implications pour lesentreprises ne sont pas encore connues, maisles traitements appliqués à d’importantsvolumes d’information pourraient permettredes modifications significatives dans tous lessecteurs d’activité et dans tous les champsd’expertise, de la gestion des risques à l’expé-rience client.

© EMOTION - TO

TAL

1 Les grilles intelligentes amènent au concept de smart cities dont il faut noter qu’il n’est pas seulement technologique comme la ville connectée maisaussi citoyen, nécessitant l’implication particulière des habitants dans un système de gestion démocratique de la ville.

Le « Deep learning » est une extension des réseaux de neurones dans laquelle on augmente considérablementle nombre de couches de traitement, pour leur permette detraiter des problèmes complexes

«»

Un rapport de recherche de Gartner de 2001avait déjà défini les trois caractéristiques etenjeux liés au big data [14] : le volume, la vélo-cité et la variété. Ces données ne sont géné-ralement que semi-structurées, voire nonstructurées ; ce sont des textes libres ou desimages ; elles doivent être traitées rapide-ment ; elles présentent souvent des liensentre elles.L’analyse des données massives pour enextraire de l’information est un enjeu à partentière. Le machine learning (ou apprentissageautomatique) est un des sous-champsd’étude de l’intelligence artificielle. Il concernele développement et l’étude de méthodespermettant à des machines d’apprendre etd’évoluer à partir de jeux de données afin deréaliser des tâches complexes. Dans cetterevue, un article est consacré à l’établissementd’un modèle prédictif sur les cas de fraude parle machine learning.

Une autre utilisation du machine learning estle diagnostic médical. Comme nous l’avons vuprécédemment, les instruments médicauxpermettent de mesurer de nombreux para-mètres physiques. Sur cette base, un réseaude neurones pourra par exemple détecter dessignaux cardiaques indiquant une maladie. Cediagnostic sera établi grâce à l’apprentissageque l’on aura fait subir au réseau. Pour cela, onlui aura au préalable présenté de nombreuxsignaux cardiaques en lui indiquant àquel diagnostic ils correspondent, ceque l’on appelle un apprentissagesupervisé. Le réseau de neuronesaura pu établir une carte des carac-téristiques des signaux pourchacune des maladies qu’on luiaura présentées. Se basant sur lesressemblances entre ces caracté-ristiques apprises et celles obser-vées lors d’une nouvelle analyse, ilpourra réaliser un diagnostic.

Comment fonctionne unréseau de neurones ?

Leur fonctionnement est directementinspiré de celui des neurones biolo-giques. Un neurone a plusieurs entrées, uncœur et une sortie. En fonction des signauxreçus en entrées, le cœur d’un neurone vaenvoyer ou non un signal par la sortie, signalqui constituera une des entrées du neuronesuivant, ce qu’on appelle une connexionsynaptique. A chaque connexion synaptiqueest associée un poids synaptique, qui quanti-fie l’importance de la connexion. Ce sont cespoids synaptiques qui seront fixés lors de lacalibration du réseau de neurones.

Dans un réseau de neurones artificiel, lesneurones sont regroupés dans des couches.Chaque couche de neurones reçoit lessignaux provenant de la couche précédenteet envoie un ensemble de signaux à la couchesuivante, et ainsi de suite jusqu’à la couche desortie.

Afin d’être opérant, le réseau de neurones doitavoir été calibré au préalable sur denombreuses observations (d’autant plusnombreuses qu’on augmente le nombre decouches et le nombre de neurones). Pour cefaire, le réseau de neurones apprend les carac-téristiques d’entrée liées à une sortie préala-blement déterminée, lors du processus decalibration. Sur la base de son apprentissage,il sera ensuite en mesure de généraliser sesobservations afin de détecter des signauxcorrespondant aux sorties déjà rencontrées.

Le terme de deep learning est employé demanière récurrente dans les média actuelle-ment [16]. Les journaux le présentent commela révolution des machines intelligentes, capa-bles de battre le meilleur joueur mondial deGo [17], ou encore de créer des œuvres artis-tiques [18]. Le deep learning est une extension

des réseaux de neurones, dans laquelle onaugmente considérablement le nombre decouches de traitement, pour leur permettrede traiter des problèmes complexes.

Evolution numérique :quels impacts pour l’entreprise ?

Les technologies apportées par le big data etle machine learning permettent de nouveauxusages qui s’inscrivent dans la lignée de cequ’Internet a initié. Grâce au CRM (customerrelationship manager), l’entreprise disposed’un grand nombre d’informations sur sesclients. Avec un peu d’analyse, elle sera rapi-dement en mesure de prévoir les futursachats de ses clients, d’anticiper les motifs demécontentement et même de trouver unesolution avant qu’il y ait un problème. Lesprocessus industriels bénéficient aussi de cestechnologies. En intégrant des capteurs intel-ligents à différents endroits de la chaîne deproduction, les sociétés sont en mesure dedétecter en temps réel les dysfonctionne-ments, d’optimiser leurs processus, et de neréparer que les machines qui en ont besoin,optimisant l’utilité des recours aux opérateursde maintenance.

Aux États-Unis, la notation des demandeursde prêts est fréquemment réalisée par des

prestataires des banques. Une pratique deplus en plus répandue parmi ces pres-

tataires consiste à récolter un maxi-mum de données sur les

demandeurs de prêts, en fouillantInternet et les réseaux sociaux. Lesinformations collectées sont alorsutilisées pour donner une note àchaque demandeur, afin de déter-miner si un prêt lui sera accordé età quel taux [23].

Nouveaux usages :nouveaux risques

Il est assez aisé d’imaginer les dérivespotentielles de ce système, la moin-

dre trace numérique laissée par un indi-vidu ayant des conséquences bien

réelles dans sa vie. Internet n’oublie rien.

Mais ce n’est pas le seul problème. Comments’assurer que l’algorithme qui nous note, quianalyse notre état de santé, qui pilote le trafic,qui décide de la mise en détention préven-tive, etc. a été correctement réalisé ? Qu’il faitbien son travail ?

Auparavant, les banquiers se reposaient surdes informations financières simples d’unclient afin de prendre leur décision.





Désormais, la décision est prise par un algo-rithme croisant des dizaines, si ce n’est descentaines de sources d’information diffé-rentes. Comment une banque garde-t-elle lamaîtrise de son processus de décision dans cecas ? Par ailleurs, un banquier sait lire desdonnées financières, mais ce n’est pas a priorison travail ni sa compétence d’évaluer desalgorithmes. Nous nous retrouvons face à uneboîte noire qui va définir l’exposition au risquedu portefeuille de prêts d’une banque.

Comme nous l’avons évoqué précédemment,il existe un risque de déformation de l’infor-mation utilisée pour la prise de décision. Deplus, il existe aussi un risque dans les méca-nismes mêmes de prise de décision lorsqueceux-ci sont automatisés.

Les entreprises vont se transformer, plus rapi-dement que nous l’imaginons. Des processusdécisionnels entiers n’auront pas besoin d’in-tervention humaine pour fonctionner.Cependant, seule une poignée d’individusmaîtrisera le fonctionnement des algorithmesà l’origine des décisions. Moins évidentencore, lorsque plusieurs briques de décisions’enchevêtreront, même les experts auront degrandes difficultés à décortiquer ces systèmescomplexes.

Nouvelles compétences pourune approche durable de l’audit

Le travail d’audit consiste précisément àdescendre dans les processus de fonctionne-ment des structures. Pour le moment, cetravail repose sur des procédures écrites, desentretiens avec des membres de la structure,du travail sur pièces. Mais lorsque le proces-sus n’intègre plus de facteur humain,comment l’auditer ? Tout comme les auditsinternes ont construit des pôles de compé-tences informatiques lorsque l’informatiques’est généralisée dans les entreprises, il sembleessentiel de construire des pôles de compé-tences liées aux usages des données et à leurtraitement. Dans un premier temps, pour s’as-surer que l’audit reste en mesure de compren-dre le fonctionnement de l’entreprise danslaquelle il agit. Dans un second temps, afind’appliquer aussi à l’audit ses outils. En effet,avoir à disposition des outils permettant de

traiter de vastes volumes de données pour entirer des conclusions et structurer l’informa-tion a un intérêt pratique pour l’audit.Pour illustrer l’audit d’un processus, nousallons aborder un exemple pratique. Lessystèmes de notation des banques à l’originede l’attribution de prêts s’appuient sur desanalyses statistiques. Ces traitements s’auto-matisent de plus en plus, avec comme abou-tissement à terme un processus totalementautomatisé. Un client pourra ainsi faire unedemande de prêts directement depuis le siteWeb de sa banque, celle-ci lui donnant uneréponse incluant le taux et les modalitésproposées de manière totalement automa-tique. Dès lors, comment les auditeurs analy-sant ce processus peuvent-ils s’assurer de lapertinence de la prise de décision par lesystème ? (nous excluons ici les systèmes

simples pour lesquels les décisions se basentsur des arbres avec des seuils, mais unique-ment sur les systèmes complexes sous formede quasi boîte noire, ceux-ci représentantl’évolution actuelle du métier de prêteur). Illeur sera nécessaire de pouvoir analyser lefonctionnement de l’algorithme de décision(non seulement au niveau de sa conception« théorique », mais encore au niveau de sonimplémentation dans le système d’informa-tion), ceci requérant des compétences spéci-fiques. Nous n’abordons ici qu’un exemple,mais les questions sont illimitées : qu’en est-ildans le cas d’un parcours client d’un sitemarchand ? D’un processus industriel régi pardes optimisations en temps réel basées sur dumachine learning ? Nous comprenons ainsi aisément que denouvelles compétences seront à intégrer auxéquipes d’audit afin de faire face à cesnouveaux besoins.

Ceci apporte également un bénéfice auxéquipes d’audit, car par nature les entreprisessont d’importants producteurs de donnéesconcernant leur fonctionnement. La mise enplace d’outils d’analyse en temps réel de cesdonnées pourrait permettre de développerdes mécanismes d’audit en continu afin decontrôler en permanence les zones de risqueidentifiées et d’en définir de nouvelles aubesoin. Ceci soulève néanmoins la questiondu champ de compétence de l’audit parrapport au contrôle interne.

Bibliographie

1. http://www.smartcity-planning.co.jp/en/approach/

2. http://www.forbes.com/sites/oreillyme-dia/2014/01/08/the-emergence-of-the-connected-city/#4e86c7e4ebcb

3. http://www.metropolitiques.eu/Chicago-une-pensee-de-la-ville-en.html

4. https://www.theguardian.com/techno-logy/2015/may/06/what-is-the-Internet-of-things-google

5. http://www.livinginternet.com/i/ia_myths_toast.htm

6. http://www.gartner.com/newsroom/id/3165317

7. http://www.strategie.gouv.fr/publica-tions/demain-linternet-objets

8. http://motherboard.vice.com/fr/read/il-faut-proteger-Internet-contre-linternet-des-objets

9. http://motherboard.vice.com/fr/read/avec-linternet-des-objets-nous-sommes-a-laube-dune-veritable-catastrophe?trk_source=recommended

10. https://www.dni.gov/files/documents/Unclassified_2015_ATA_SFR_-_SASC_FINAL.pdf

11. https://www.cnil.fr/fr/quantified-self-m-sante-le-corps-est-il-un-nouvel-objet-connecte

12. http://www.usine-digitale.fr/article/assu-rance-et-objets-connectes-les-liaisons-dangereuses.N387209

13. https://www-01.ibm.com/software/fr/data/bigdata/

14. http://blogs.gartner.com/doug-laney/files/2012/01/ad949-3D-Data-Management-Controlling-Data-Volume-Velocity-and-Variety.pdf

15. https://www.laposte.fr/chp/mediasPdf/anniv/anniv_8.pdf

16. http://www.lemonde.fr/pixels/article/2015/07/24/comment-le-deep-learning-revolutionne-l-intelligence-artificielle_4695929_4408996.html

17. http://www.numerama.com/sciences/183295-alphago-devient-joueur-mieux-classe-monde.html

18. http://www.numerama.com/pop-culture/149889-avec-google-meme-les-artistes-sont-remplaces-par-des-machines.html

19. https://www.auditsi.eu/?page_ id=2119 20. http://www.netalya.com/fr/

Article2.asp?CLE=6621. https://www.shodan.io/ 22. http://www.gartner.com/newsroom/

id/2730317 23. http://www.thebanker.com/

Transactions-Technology/Technology/Credit-scoring-for-the-social-media-generation?ct=true

Comment s’assurer que l’algorithme qui nousnote, qui analyse notre état de santé, qui pilotele trafic… a été correctement réalisé ? Qu’il faitbien son travail ?

«»



Une exigence devenueessentielle

A l’heure d’une numérisation triomphante, laqualité des données devient essentielle, ainsique l’exprime le CNRS dans son Appel à projets2016 : La qualité des données dans les Big Data1.L’audit et le contrôle sont impactés par cetteévolution (que d’aucuns qualifient de révolu-

tion). En effet, nous sommes amenés, dans lecadre de nos missions, à traiter des donnéesà deux titres : comme éléments de preuve pour tirer des

conclusions sur, par exemple, la perfor-mance d’une entité à partir de données degestion de l’entreprise ;

comme objets d’audit, par exemple lorsqu’ilfaut évaluer une modélisation ou une simu-lation.

Il est bien évident que si, dans les deux cas, lesdonnées utilisées n’ont pas une qualité satis-faisante, les interprétations que nous pour-rons en tirer ont toutes les chances d’êtrebiaisées.

Définir la qualité des données,un exercice délicat

Au préalable, posons qu’une donnée, dans lecadre de cet article, est tout ce qui peut sevéhiculer par l’informatique. On peut avoir desdonnées structurées sous forme de champs

Qualitédes

donnéesUn bricolageméthodique

Nous utilisons de plus en plus de données numériques (documents scannés, courriels,données quantitatives et qualitatives détaillée ou agrégées, etc.) dans le cadre de nosmissions. Nous avons essayé de brosser ici quelques points méthodologiques nouspermettant de les utiliser comme éléments de preuve.

José Bouaniche, Auditeur interne, Caisse des Dépôts et Consignations

« Il faut choisir le terrain, le problème et les moyens en fonction des chances desuccès : si le problème est insoluble, il faut changer de terrain ; s’il n’y a aucun moyen

sur aucun terrain, il faut changer de problème. »

Michel Crozier

© Ras

sco - F

otolia.com

1 http://www.donneesdelarecherche.fr/spip.php?article736



regroupés en enregistrements, des donnéessemi structurées (les courriels) et des donnéesnon structurées (comme des images).

Concernant la qualité des données, PwC, dansune étude de 2011 (Qualité des données : Quelle(s) vérité(s) dans les entreprises ?), en proposeune définition intéressante :« La qualité des données désigne l’aptitude del’ensemble des caractéristiques intrinsèques desdonnées (fraîcheur2, disponibilité, cohérencefonctionnelle et/ou technique, traçabilité, sécu-risation, exhaustivité) à satisfaire des exigencesinternes (pilotage, prise de décision,...) et desexigences externes (réglementations,...) à l’orga-nisation ».

Cependant, même si une norme ISO existe(ISO/IEC 25012) sur le sujet, une définitionabsolue de la qualité des données, et, surtout,des caractéristiques qui la constitueraient,apparaissent peu opérantes et efficaces pourl’audit comme pour le contrôle. En effet,suivant notre environnement de travail (médi-cal, juridique, assurance, etc.) et les technolo-gies utilisées (pour les constituer, lescommuniquer, les agréger, etc.), nous auronsdes priorités différentes. Des livres entiers sontdédiés à cette problématique (voir notam-ment Batini & Scannapieco. Data Quality -Concepts, Methodologies and Techniques.Springer, 2006, qui porte une vision critiquesur l’ISO 25012).

La qualité des donnéesse construit

Ainsi que le rappelait l’ACPR3 lors de la confé-rence de juin 2016 sur « La qualité des donnéeset la robustesse des systèmes d’information : undéfi pour les secteurs de la banque et de l’assu-rance » : la qualité des données est un sujet qui

concerne l’ensemble des directions de l’en-treprise, pas seulement l’informatique ; les contrôles très en aval des processus de

production sont insuffisants pour garantirla qualité des données ; une vision transverse du parcours de la

donnée, transcendant les différents silos del’entreprise, est nécessaire pour en effectuerune évaluation correcte.

En effet, obtenir une qualité des donnéessatisfaisante résulte d’une construction raison-née d’un système de contrôle interne. Elles’appréhende à plusieurs niveaux, en fonctiondes besoins hiérarchisés en qualité, comme lafiabilité, la facilité d’accès ou la fraîcheur. Cesniveaux peuvent être, par exemple, relatifs àla contractualisation, l’architecture fonction-nelle, la stratégie de test, l’architecture du

contrôle interne (embarqué + manuel), etc.Nous n’approfondirons pas plus ici ceséléments, qui relèvent majoritairement de lagestion de projet et de l’ingénierie des logi-ciels.

Il faut aussi souligner que la proliférationmassive des données et la montée en puis-sance de l’analyse des données et de la fouilledes données (data mining) remettent sur ledevant de la scène la problématique de l’ad-ministration des données qui, n’étant plusreléguée dans les services informatiques,devient maintenant la gouvernance de ladonnée.

Qualité des données et risqued’audit

Revenons à nos missions où nous sommesamenés à utiliser des données commesupport de constats et d’appréciations, soit encitant des résultats déjà élaborés par lesservices audités (ou des organismes externes),soit provenant de nos travaux. Dans les deuxcas, la qualité des données doit être appréciéepréalablement ; nous ne pouvons en effetnous appuyer, pour porter un jugement dansle cadre de nos missions, sur des données dequalité insuffisante.

Entendons-nous bien, il est tout à fait admis-sible que des données soient fausses,manquantes, etc. Simplement, à partir d’uncertain seuil, les conclusions que l’on pourratirer de cet ensemble de données commen-ceront à être sérieusement biaisées.Comment déterminer ce seuil ?

Cette problématique est partie intégrante dela démarche d’audit légal dont l’objectif devérification des comptes est d’être raisonna-blement sûr qu’il n’existe pas d’erreurs signifi-catives dans les états financiers publiés. C’estparfois « simple », par exemple lorsque dèsl’abord on considère que les erreurs consta-tées sur tel compte ou classe de transactionne doivent pas dépasser X % d’un soldecomptable.D’autres fois, estimer le seuil de significationdu risque d’audit peut s’avérer délicat.Prenons le cas simple d’un fichier de produits,le fait que nous ayons constaté que Y % deceux-ci présentent une erreur sur un certainchamp de fichier (ou une variable diraient lesstatisticiens) sera appréhendé différemmentsuivant le contexte du métier audité et l’ob-jectif de nos travaux.Quelquefois encore, la non existence de

données permet de tirer des conclusionsd’audit. C’est le cas de l’absence de tests dansle cadre d’un plan de secours. N’oublions pas,en revanche, que les recommandations d’au-dit devront répondre à la vraie cause de cetteabsence.Nous n’irons pas plus loin sur cette questionde l’évaluation du risque d’audit qui faittoujours l’objet de recherches académiques.

De la donnée à la preuve

L’appréciation de la qualité des données ne seréalise pas « hors tout ». Elle se situe à l’inté-rieur d’une approche « stratégique » de lacollecte d’éléments probants dans le cadre dela mission à réaliser.

Nous allons rappeler ici les conseils du Bureaudu vérificateur général du Canada (inTechniques de collecte des éléments probants)concernant les 6 étapes de la conceptiond’une vérification :

Préciser les objectifs de la vérification – « Ilfaut souvent accepter un compromis entre lavérification que l’on aimerait faire et ce quel’on peut effectivement réaliser tout en tenantcompte du rapport coût - efficacité ».

Formuler les questions à résoudre et lescritères – « Il faut des questions claires etprécises comprenant des éléments que l’onpeut définir et mesurer ; ensemble, ellesdoivent atteindre entièrement les objectifs dela vérification. Si les objectifs ne débouchentpas sur des mesures concrètes, on devra peut-être revenir à la première étape et les redéfi-nir ».

Cerner les données qui permettront derépondre aux questions – « Les données nedeviennent des informations qu’après avoirété analysées ou évaluées (6e étape), et c’està ce dernier stade que l’on peut s’en servir àtitre d’éléments probants ».

Choisir les sources/types de données – « Ilexiste d’habitude plusieurs sources dedonnées possibles, et il faut donc choisirparmi elles, d’après leur degré d’exactitude oude crédibilité, la facilité avec laquelle on peutles obtenir, et le coût ».

Planifier la collecte des données – « On peutassez souvent recueillir et analyser lesdonnées en même temps. Mais avant de cefaire, il est utile de se demander comment lesinformations seront employées et à quels

2 Fraicheur: terme couramment utilisé pour signifier que la donnée a le niveau d’actualisation nécessaire.3 L’Autorité de contrôle prudentiel et de résolution – ACPR – l’organe de supervision français de la banque et de l’assurance.



autres traitements il faut les soumettre avantde pouvoir les intégrer au rapport de vérifica-tion ».

Planifier l’analyse des données – « L’ampleuret la nature de l’analyse dépendent des ques-tions auxquelles on cherche à répondre. Ainsi,un contrôle rapide suffira dans le cas d’unequestion descriptive simple, mais une vérifi-cation approfondie s’imposera s’il s’agit dufondement d’une recommandation ».

Démarche du GAO

La démarche du United States GeneralAccounting Office (GAO, 2009, « Assessing theReliability of Computer-Processed Data »)permet de s’assurer raisonnablement et auplus tôt d’une qualité suffisante des donnéespour tirer des conclusions vraisemblables lorsd’une mission.Elle s’utilise quand il n’est pas envisageablede s’appuyer sur une mission approfondiesur le ou les systèmes d’information ayantgénéré ces données et s’intègre facilementaux étapes de conception d’une vérificationévoquée plus haut.Par essence réalisée dans des délais courts,cette revue limitée s’intéresse uniquementaux données utilisées pour les preuves d’au-dit.

Dès l’abord, un peu comme pour les dévelop-pements agiles, on se donne des limites d’ité-ration. S’il apparaît (au plus tôt de ladémarche, il faut l’espérer) que les donnéesn’ont pas le niveau de qualité requis, il faut : chercher d’autres sources plus crédibles, ou revisiter les objectifs de mission, ou utiliser mais avertir et restreindre, sinon arrêter les investigations, avec un dossier

suffisant pour étayer cette décision.

La démarche du GAO, actualisée tous les 7 à10 ans, est opportuniste : les étapes et leurordre de succession dépendent des faiblessesidentifiées au fur et à mesure des investiga-tions ainsi que, naturellement, de la sensibilitédes données au regard des objectifs de lamission nécessitant cette évaluation.N’oublions pas que l’objectif est de détermi-ner au plus tôt si oui ou non les données sontd’une qualité suffisante pour supporter lesbesoins de la mission.L’appréciation de la qualité des donnéesprocède des étapes envisageables suivantes : Analyser l’information disponible, par

entretiens ou consultation de rapports,études, articles de presse, etc. afin de cernerles enjeux et problématiques et, le caséchéant, discerner les données les plus àrisque et les contrôles les plus fragiles.

Tester les données dans leur globalité pouridentifier les données manquantes, aber-rantes, etc. Nous verrons plus bas ce pointplus en détail. Vérifier un échantillon de données en les

rapprochant de leurs sources. On auraalors la possibilité de constater que desdonnées existent alors que les sources sontmanquantes (dans ce cas il pourra être inté-ressant de vérifier si elles ont été détruitespar erreur, perdues, sont devenues illisibles,etc.), ou encore que des données présen-tent des anomalies par rapport à leursource. Suivant les cas, il pourra être néces-saire de reconstituer les sources.Naturellement, on ne pourra généraliser lesconclusions de cet exercice que si l’échan-tillon a été tiré de manière aléatoire pourêtre statistiquement représentatif ouque, les sources étant numériques, lavérification a été exhaustive. Rapprocher les sources des

données. Exercice inverse duprécédent, on pourra alors véri-fier si toutes les informationséligibles ont bien été saisies,par exemple. Cette étape nepourra être suivie si lessources ne sont pas disponi-bles, quelle qu’en soit laraison. Cibler des contrôles : il s’agit

de se centrer sur les contrôlesqui affectent le plus directe-ment la qualité des données àutiliser.Généralement on mettra aminima sous revue les contrôlesgénéraux relatifs à la gestion deshabilitations et à la gestion deschangements ainsi que lescontrôles applicatifs dont l’objet estd’assurer l’exactitude, la complétudeet l’autorisation des données concer-nées par nos travaux. Naturellement ce nesont que des exemples, car il se peut trèsbien que le plus important, dans uncontexte donné, soit la fraîcheur desdonnées.

Du test au nettoyagedes données

Nous avons vu les grandes étapes à suivrepour évaluer la qualité des données. Nousvoudrions ajouter ici, rapidement, quelqueséléments complémentaires plus concretssuivis par les auditeurs SI comme par lesspécialistes des tests informatiques. Nous nous intéressons à la géographie des

données : où ont-elles été créées, où sont-elles stockées, où sont-elles transformées,

quels chemins (les flux de données)suivent-elles ?Ces éléments sont essentiels pour localiserles points les plus sensibles, là où on s’at-tend à ce que des contrôles soient localiséset effectifs.De plus, il peut arriver, sur certaines ap-plications, que les donnéesde champs identiquesdiffèrent par leurnature enf o n c -

t i o nde leurlieu d’alimen-tation. Ce n’est pastoujours détectable lors detests. C’est un point particulièrementdélicat à traiter lors du nettoyage des don-nées (voir plus bas). Nous nous intéressons aussi à l’histoire des

données, dans les lieux que nous avonsidentifiés comme les plus sensibles : la miseen place de nouvelles versions de logiciels,de bases de données, de structures de



fichier, etc., fait-elle l’objet de tests, etnotamment de tests de non-régression surles données ? Ces derniers sont-ils réalisésde manière professionnelle et outillée ? Etc.Ces éléments nous permettent d’appré-hender le sérieux de la prise en compte dela qualité des données et à encore mieux

cibler les points à risque. Nous nous intéres-

sons de plus auxaccidents, et

tant mieuxsi les

s e r -vices in-

formatiquesen charge des

points sensibles iden-tifiés précédemment ont dé-

ployé une démarche ITIL4 (ITIL est un –sinon LE – cadre de référence internationalpour la production informatique. Conçucomme un système de pilotage unifié etoutillé, il décrit, entre autres, les bonnespratiques de gestion des incidents, de ges-tion des changements, etc.).Nous disposons ainsi d’une gestion des

incidents et des problèmes ce qui nousfournira des éléments pertinents pour iden-tifier et analyser plus finement encore lespoints à risque.

Il s’agit alors d’apprécier la qualité desdonnées par des tests ciblés, dont plusieursdéjà (rapprochement données et sources,appréciation des contrôles) ont été exposésplus haut. D’autres tests, bien plus élémen-taires, sont réalisés sur : la conformité des structures de données et

des types des champs (numérique, alpha-bétique, lien hypertexte, etc.) ; la vraisemblance des informations dans les

champs, hors tout (par exemple, le fait pourune information dans un champ de ne pas,par nature, être négative, de ne pas dépas-

ser ou d’être inférieure à un certain seuil,etc.), ou en lien avec d’autres champs

(en s’appuyant sur des règles degestion) ; l’existence d’un code dans unchamp contrôlable par ailleurs surune base de référentiel ou dansun autre fichier ; etc.

Une autre approche, ou plutôtune approche complémentaire,commence à apparaître dansnotre milieu : celle, historique-ment, des statisticiens. Elle nousintéresse principalement quandnous avons à contrôler ou audi-ter des modèles de simulation,qu’ils soient explicatifs ou prédic-

tifs (par exemple, dans le scoringpour l’attribution de prêts). Dans

ce cadre, les traitements préalablesà l’exploitation des données sont

(Han & Kamber. Data Mining: Conceptsand Techniques. Morgan Kaufmann

Publishers, 2011) :1. le nettoyage des données (data clea-ning),

2. leur transformation (data transformation),3. leur réduction (data reduction).

L’étape de nettoyage des données (nous nenous intéresserons pas aux autres étapes dansle cadre de cet article) se réalise généralementen deux phases :

1. La phase de description des variables qui,d’une part, va collationner les principalesinformations statistiques (moyennes,médianes, min, max, écarts types, etc.)pour obtenir une connaissance d’ensem-ble des données et, d’autre part, va repré-senter la « forme » générale des variablespour déterminer celles qui sont extrêmes,manquantes, aberrantes, etc.

Il faut noter que cette phase descriptiveutilise beaucoup de techniques de repré-sentation, comme la courbe de densité oules boîtes à moustache (pour repérer etdénombrer les valeurs extrêmes).Durant cette phase sont aussi identifiéeset analysées les valeurs négatives et nulles.En effet, dans cet environnement profes-sionnel, ce type de valeurs peut avoir unsens autre que numérique et représenterdes données qualitatives ou logiques, qu’ilest donc nécessaire de déterminer afin, lecas échéant, de les transformer à bonescient.

2. Reste ensuite à déterminer que faire desdonnées « non conformes » : supprimer lesenregistrements qui les portent, leur attri-buer une valeur arbitraire ou calculée(moyenne, médiane, ou encore calcul pluscompliqué), ne pas les prendre en compteou les mettre à zéro, etc. ?Pour aider à déterminer une réponse à cetype de questionnement, les statisticiensvont, par exemple, essayer de déterminersi les valeurs manquantes le sont d’unemanière complètement aléatoire, d’unemanière pseudo-aléatoire (l’absence peutêtre légèrement corrélée avec certainesvaleurs d’autres variables) ou pas aléatoiredu tout .

Ici aussi, une bibliothèque complète existe surces problématiques. Il apparaît cependantque la solution la plus prudente consiste àsupprimer les enregistrements contenant lesvariables mal formées ou manquantes (ou lesvariables elles-mêmes si on peut en utiliserd’autres à la place ou si, tout simplement, onarrive à s’en passer). Bien sûr cela ne peut sefaire que si l’impact global est faible au regarddes études à réaliser avec ces données.

Nous avons brossé rapidement le portrait dedémarches et techniques à notre dispositionpour passer des données à des éléments depreuve. Nous aurions pu aussi aborder lesoutils d’analyse de données (comme IDEA ouACL), les outils de dataviz (comme Tableau)qui peuvent être de très utiles complémentsdans ce cadre, voire des modules (R, Python,etc.) dédiés à ce sujet, sans arriver à l’épuiser.

4 Information Technology Infrastructure Library.



Dans un monde en pleine transfor-mation avec la digitalisation desentreprises, les modèles écono-miques sont en pleine évolution et

ils impactent très fortement les modèlesopérationnels. Nous assistons à une mutationen profondeur des organisations, des proces-sus et de la culture des entreprises.

L’audit interne a pour mission de donner demanière indépendante et objective « à uneorganisation une assurance sur le degré demaîtrise de ses opérations, lui apporter sesconseils pour les améliorer, et contribuer àcréer de la valeur ajoutée »1. Or, les attentesdu management et des comités d’audit sontgrandissantes notamment sur deux aspectsdu rôle de l’audit interne : D’une part, l’attente quant à la couverture

des risques émergents est très forte etseulement 5 % des membres de la directionet des comités d’audit estiment recevoirune information de qualité de leur directiond’audit2.

D’autre part, les comités d’audit et leManagement attendent plus encore deleur direction d’audit interne qu’elle secomporte en partenaire d’affaires enapportant de la valeur ajoutée aux direc-tions métiers.

Les nouvelles technologies liées à la révolu-tion de l’analyse de données sont une formi-dable opportunité pour les directions d’auditinterne de répondre à ces attentes en permet-tant notamment de quantifier les impacts, deles prédire, de valoriser les enjeux financierset de proposer des recommandations perti-nentes.

Les récentes évolutions du marché ont enoutre levé un certain nombre de barrières àl’utilisation des technologies Big Data. Cesdernières permettent désormais de traiter desvolumes de données très significatifs (avec ledéploiement par exemple des technologiesde type Hadoop, SAP Hana ou OracleExalytics) et d’analyser des données non struc-

turées (messages, vidéos, par opposition auxdonnées structurées provenant souvent desERP). Cette révolution est aussi celle des outilsde visualisation des données (par exemple,Qlik, Tableau Software…), qui ont permis defaciliter la prise en main et le partage desanalyses en les rendant graphiques et intui-tives pour des utilisateurs non experts.

Les niveaux d’intégration etd’automatisation de l’analyse de données au sein de l’auditinterne

Les techniques d’analyse de données sontdéjà présentes au sein des fonctions d’auditet de contrôle interne, avec des degrés d’uti-lisation plus ou moins importants. Il apparaîtque de nombreuses directions d’audit interne,bien que convaincues des bénéfices de l’uti-

Etat des lieux de l’utilisation de l’analyse de

données au seinde l’audit interne

© Graph

icroya

lty - F

otolia.com

Yohann Vermeren,Associé Advisory, IT Risk Consulting, KPMG

Guillaume Cuisset,Senior Manager, IT Risk Consulting, KPMG

1 Source IFACI, Définition de l’audit interne.2 Seeking value for internal audit – KPMG 2016.



lisation de l’analyse de données, n’ont pasréussi à les démontrer. Nombre d’entre ellesont considéré comme suffisant l’investisse-ment dans des outils et des spécialistes(internes ou externes). Mais pour uneapproche efficace et durable, l’analyse dedonnées nécessite plus que d’ajouter de la« technique » au sein de ses activités quoti-diennes. Même si ces éléments sont fonda-mentaux, une réflexion plus stratégique estnécessaire autour de l’évolution de la façondont les audits sont planifiés, exécutés etpartagés, ainsi que dans la façon d’interagiravec les parties prenantes. Le GTAG 33 – dispo-nible sur le site de l’IFACI – présente les phasesclés de la mise en œuvre de l’audit en continuet donne plusieurs études de cas.

Les directions d’audit doivent définir le niveaude maturité qu’elles souhaitent atteindre.Néanmoins, cette transformation de l’auditinterne doit être progressive dans le tempsmais aussi en parallèle des autres directions(contrôle interne, conformité, risques,systèmes d’information, métiers, financière etDirection générale).

À titre d’illustration, cinq niveaux de maturitépeuvent être proposés :

Niveau de maturité I – Audit traditionnel L’utilisation d’analyses de données est limi-

tée à des rapports d’exception et àquelques analyses de données descriptives(notion abordée ci-dessous).

Niveau de maturité II – Intégrationd’analyse de données Adhoc Plan d’audit : l’utilisation d’analyses réalisées

par les opérationnels permet de réaliser descomparaisons et des analyses de risque. Exécution des missions et reporting : l’utili-

sation d’analyses descriptives permet uneanalyse des risques et du périmètre de lamission.

Niveau de maturité III – Audit en continuet évaluation des risques en continu Plan d’audit : l’utilisation d’analyses sur les

risques prioritaires est systématique, l’ex-traction est automatisée et des outils devisualisation sont en place, la réalisationd’analyses prédictives est réalisée lorsquenécessaire. Exécution des missions et reporting : l’ana-

lyse de données est automatisée sur lesprocessus clés, les programmes de travailprennent en compte l’analyse de données,l’utilisation d’analyses prédictive et pres-criptive est rendue possible.

Niveau de maturité IV – Audit et contrôleen continu intégrés Plan d’audit : Les risques prioritaires font

l’objet d’analyses intégrées dans lessystèmes d’information de l’entreprise, desanalyses et outils de pilotage des contrôleset des risques sont exploitées par les direc-tions métiers, les analyses prédictives etprescriptives sont réalisées en complémentpour affiner les analyses de risques. Exécution des missions et reporting : Des

procédures de tests automatisés surcertains objectifs d’audit permettent defaire des audits par exception, l’auditinterne a accès à l’ensemble des outils depilotage des contrôles, la qualité desdonnées est pilotée par les opérationnels,des analyses prédictives et prescriptivessont réalisées en complément.

3 Global Technology Audit Guide - Audit en continu : Coordonner l’audit et le contrôle en continu pour fournir une assurance continue. 2016.4 Best practices in Analytics : integrating Analytical Capabilities and process flows, Gartner, Mars 2012.

Niveaux dematurité Niveau I Niveau II Niveau III Niveau IV Niveau V

Méthodologied’audit interne Audit traditionnel

Intégration desanalyses de données

Ad Hoc

Audit en continuet évaluation des

risques en continuAudit et contrôle

en continu intégrésAssurance encontinu de la

gestion des risques

Analyse stratégique

Evaluation des risquesde l’entreprise

Développement duplan d’audit interne

Réalisation desmissions etétablissement desrapports

Amélioration encontinu

Types de donnéesapplicables Descriptive Descriptive,

Diagnostique

Descriptive,Diagnostique,

Prédictive


Prédictive,Prescriptive


Prédictive,Prescriptive

Analyse de donnéesgénéralement non utilisées

Analyse de données partiellementutilisées mais sous-optimisées

Analyse de données utilisées de manièreefficace et uniforme (adaptées)

Figure 1 : Source : KPMG - 2016



Niveau de maturité V – Assurance encontinu Plan d’audit : La stratégie est totalement

alignée avec la cartographie des risques, lesobjectifs stratégiques et les risques sontpilotés en temps réel, le plan d’audit estdynamique et s’adapte à la transformationdu métier, l’ensemble des technologiesd’analyse de données est disponible etutilisé. Exécution des missions et reporting : Les

procédures d’audit prennent en comptel’analyse de données sur les principauxobjectifs et risques de l’entreprise, lesprocédures d’audit automatisées sontorientées sur l’analyse des causes premières(root causes) et sur les recommandations.Les programmes de travail proposent l’uti-lisation des analyses prédictives et prescrip-tives.

Quels sont les types d’analysesde données pertinents pourl’audit interne ?

En parallèle du niveau d’automatisation etd’intégration que les directions d’audit internesouhaitent atteindre, il faut aussi se poser laquestion des types d’analyses de données àmettre en œuvre. L’effort nécessaire à cettemise en œuvre sera plus important et lesbesoins humains et technologiques serontplus forts en fonction des types d’analysessouhaités. Gartner4 distingue quatre types d’analysesqu’il est possible de disposer dans « sa boite àoutils » : Analyse descriptive (dans la figure 2 : les

rapports) : analyse des exceptions dans

leurs contextes ; Que s’est-il passé et dansquel contexte ? Analyse Diagnostique (dans figure 2 : les

requêtes et le data mining): Analyse desroot causes ; Pourquoi est-ce arrivé ? Analyse prédictive : Estimation de l’impact

potentiel sur la base de l’historique et demodèles scientifiques ; Qu’est-ce qui arri-vera ? Pourquoi cela arriverait ? Analyse prescriptive : Définition du

modèle idéal permettant d’éviter l’excep-tion ; Que faire pour que ça n’arrive pas ?

Le type d’analyse dépend de l’objectif destravaux et de la maturité de l’audit interne. Ilfaut considérer ces différents types d’analysescomme une boite à outils.

Quels sont les outils et servicespouvant répondre aux besoinsde l’audit interne ?

Il est difficile de faire un inventaire de l’ensem-ble des solutions, outils, éditeurs et cabinetsévoluant sur le marché de l’analyse dedonnées. Il en est de même pour catégoriserces outils, compte tenu de la tendance dumarché à évoluer vers des solutions bout enbout (Big Data, visualisation, contrôle continu,prédictif…). En complément, nous voyonsapparaître, en plus des acteurs « tradition-nels » du marché, des acteurs de niche propo-sant des solutions ciblées et pertinentes.

Il est possible de classifier les outils disponi-bles sur le marché de la manière suivante : Les outils de préparation des données (par

exemple, SAS, Alteryx, Datawatch …). Cesoutils permettent de nettoyer, transformer

et enrichir la donnée. Ces outils sont géné-ralement utilisés afin d’obtenir un fichier quisera ensuite exploité dans un outil de visua-lisation. Ce secteur connait une tendancevers l’utilisation de plateformes en libre-service incluant du contenu prédéfini(connecteurs système, requêtes), contenuqui peut être ensuite enrichi par les utilisa-teurs. Les outils de visualisation des données

(par exemple, Tableau Software, Qlik). Cesoutils permettent une navigation intuitivedans les données à l’aide de représenta-tions graphiques variées (y compris repré-sentations géolocalisées) et defonctionnalités de navigation dans le détail.Cette évolution du marché se traduit par lepositionnement de Tableau Software etQlik dans le premier quartile du MagicQuadrant de Gartner. Les outils de business intelligence (par

exemple Microsoft Power BI, SAP, Oracle,Microstrategy. Ces outils d’aide à la décisions’articulent autour d’un ETL (Extraction,Transformation, Chargement), d’un entre-pôt de données permettant de stocker lescubes de données, et d’outils de reportingou tableaux fournissant une aide à la déci-sion. Les outils d’analyse de données spéciali-

sés pour l’audit et le contrôle interne (ACL,IDEA). Certains acteurs de l’analyse dedonnées ont fait le choix de se spécialiservers les métiers de l’audit et du contrôle,notamment en garantissant la piste d’auditet en développant des fonctionnalités d’au-dit et de contrôle continu. La tendancechez ces acteurs est à l’évolution vers le« Big Data », voire à l’augmentation de leurcouverture fonctionnelle afin de couvrir lesfonctionnalités attendues de solutions deGRC, mais aussi en embarquant des fonc-tionnalités prédictives. Les outils de GRC (SAP GRC, Oracle GRC

Management, BWISE) Ces outils permettentune intégration du contrôle continu et del’audit continu à la gestion des risques, despolitiques et procédures de l’entreprise,ainsi qu’avec la fonction de conformité. Ducôté des acteurs de la GRC, on note égale-ment un renforcement des capacités d’ana-lyse de données (par exemple, SAP GRCdispose désormais d’un module FraudManagement possédant des capacitésd’analyses « Big Data » et prédictives etdonnant la capacité d’identifier des cas defraude notamment). Les outils spécifiques : nous proposons ci-

après deux exemples d’utilisation d’outilsd’analyse de données pertinents pour lesdirections d’audit interne :- Les réseaux sociaux ont contribué à créer

Rapportsstandards

Modélisationprédictive

DataMining

Requêtes

Rapportsad hoc

Analyseprescriptive

Opérationnel Tactique Stratégique

Création de valeur

Att

ente

s m

étie

r

Que s’est-il passé ?

Quand ? Comment ?

Où est le problème ?

Pourquoi est-ce arrivé ?

Que va-t-il se passer ?

Quelle action prendre ?

Figure 2 : Source : KPMG - 2016



de nouvelles menaces, notamment entermes d’image (e-reputation) pour lesentreprises. Ces menaces et leur gestionont fait naitre un éco-système d’outils etde services autour de la gestion desréseaux sociaux. Les outils d’analyse dela e-reputation (par exemple Bottlenose)permettent de détecter les sujets les plusfréquents sur les réseaux sociaux, ainsique d’identifier l’aspect positif ou négatifdu commentaire pour l’entreprise.

- Détection des risques de corruption :Certains outils (par exemple Astrus)permettent de faire une analyse descontreparties et d’émettre des rapportsavec l’aide de consultants de due dili-gence sur les risques liés aux contrepar-ties et à l’intégrité des tiers.

Le cognitif avec l’intelligence artificielle(par exemple IBM Watson) promet une véri-table révolution dans l’analyse de donnéesavec la capacité d’apprentissage automa-tique. Ces outils, grâce à la capacité d’auto-matiser les analyses prescriptives,permettront une prise de recul avec desrecommandations innovantes et perti-nentes.

Gartner prédit dans son dernier MagicQuadrant for Business Intelligence and AnalyticsPlatforms5 une intégration des outils dits de «préparation des données » et des outils devisualisation des données, le tout appuyé surdes fortes capacités de traitement, notam-ment à l’aide du cloud (par exemple MicrosoftPower BI, reposant sur le cloud MicrosoftAzure). Des regroupements autour de parte-nariats ont notamment été initiés, entre desspécialistes métiers du risque et de l’audit etdes acteurs technologiques (Analytics as aservice avec KPMG, en partenariat avecMicrosoft) ou des solutions en cloud permet-tant de faire de l’audit et du contrôle encontinu (comme SOFY de KPMG ou encoreACL ou SAP qui proposent des solutions encloud).

En ce qui concerne le consulting, le conseilautour des solutions d’analyse de données estdésormais mature. Au-delà, de l’accompagne-ment à la définition de la stratégie d’analysede données et au déploiement des solutionsd’audit et contrôle en continu, l’offre de

services ponctuels peut permettre aux direc-tions d’audit interne d’accélérer leur projet dedigitalisation en profitant de solutions, detechnologies, d’expertises et de cas d’utilisa-tion. À titre d’exemples, citons des applica-tions pour l’analyse des taxes indirectes, leparcours client, l’optimisation des processusERP, la cyber sécurité et les analyses secto-rielles …

Ces démarches peuvent en effet permettre delimiter la difficulté de certaines organisationsà disposer des compétences et de ressourcesen interne et de se concentrer sur l’acquisitiondes compétences nécessaires à l’exploitationde ces résultats, l’analyse des causespremières (root causes) et la proposition derecommandations à valeur ajoutée.

Retours d’expérience pour un déploiement efficace del’analyse de données

Même si nous avons évoqué la levée decertaines barrières à l’utilisation de techniquesd’analyse de données (plus ou moins avan-cées), certaines demeurent non négligeables.

Elles peuvent être réparties de la façonsuivante :

Questions générales Définir et partager des objectifs clairs et des

critères de succès en lien avec la stratégieet la gouvernance de l’entreprise. Mesurer et démontrer les succès. Anticiper les besoins techniques (outils,

compétences et conseil externe). Prendre en compte les efforts et initiatives

déjà existantes au sein de l’organisation(DSI, Data Scientists, Responsable Digital...).

Sécurité, disponibilité et qualité desdonnées Ne pas sous-estimer les difficultés d’accès

aux données (extraction). Prendre en compte la diversité des

systèmes et des formats de données. Mettre en place un processus d’analyse de

la qualité des données (exhaustivité, exac-titude, intégrité) sur les données internes etexternes.

Définir un programme de protection desdonnées (personnelles ou critiques) enaccord avec les enjeux réglementaires(CNIL ou avec le Règlement Général sur laProtection des Données au niveauEuropéen…). Sécuriser et protéger les données et

analyses.

Utilisation et intégration de l’analyse de données dans les audits Faire évoluer les approches d’audit et les

programmes de travail en incluant l’analysede données. Définir ce qui est attendu de l’analyse de

données : exceptions, identification des« faux-positifs » et des « faux-négatifs ». Définir le processus de traitement des

exceptions et notamment au regard duvolume potentiel.

Facteurs humains Définir le socle de compétences néces-

saires à la bonne exploitation de cesdonnées par les auditeurs internes(connaissance des systèmes et descontrôles attendus). Évaluer le besoin en termes de gestion du

changement sur les opérationnels, contrô-leurs internes et auditeurs internes suite àla mise en place de solutions de contrôleset audits en continu. Rester connecté avec les autres directions

utilisant des techniques d’analyses dedonnées.

Dans leur ensemble, les directions d’auditinterne ont donc débuté leur projet dedéploiement des capacités d’analyse dedonnées profitant de la révolution du Big Dataet de la DataViz. Les directions d’audit internen’ont pas toujours pu ou pas toujours sumatérialiser les bénéfices et la valeur ajoutéede l’analyse de données. Néanmoins, lesdirections ont tout intérêt à penser à unetransformation de la manière de planifier,d’exécuter et de partager les travaux d’auditen intégrant l’analyse de données de manièrepertinente. Les questions autour de l’intégra-tion et de l’automatisation sont capitales, maisc’est aussi l’analyse des risques et des enjeuxstratégiques qui permettra de définir quellessolutions (approches, outils, conseils interneset externes nécessaires) apporteront la plusgrande valeur ajoutée pour le métier, la direc-tion et le Comité d’audit.

5 Magic Quadrant for Business Intelligence and Analytics Platforms – Gartner 2016.

Le cognitif avec l’intelligence artificielle prometune véritable révolution dans l’analyse dedonnées avec la capacité d’apprentissageautomatique

«»



La détection et la prévention desfraudes font depuis quelques annéesl’objet d’une attention particulière, dueconcomitamment aux exigences

réglementaires croissantes, à l’explosion dunombre de transactions et aux capacités tech-nologiques en perpétuelle évolution.

Si l’on prend l’exemple des prestataires deservices d’investissement, ils sont depuis 2005soumis à une réglementation concernant ladétection des abus de marché (opérationsd’initiés ou de manipulation de cours). Elleimpose aux prestataires la mise en place d’undispositif de détection des opérations poten-tiellement constitutives d’un abus de marché.Ce dispositif peut reposer sur un systèmeautomatique de détection [1].

Il existe, sur le marché, différentes solutionspour détecter automatiquement des opéra-tions potentiellement frauduleuses. Les tech-niques mises en œuvre ont évolué au fil desans depuis les systèmes à base de règles (ousystèmes experts) recherchant un nombrelimité de scénarios prédéfinis, jusqu’aux algo-rithmes de Machine Learning dont la naturemême, fondée sur les données, permet dedétecter des opérations frauduleuses unique-ment à partir d’exemples fournis.

Un rapport récent sur les outils de surveillancedes marchés mentionne d’ailleurs le MachineLearning comme étant l’un des principauxmoteurs d’évolution de ces systèmes automa-tiques [2]. Il faut également noter que l’un desautres facteurs cités est la visualisation dedonnées (dataviz), complémentaire duMachine Learning au sein des techniques rele-vant de la Data Science.

Qu’est-ce que le MachineLearning ?

L’apprentissage automatique (Machine Lear-ning) est un domaine de l’informatique quirelève des techniques de l’IntelligenceArtificielle. L’idée consiste à doter les ordina-teurs d’une capacité d’apprentissage sansqu’ils ne soient explicitement programmés.

On distingue habituellement 3 types d’ap-proche de Machine Learning : l’apprentissagesupervisé, l’apprentissage non supervisé et lestechniques de renforcement.Dans l’apprentissage supervisé, principale-ment abordé dans cet article, on va apprendreà l’ordinateur comment classer des objets.Pour ce faire on dispose au départ d’unéchantillon dit d’apprentissage dont le classe-ment est connu. Cet échantillon est alors

utilisé pour l’apprentissage des règles de clas-sement par l’ordinateur. Par exemple, dans ledomaine de la fraude, on va considérer unhistorique de transactions représentées parun ensemble de variables dont l’une d’entreelles indique si la transaction était frauduleuseou non. Cet apprentissage des règles de clas-sement va conduire à fabriquer un modèleprédictif (à partir de l’échantillon d’apprentis-sage) : le modèle une fois obtenu permettrade déterminer si une nouvelle transaction quise présente est frauduleuse ou non.

Evidemment, le modèle parfait n’existe pas et,parmi les nouvelles opérations qui serontprésentées, certaines transactions réellementfrauduleuses seront classées comme étantnormales par l’algorithme (il s’agit des fauxnégatifs dans le jargon du Machine Learning)et, inversement, certaines transactionsnormales seront classifiées comme étant frau-duleuses (les faux positifs). Nous allons voirde quelle manière aborder ces erreurs de clas-sification.

Mesure des performances :précision et couverture

Les performances d’un algorithme d’appren-tissage supervisé, lors de la phase d’appren-

Détection et prévention des fraudesL’essor du Machine Learning

Francis Wolinski, Directeur, Yotta Conseil -Expertise & Audit du SI

© Icon

imag

e - F

otolia.com



tissage, peuvent être synthétisées dans unematrice, dite de confusion, où l’on dénombreles quatre catégories de transactions selonqu’elles sont réellement frauduleuses ou nonet selon que l’algorithme les a estiméescomme étant frauduleuses ou non.

La matrice de confusion permet de calculer,entre autres : la performance globale de l’algorithme ;

c’est la mesure du taux d’opérations correc-tement classifiées (frauduleuses et nonfrauduleuses) ; la sensibilité, qui peut être assimilée à la

capacité d’un modèle à bien prédire lespositifs (on regarde la prédiction de vraispositifs et on la compare aux positifs réels).Il faut rappeler que, dans notre modèle dedétection de fraude, un positif est uneopération frauduleuse ; la précision, permet d’apprécier les vrais

positifs parmi l’ensemble des positifsprédits. On voit assez rapidement qu’il fautêtre prudent à propos de cette notion.Imaginons qu’on utilise un modèle prédictiftrès mauvais, qui ne trouve qu’une opéra-tion frauduleuse (alors qu’il y en a descentaines) et que celle-ci soit une vraiefraude, la précision sera cependant de100 %.

De l’importance des cas d’usage

La performance d’un algorithme en termesde précision et de sensibilité n’est pas unemesure absolue, elle doit être adaptée au casd’usage (use case). Si l’on prend l’exemple desabus de marché, la réglementation indiquequ’un système automatique doit permettrede réguler le nombre d’alertes générées auregard de l’activité de l’établissement et desmoyens humains dédiés à leur traitement.[1]On comprend dès lors qu’en pareil cas, si unnombre limité d’opérateurs humains doitanalyser les alertes issues d’un système auto-matique, il faudra prioritairement prendre encompte la précision de l’algorithme. En effet,on préfère avoir peu de positifs prédits, maisêtre plutôt sûr que ce soient des vraiesfraudes, du fait du nombre limité de person-nels pour les traiter. Inversement, si l’objectif est de repérer toutesles transactions potentiellement frauduleuses,à partir d’un montant donné par exemple,c’est la mesure de la sensibilité qui seraprépondérante. On voudra en effet ne paspasser à côté d’une opération frauduleuse,quitte à perdre du temps à trier les vrais posi-tifs des faux positifs.

Sous-apprentissage et sur-apprentissage

Deux écueils assez classiques peuvent surve-nir aux algorithmes d’apprentissage mis en

œuvre : Lorsque le modèle est trop simpliste par

rapport aux données utilisées dans la phased’apprentissage, par exemple lorsqu’onutilise un modèle linéaire pour desdonnées complexes, on parle de sous-apprentissage (underfitting) et de biaisélevé. Quel que soit le nombre d’exemplesfournis au système, son modèle étantintrinsèquement limité, il ne pourra pasapprendre de manière satisfaisante à partirdes données. Inversement, lorsque le modèle est poten-

tiellement plus complexe que les donnéeselles-mêmes, on parle de sur-apprentis-sage (overfitting) et de variance élevée. Lemodèle n’apprend pas réellement, il enre-gistre en quelque sorte les exemples four-nis dans la phase d’apprentissage sanseffectuer aucune généralisation.Parfaitement adapté à l’échantillon d’ap-prentissage, l’algorithme s’avérera défaillantdès qu’il faudra prédire de nouvellesfraudes qui ne seront pas dans l’échantilloninitial d’apprentissage.

Pour s’assurer qu’un algorithme a correcte-ment appris à partir des exemples fournis, ilest d’usage de découper le jeu initial dedonnées en deux bases : une base d’appren-tissage regroupant par exemple 70 % des caset une base de test regroupant les 30 %restants. La base d’apprentissage est consti-tuée des exemples fournis à l’algorithme pourson éducation. La base de test sera utiliséepour apprécier la performance du modèleobtenu. Il est important de s’assurer que cesdeux bases soient constituées de manièrealéatoire à partir de la base initiale pour éviterun biais qui serait dû à l’ordre des cas utiliséspar exemple.

Algorithmes de MachineLearning

Nous n’avons pas encore abordé la questiondes méthodes de Machine Learning qui sontlégions : régressions linéaires et logistiques,arbres de décision et forêts aléatoires (randomforest), réseaux de neurones et bayésiens,machines à vecteurs de support (SVM), algo-rithme du gradient, partitionnements dedonnées (méthode des k plus prochesvoisins), etc.Chaque méthode nécessite d’une part desélectionner les variables qui vont être utili-sées dans le modèle, et d’autre part d’ajusterun ensemble de paramètres propres à laméthode. Il peut s’agir de paramètres mathé-matiques comme le degré polynomial ou lefacteur de régularisation, ou bien de paramè-tres algorithmiques comme le nombre d’ité-rations ou le pas de l’itération, ou encore deparamètres structurels comme le nombre decouches d’un réseau de neurones.

Lorsque l’on utilise des paramètres comme ledegré polynomial ou le nombre de couchesd’un réseau de neurones, il y a en fait plusieursalgorithmes d'apprentissage à faire tourner enfonction des différentes valeurs que peutprendre le paramètre. Il va alors falloir couperla base en 3 : chaque algorithme va apprendresur la base d'apprentissage (environ 60 % descas) et on va évaluer sa performance sur labase de validation (20 %). On choisira ensuitele paramètre qui donne la meilleure perfor-mance sur cette base puis on évaluera laperformance finale de l'algorithme choisi surla base de test (20 %). Avec cette démarche,le data scientist sera non seulement enmesure de déterminer le paramètre optimal,mais également de détecter les cas de sous-apprentissage et de sur-apprentissage vusprécédemment.

D’une manière générale, les analystes consi-dèrent que les outils analytiques peuvent êtrerépartis en quatre classes en fonction desréponses qu’ils apportent [3]. Il est clair qu’enmatière de détection et de prévention desfraudes, ce sont les systèmes prédictifs, etdans l’avenir prescriptifs, c’est-à-dire, induisantdes actions automatiques ou non, qui sontmis en œuvre (sur les notions de descriptif etde prescriptif, voir l’article État des lieux de l’uti-lisation de l’analyse de données au sein de l’auditinterne de Y. Vermeren et G. Cuisset dans cemême numéro).

De la prescription à l’action (niveau d’alerte,blocage des transactions...), les systèmes deMachine Learning devront également incluredes règles métiers, prenant en compte lasémantique, associées aux données [4].

Référencesbibliographiques

1. Guide AMAFI – FBF de mise en œuvre desprocédures de déclaration de soupçond’abus de marché, FBF, avril 2015.

2. Market Surveillance Systems for Exchanges:A Look at the Leading Products, Celent, juin2015.

3. IT Glossary, Gartner, novembre 2012.4. Continuous Fraud Monitoring and

Detection via Advanced Analytics State-of-the-Art Trends and Directions, Deloitte,mars 2014.



« Un bon croquis vaut mieuxqu’un long discours ».

Cette phrase, souvent attribuée à Napoléon,résume de manière condensée l’objectif de laDatavizualisation (DataViz) qui est unedémarche de représentation simplifiée de laréalité s’appuyant sur la puissance des tech-nologies actuelles.

Une démarche pour libérerl’imagination et restituer leursens aux données

La DataViz est une démarche (ce n’est pas unoutil !) ayant pour objectif de proposer desreprésentations intelligibles et parlantes desinformations pour exploiter au mieux les gise-ments de données utilisés par l’entreprise.Son objectif est simple : aider à la décision,faciliter l’analyse et mieux piloter son activité,rendre l'information accessible par uneapproche dynamique, voire ludique (onemploie souvent le terme de data storytel-ling = les données doivent raconter unehistoire).

Cette démarche doit permettre de sortir ducadre traditionnel de restitution pour propo-ser des représentations dont la seule limite estl’imagination.

Une démarche itérativeet participative …

Une démarche DataViz est itérative et parti-cipative : l’utilisateur (c.-à-d. le client) voit queles données produisent elles-mêmes de l’in-formation, ce qui engendre un processusquasi naturel de créativité.Les capacités interactives proposées par leDataViz permettent par ailleurs d’élargir lechamp d’exploration et d’interprétation desdonnées, contrairement aux visualisationsstatiques.

… qui doit s’appuyer sur des méthodes agiles

Le principe d’interactivité qui gouverne laDataViz implique obligatoirement de s’ap-puyer sur des méthodes agiles de développe-ment, c’est à dire des cycles courts entre laréalisation et la visualisation.

Des résultats tangibles quifavorisent la collaboration …

Les premiers prototypes réalisés montrentune transformation du raisonnement chez lesutilisateurs. Ils abandonnent rapidement lalogique de travail standardisée et en silo auprofit d’une recherche plus dynamique etcollaborative de représentation des données.Ils s’interrogent de façon pertinente en secentrant sur le « comment » valoriser l’infor-mation et les messages.

… mais des écueils à éviterobligatoirement

La DataViz n’a pas vocation à faire du traite-ment de données (tâche qui doit être effec-tuée en amont) et doit se concentrer sur lemessage à délivrer.

En ce sens la DataViz est uniquement dépen-dante de la qualité des systèmes amont (quisont fournisseurs de données à valeur ajou-tée) et ne doit pas constituer un « infocentrebis » sauf à accepter des charges de dévelop-pement (charges initiales, évolutives ou

Pascal Paraire, Auditeur informatique

La DataVizRetour d’expérience

© bak

htiarzein - F

otolia.com


correctives) importantes et des réductions deperformance.Les seules opérations opportunes à ce niveaudoivent essentiellement consister en descalculs ou des filtrages simples (ex : maximum,minimum ou moyenne).

Un large choix

Le développement de services DataViz peuts’appuyer sur des cadres open-source (jquery,D3js,...) ou vers des outils du marché(Tableau, ...).Les outils du marché ont l’avantage de faciliterla mise en œuvre (beaucoup d’entreprises nedisposant pas de personnels prêts à se spécia-liser en DataViz) mais peuvent montrer leurslimites dans des approches plus pointues.

La dataviz et l’audit

La DataViz peut constituer un levier de valeurajoutée forte pour l’auditeur (comme pour lecontrôleur) en appui de ses principauxmessages.Cependant, la charge de réalisation de resti-tutions graphiques adaptées aux messages à

délivrer doit être réservée dans la chargeglobale de la mission.

Quelques liens en guised’exemples

Par nature, la dataviz est une représentationdynamique. Il n’est donc pas possible dedonner des exemples sur papier. Voiciquelques liens à explorer : passez la souris surles images, cliquez sur les ascenseurs et lesboutons à votre disposition, etc.

McKinsey met à disposition une datavizsous Tableau Software à l’adresse suivante :https://public.tableau.com/profile/mckin-sey.analytics#!/vizhome/AutomationBySector/WhereMachinesCanReplaceHumans.Cette dataviz accompagne une étude1

d’identification des métiers pouvant êtrenumérisés ou non (800 métiers ont étéétudiés) à courte échéance. Le must actuel de la dataviz est le frame-

work D3.js (https://d3js.org/) que Wikipediaprésente ainsi : « D3.js (ou D3 pour Data-

Driven Documents) est une bibliothèquegraphique Javascript qui permet l'affichagede données numériques sous une formegraphique et dynamique ». La richesse desreprésentations est impressionnante. Le framework Shiny encapsule D3.js afin

d’offrir une visualisation dynamique(http://shiny.rstudio.com/gallery/) de gra-phiques conçus avec le langage statis-tique R. Dans le cadre de nos travaux de dataviz,

nous utilisons directement D3.js. Vouspouvez consulter un exemple (prototype)sur les taxes locales en France au cours desans (constitué à partir de données en opendata) en suivant le lien : www.decliccon-seil.ovh Voici enfin un exemple de ce qui pourrait

constituer peut-être le futur de nossupports de rapport : http://worrydream.com/ClimateChange. Si, dans cet exemple, lesreprésentations graphiques ne sont pasdynamiques, en revanche, les liens lesont.

1 Article « Where machines could replace humans - and where they can't (yet) », McKinsey Quarterly, July 2016.


Son objectif est simple :aider à la décision,faciliter l’analyse et mieux piloter sonactivité, rendre l’information accessiblepar une approche dynamique voireludique

«

»



Une lente évolution

L’audit à valeur ajoutée a souvent été abordécomme une panoplie d’outils (les meilleurespratiques du moment) qu’il suffirait dedéployer.

Ainsi, depuis plus de 20 ans, on nous exhorteà l’analyse de données via des tableurs ou desoutils spécialisés. On ne peut parler cepen-dant de lame de fond (figure 1).Mieux, si on veut se faire peur, il suffit de(re)lire les articles de Richard Lanza parus il y

a plus de 10 ans, comme « Using RegressionAnalysis To Continuously Monitor Exceptions »ou « Using Excel as an Audit Software ». Onconstate alors l’extrême lenteur de notreacculturation numérique.

Il apparaît de même que des outils particuliè-rement efficaces, comme le calcul opération-nel ou la théorie des graphes, restentpourtant confinés à des métiers spécifiquesde l’industrie ou de l’armement. Pire, les outilsles plus simples pour l’heuristique et l’innova-tion comme les cartes des idées, la conduitede réunion popularisée par David Strauss (quia largement influencé les méthodes de rapidprototyping puis les méthodes agiles), laméthode Delphi, … sont demeurés l’apanagede quelques professions. Pourtant l’audit

Valeur ajoutée de l’auditdans un monde numériqueQuelles compétences pour demain ?

Nous abordons dans cet article la notion de valeur ajoutée de l’audit dans le cadre dela problématique actuelle de numérisation des entreprises. Nous questionnons la visionque le métier (via notamment les enquêtes de l’IIA) se construit sur le sujet. Enfin nousnous interrogeons sur les compétences attendues des auditrices/teurs dans un futurproche.

José Bouaniche, Auditeur interne, Caisse des Dépôts et Consignations

« S’il n’y a pas de solution,c’est qu’il n’y a pasde problème. »

Jacques Rouxel,Les shadocks

© alexd

ndz - F

otolia.com


interne aurait pu les utiliser avec profit et, parson exemple, contribuer à diffuser une culturede l’outil heuristique et d’aide à la décisiondans les entreprises.

Pour Dean Brooks et Richard Lanza1, la faiblegénéralisation de l’usage de logiciels par laprofession peut s’expliquer (surtout pour lesservices modestes) par : la mauvaise connaissance de l’offre logi-

cielle par l’audit, due entre autres à uneoffre pléthorique, sans cesse renouvelée etavec de nombreuses spécialités de niche ; la difficulté intrinsèque pour collecter les

données puis les analyser, corrélée à undéficit de compétences sur le sujet dans lesservices d’audit ; un manque de personnels qualifiés, de

temps et de budget pour s’investir sur lesujet.

C’est ce qu’on appelle une « étreintemortelle » chez les informaticiens…

Innovation ou suivisme, où setrouve la valeur ajoutée ?

Alors, au-delà de l’utilisation d’outils et depratiques émergents, qu’est-ce qui va carac-tériser un service d’audit à valeur ajoutée ? Ilapparaît clairement que ce n’est pas en faisant« comme les autres », aussi intéressants soientles benchmarks.

Dans un des rares articles de fond sur le sujet,« How Do Internal Auditors Add Value ? » (revueInternal Auditor, février 2003), James Roth2

soulignait justement que la valeur ajoutée del’audit dépend des circonstances et de l’envi-ronnement.

Il proposait cependant 4 axes pouvant aiderles auditrices/teurs à déployer une valeurajoutée pour leur entreprise :

une forte connaissance de l’entreprise, deses valeurs, de ses acteurs clés, de son envi-ronnement compétitif ;

un certain courage pour proposer desinnovations non attendues par lesdonneurs d’ordre de l’audit ;

une connaissance approfondie de ce quela profession considère comme lespratiques à valeur ajoutée ;

une capacité créative pour adapter cespratiques innovantes et répondre le mieuxpossible aux besoins de l’entreprise.

Des compétences cléssuffisantes ?

Les 4 axes de Roth peuvent s’assimiler à descompétences clés : forte connaissance de l’en-treprise, courage pour innover, connaissancedes pratiques à valeur-ajoutée, capacité créa-tive. Nous aurons du mal à retrouver cellesconcernant l’innovation et la créativité dansles différentes enquêtes et études qui ontsuivi.

Ainsi, selon l’IIA (CBOK 2015), les compétencesles plus recherchées par les responsablesd’audit sont présentées ci-après (figure 2).

On voit que l’esprit critique est au top ce quiest à la fois rassurant (c’est effectivement laqualité fondamentale du métier) et inquié-tant, car les différentes enquêtes socialesmenées ces dernières années (voir notam-ment l’étude Gallup 2013 sur l’engagement)montrent que c’est loin d’être la qualité atten-due dans les entreprises pour les cadres etemployés. D’ailleurs le référentiel de compé-

tence de l’audit interne de l’IIA (2013) la carac-térise essentiellement par la capacité de sélec-tion et d’utilisation d’une gamme d’outils etde techniques manuels et automatisés, demanière appropriée pour la collecte depreuves.

Il est intéressant de pouvoir comparer cesattentes à celle des donneurs d’ordre(enquête 2016 de KPMG auprès de 400 ChiefFinancial Officers (CFO) et membres de comi-tés d’audit, voir figure 3).

Mais ces compétence clés nous assurent-ellesde réaliser un audit à valeur ajoutée ?

Un point d’inflexion ?

En 2016, Deloitte faisait paraître une étuderapportée dans un article du supplémentbusiness Les Échos du 19 septembre 2016,sous le titre « Les directeurs de l’audit internecherchent à se réinventer ».

Coincés par les exigences de conformité deplus en plus importantes, ils ne peuventrépondre à la demande de conseils straté-giques réclamés par leur direction générale,semble-t-il. Tout service d’audit est ainsiconfronté à une avalanche de domaines decompétences « impératives » comme lagestion du risque, la fraude, la gouvernance,la cybersécurité, etc. auxquels s’ajoutent doré-navant, a minima3, la maîtrise de la communi-cation numérique ainsi que la capacitéd’anticipation (sur les risques) et de prédiction(à partir des données) tout en effectuanttoujours les contrôles de troisième niveau sur

1 « Why Companies Are Not Implementing Audit, Antifraud and Assurance Software and How to Fix It » JournalOnline ISACA 2006.2 Cette réflexion s’appuie entre autres sur une enquête menée par l’IIA, auxquels ont répondu 673 responsables de services d’audit nord-américains.

Roth a essayé de fournir une synthèse qui soit détachée des modes.3 Source « Evolution or Irrelevance ‒ Internal Audit at a Crossroad - CAE Survey », Deloitte, 2016.


Évaluations depopulations entières

plutôt que d’échantillons

Tests de conformitéréglementaire

Possibilitésd’améliorationsopérationnelles

0 2 4 6 8 10

5 sur 10

4 sur 10

3 sur 10

Figure 1 : Utilisation de l’analyse des données par les services d’audit en 2015 (source IIA)



les processus et la conformité (conformitétoujours plus présente par ailleurs).

Pourtant, bien souvent encore, l’audit internen’est pas considéré comme un métier, maiscomme un passage ayant plus ou moins desens dans une vraie carrière. Les « men (andwomen) in black » formatés par les cabinetsrenforcent cette image d’un audit qui n’auraitde sens que « comptafi » (axé exclusivementsur la comptabilité et la finance), dans uneorganisation hiérarchisée avec un turn-overrigoureux. Si ce type d’organisation est parfai-tement adapté à un cabinet d’audit, l’est-ilencore pour lesservices d’auditinterne ?

Des évolutionsémergent à lamarge, afin depouvoir répondreaux enjeux etcontraintes sanstrop remettre encause les habitudes.Le modèle de l’au-ditrice/teur généra-liste issu du sérailcomptable ne seraitplus le paradigmeadéquat, car ildevient nécessairede gérer une multi-plicité de compé-tences spécialisées.Les propositionssont alors, parexemple : disposer d’auditrices/teurs de profession

(quelle que soit leur « spécialité »), colonnevertébrale du service ;

diversifier les origines professionnelles et deformation ;

face à la pénurie d’auditeurs informatiquecompétents, former les auditeurs comptafiau sujet ;

externaliser ; réduire au minimum la ligne hiérarchique

(l’un des marqueurs du lean auditing) pourfavoriser l’innovation et l’intelligence orga-nisationnelle.

On a vu plus haut pourquoi, selon DeanBrooks et Richard Lanza, nous étions si frileuxsur les outils informatiques. Pour s’en sortir ilspréconisent d’identifier dans le service un oudeux champions et de leur donner carteblanche (dans les limites d’un budget définimême modeste) pour connaître le marché,dialoguer avec leurs pairs et expérimenter lessolutions. Ils soulignent la nécessité de secentrer sur des résultats tangibles, comme

raccourcir des délais de mission, identifier plusfacilement certains écarts ou erreurs, etc. Onpeut aussi ajouter les conseils suivants :1. d’abord ne pas partir dans une pensée

magique4 où l’outil serait considérécomme la solution, alors qu’il n’est qu’unmoyen ;

2. ensuite savoir en quoi nous avons un réelbesoin et déployer une démarcheadéquate pour choisir et implanter l’outil(voir le cahier de la recherche « Choisir unoutil pour un service d’audit ou decontrôle interne »).

Le périmètre de compétences attenduess’élargit. Par exemple, il serait dorénavantétonnant de faire venir un spécialiste de lastatistique qui ne pratique pas courammentdes langages et outils spécialisés dans ledomaine.

De même, pour que les auditeurs « comptafi »(ainsi que les généralistes) pratiquent enfin un« audit avec l’ordinateur », l’expérience montrequ’ils se saisissent plus facilement d’outilsadaptés plutôt qu’ils ne supportent lesconseils de leurs collègues spécialistes eninformatique… En revanche, des auditeurstechnophiles préféreront souvent développerune compétence théorique appuyée directe-ment par des langages et des bases dedonnées adaptés.

Ainsi, le RAI ou, mieux, le service dans sonensemble, doit réfléchir à l’environnementqu’il souhaite développer pour (idéalement)répondre aux conseils déjà anciens de JamesRoth.

Ces évolutions sont-elles à la hauteur des enjeux ?

Mais tous ces efforts nous préparent-ils suffi-samment ? Six évolutions majeures sont iden-tifiées dans le rapport « Analytics Trends 2016 »du cabinet Deloitte. La première est que leshumains et les machines « devront trouver de

nouvelles manièresde se compléter lesuns les autres (willfind new ways tocomplement oneanother) ». Si le rôledes humains estdéfini – concevoir etimplanter des tech-nologies cognitives,s’assurer de la perti-nence et la perfor-mance des machinesaux processus detravail, occuper desfonctions (mettantpar exemple en jeude l’empathie, de lacréativité, des soins)que les machines nepeuvent pas tenir –celui des machinesn’est pas abordé.Deloitte considèrequ’il faut s’attendre,

sur ce sujet, à un impact majeur sur la sociétéet le business d’ici à 5 ans.

Une autre évolution majeure attendue est lapénurie de compétences scientifiques ettechnologiques pour les entreprises.

Selon le Conseil National du Numérique, l’im-pact du numérique sur le travail va être unbouleversement sociétal : « il ne s’agit pasd’une crise, mais d’une métamorphose : nond’un passage entre deux états, mais d’uneinstallation dans l’inconnu. Quand la crisesuppose de résoudre des enjeux qui peuventêtre cruciaux, la métamorphose nécessite demodifier les conditions mêmes d’analyse deces enjeux ».« Si – et c’est une des hypothèses plausibles –

4 « Le poids de la pensée magique en informatique », article de Patrick Gilbert & Claudine Gillot, paru dans L’informatique Professionnelle, numéro 129 de décembre 1994, reste une référence.

Figure 2 : Compétences recherchées par les Responsables Audit Interne (RAI) avec le choix de 5 priorités (source Top 7 des compétences recherchées par les responsables de l’audit interne ‒

Constituer la combinaison de talents adéquate pour votre organisation, IIA CBOK, 2015)

COMPÉTENCES

Compétences personnelles

1- Capacité d’analyse, esprit critique

2- Communication

Compétences techniques

3- Comptabilité

4- Evaluation de l’efficacité de la gestion des risques

5- Système d’information (connaissances générales)

6- Connaissances spécifiques au secteur d’activité

7- Extraction et analyse de données



50 % des emplois sont menacés par l’automa-tisation dans un horizon proche, si nos savoirset nos compétences doivent évoluer encontinu tout au long de notre vie profession-nelle, il ne s’agit pas de modifier quelquesindicateurs, mais d’entreprendre une révolu-tion épistémologique ».

Se démarquant de l’enthousiasme des cabi-nets anglo-saxons, le Conseil d’analyse écono-mique soutient plutôt que l’automatisation vaconduire à une polarisation du marché dutravail. Tandis que les professions intermé-diaires, situées au milieu de la distribution dessalaires, tendraient à se raréfier, l’économienumérique créerait principalement deuxcatégories d’emplois : des emplois bien rémunérés, à dimension

managériale ou créative requérant unequalification élevée ;

des emplois peu qualifiés et non routinierslargement concentrés dans les services à lapersonne, qui sont peu rémunérés car leurproductivité reste faible.

« Cela équivaudrait donc, sous couvert d’unerevalorisation du secteur des services à lapersonne, à la reconstitution d’une popula-tion de domestiques, au service despersonnes les plus intégrées dans les proces-sus de production de la valeur ».

Dernier point à souligner, qui nous touche deprès, le contrôle peut devenir aliénant :« Le numérique est un grand virage desconditions de travail, poursuit le Conseild’analyse économique : le problème del’usure physique devient celui de l’usurepsychologique. Le numérique accentue eneffet le phénomène d’intensification dutravail, du fait de l’automatisation. La rapiditéet la facilité des échanges via le numériquedéveloppent une culture de l’urgence et del’immédiateté dans l’activité de travail. Lanécessité de connexion permanente qu’en-traînent les outils numériques fait égalementpeser un risque d’usure psychologique ».« Au-delà de la question de l’usure psycholo-gique se joue celle du renouvellement desoutils de contrôle. Le numérique a toutd’abord permis la démultiplication des outilsde reporting. D’autres dispositifs, qui n’étaientpas initialement pensés dans ce but ont puégalement favoriser le sentiment d’êtrecontrôlés chez les salariés : ainsi l’infobésitépeut être utilisée comme outil de contrôle,dans la mesure où des outils asynchronesdeviennent des outils synchrones (par exem-ple avec la configuration de notificationsimmédiates sur boîtes mails), qui peuventinstaller un climat d’injonction à répondresans délai à un ordre donné. Les métadon-

nées et les traces numériques peuvent égale-ment être utilisées pour reconstituer etsurveiller les comportements ».« De manière générale, des dispositifs decontrôle encadrent de manière de plus enplus importante les conditions de travail desemployés, concernant à la fois ce qu’il fautfaire, la manière dont cela doit être fait et lesraisons pour lesquelles il faut le faire. Ainsi ladifférenciation des effets du numérique surl’autonomie des travailleurs est à nuancer entermes de conditions de travail et d’exécutiondes tâches ».

Trois scénariospour l’audit interne

Je vous propose ici trois scénarios afin d’envi-sager à très gros traits l’avenir de la professionet les compétences indispensables àdéployer.

La disparition est envisageable

Dans un environnement systématiquementrobotisé et automatisé, si nous restons dansle paradigme de l’auditeur généraliste et« comptafi » au turnover fréquent, la dispari-tion de la profession est envisageable. Denouvelles offres bien plus pertinentes dansune société numérique pourront émerger.Des certificateurs externes (CAC ou touteautre profession à venir) exécuteront des logi-ciels de leur cru pour vérifier données,programmes, logs de contrôles, bonne actua-lisation des robots, etc. Ce contrôle de troi-sième niveau sera effectué à distance et encontinu.

L’audit comme interface humanoïde

En s’adaptant à l’évolution numérique commepréconisé par les grands cabinets et par l’IIA,sans effectuer d’innovations disruptives, lemétier se cantonne à un contrôle descontrôles par des outils qu’il sait utiliser maisdont il ne maîtrise pas la technicité. L’auditapparaît alors comme une interface humained’algorithmes opaques de troisième niveau,rappelant à l’ordre encadrement et exécutantsdans une sorte de « Toyotisme » poussé à l’ex-trême.

L’audit à valeur ajoutée pour lasociété comme pour l’entreprise

Ne craignant pas d’apparaître iconoclaste, laprofession se positionne en troisième ligne dedéfense en capacité d’auditer les algorithmeset programmes de processus largement auto-matisés et robotisés à tous les niveaux, degarantir l’usage humain des êtres humains(pour citer Norbert Wiener), de toujours sepositionner comme un acteur incontournableface aux risques, à la fraude, etc... Dans cecadre, il n’est pas absurde d’espérer que l’au-tonomie au travail5 des auditrices/teursdevienne la norme, que l’ensemble du servicesoit formé à la pensée critique et à la réflexionéthique6 ou que les spécialités informatiqueset mathématiques deviennent le nouveauparadigme de l’audit généraliste au détrimentde l’aspect comptafi.De par son rôle de modèle et d’exemple pourle reste de l’entreprise, l’audit interne a lapleine responsabilité de tracer aujourd’hui lescontours du monde de demain.

5 Voir par exemple « Vers des organisations du travail responsabilisantes », Terra Nova, 2016.6 Avec l’excellence de l’offre des MOOCs qui permettent d’obtenir maintenant des certificats,

il n’y a plus l’excuse des coûts de formation renchéris par les coûts de déplacement.

Figure 3 : Cinq compétences clés attendues (source Seeking Value Through Internal Audit, KPMG International, 2016)

Communication

67 %

Technologyskills

62 %

Critical thinking /judgment

52 %

Understandglobal markets

48 %

Understand /command of

data analytics

39 %


TRIBUNE LIBRE

Un défi majeur auquel la gestion desrisques des entreprises doit faireface, aujourd’hui est celui quiconsiste à protéger les données à

caractère personnel (par exemple fichiers declients ou du personnel). Son importancecroît proportionnellement aux exigences dunouveau Règlement Européen sur laProtection des Données.

Le Règlement Général sur laProtection des Données

Le RGPD (2016/679) a été adopté par leParlement Européen et le Conseil de l’Europele 27 avril 2016 et a été publié au JournalOfficiel le 4 mai 2016. Il sera applicable le 25mai 2018 dans tous les pays de l’UnionEuropéenne. Le règlement remplace la direc-

tive européenne de 1995 sur la protection desdonnées à caractère personnel (95/46/CE).Cette législation unique met fin à la fragmen-tation juridique actuelle entre les étatsmembres et permettra à l'Europe de s'adapteraux nouvelles réalités du numérique.La notion de « donnée à caractère personnel »couvre toute information se rapportant à unepersonne physique identifiée ou identifiable,dénommée « personne concernée ». Unepersonne concernée est une personnephysique qui peut être identifiée, directementou indirectement, notamment par référenceà un identifiant, tel qu'un nom, un numérod'identification, des données de localisation,un identifiant en ligne, ou à un ou plusieurséléments spécifiques propres à son identitéphysique, physiologique, génétique, psy-chique, économique, culturelle ou sociale.

© p

ict r

ider

- Fo

tolia

.com

Patrick Soenen, Associé audit informatique, Crowe Horwath | Callens,Pirenne, Theunissen & C°

Anticiper la conformité aunouveau Règlement Généralsur la Protection des DonnéesUn élément incontournable de la gestiondes risques de votre organisation !

TRIBUNE LIBRE


traitant sur le territoire de l'Union, que letraitement ait lieu ou non dans l'Union.

5. Le règlement s'applique aux responsablesdu traitement et aux sous-traitants quifournissent les moyens de traiter desdonnées à caractère personnel. La respon-sabilisation (accountability) implique quele responsable du traitement met enœuvre des mesures efficaces et appro-priées afin de se conformer au règlementeuropéen et d’apporter la preuve, surdemande de l’autorité de contrôle, que lesmesures appropriées ont été prises. Leséventuels sous-traitants doivent présenterdes garanties suffisantes quant à la miseen œuvre de mesures appropriées équiva-lentes.

6. Lorsqu'un type de traitement est suscep-tible d'engendrer un risque élevé pour lesdroits et libertés des personnes physiques,le responsable du traitement effectue,avant le traitement, une analyse de l'im-pact des opérations de traitement envisa-gées sur la protection des données àcaractère personnel. Le responsable dutraitement consulte l'autorité de contrôlepréalablement au traitement lorsque l’ana-lyse d'impact indique que le traitementprésenterait un risque élevé.

7. En matière de protection des données, leresponsable du traitement adopte desmesures techniques et organisationnellesappropriées qui sont destinées à mettre enœuvre les principes relatifs à la protection

Est interdit le traitement des données à carac-tère personnel qui révèle l'origine raciale ouethnique, les opinions politiques, les convic-tions religieuses ou philosophiques ou l'ap-partenance syndicale, ainsi que le traitementdes données génétiques, les données biomé-triques aux fins d'identifier une personnephysique de manière unique, des donnéesconcernant la santé ou des données concer-nant la vie sexuelle ou l'orientation sexuelled'une personne physique.

Les changements majeurs

Les principaux changements par rapport à ladirective européenne 95/46 peuvent sesynthétiser en 9 points d’attention incontour-nables, repris dans le schéma 1.

1. Le « consentement » de la personneconcernée est toute manifestation devolonté, libre, spécifique, éclairée etunivoque par laquelle celle-ci accepte parune déclaration ou par un acte positif clair,que des données à caractère personnel laconcernant fassent l'objet d'un traitement.Lorsque le traitement a plusieurs finalités,le consentement devrait être donné pourl'ensemble d'entre elles.

2. La personne concernée a le droit d'obtenirdu responsable du traitement la confirma-tion que des données à caractère person-nel la concernant sont ou ne sont pastraitées, la rectification des données àcaractère personnel qui sont inexactes, lalimitation du traitement, et l'effacement(droit à l’oubli). La personne concernée aégalement le droit de s'opposer à toutmoment à un traitement des données àcaractère personnel la concernant (droitd’opposition), et de recevoir les données àcaractère personnel la concernant dans unformat structuré, couramment utilisé etlisible (droit à la portabilité).

3. Le responsable du traitement tient unregistre interne des activités de traitementeffectuées sous sa responsabilité, etchaque sous-traitant tient également unregistre de toutes les catégories d'activitésde traitement effectuées pour le comptedu responsable du traitement.

4. Le règlement s'applique au traitement dedonnées à caractère personnel, automa-tisé en tout ou en partie, ainsi qu'au traite-ment non automatisé de données àcaractère personnel contenues ou appe-lées à figurer dans un fichier, dans le cadredes activités d'un établissement d'unresponsable du traitement ou d'un sous-

Schéma 1 : Les changements majeurs.

Schéma 2 : Protection renforcée des données à caractère personnel..

Protection renforcée des donnéesà caractère personnel

Consentement clair requis pourtraiter les données

Limitation du recoursau traitementautomatisé pourarrêter des décisions,p. ex. dans le cas duprofilage

Droit de rectificationet de suppression desdonnées collectéeslorsque la personneconcernée a le statutd’enfant, y comprisdroit à l’oubli

Information pluscomplète et claireconcernant letraitement

Droit de transférerles données d’unprestataire à unautre

Accès plus aisé aux données àcaractère personnel

Droit à une notification en cas deviolation des données

Garanties plus rigoureuses en cas detransfert de données à caractère personnelhors de l’UE

1.Consentement

3.Registre interne

2.Droits de la personne

concernée

4.Champ

d’application

6.Analysed’impact

5.Responsabilisation

7.Protection des données

8.Information & Transparence

9.Amendes administratives


TRIBUNE LIBRE

des données (protection dès la concep-tion), ainsi que les mesures pour garantirque, par défaut, seules les données àcaractère personnel qui sont nécessairesau regard de chaque finalité spécifique dutraitement sont traitées (protection pardéfaut). Le responsable du traitement et lesous-traitant mettent également en œuvreles mesures techniques et organisation-nelles appropriées afin de garantir unniveau de sécurité adapté au risque.

Le responsable du traitement et le sous-traitant désignent un Délégué à laProtection des Données notammentlorsque le traitement est effectué par uneautorité publique ou un organisme public,ou lorsque les activités de base du respon-sable du traitement ou du sous-traitantconsistent en des opérations de traite-ment qui, du fait de leur nature, de leurportée et/ou de leurs finalités, exigent unsuivi régulier et systématique à grandeéchelle des personnes concernées.

8. Lorsque des données à caractère person-nel relatives à une personne concernéesont collectées, le responsable du traite-ment lui fournit lors de la collecte desinformations détaillées concernantnotamment l'identité et les coordonnéesdu responsable du traitement ; le caséchéant, les coordonnées du Délégué à laProtection des Données ; les finalités dutraitement auquel sont destinées lesdonnées à caractère personnel ainsi que labase juridique du traitement.

Dès que le responsable du traitementapprend qu’une violation de données àcaractère personnel s’est produite, il la noti-

fie à l'autorité de contrôle compétente sipossible, 72 heures au plus tard après enavoir pris connaissance. Lorsqu'une viola-tion de données à caractère personnel estsusceptible d'engendrer un risque élevépour les droits et libertés d'une personnephysique, le responsable du traitementdevra communiquer la fuite à la personneconcernée dans les meilleurs délais.

9. La responsabilisation passe par un renfor-cement des pouvoirs de sanction de l’au-torité de contrôle. Les violations font l'objetd'amendes administratives pouvant s'éle-

ver jusqu'à 10 millions € ou jusqu'à 2 % duchiffre d'affaires annuel mondial total del'exercice précédent pour les infractions denon-conformité et jusqu'à 20 millions € oujusqu'à 4 % de ce chiffre d'affaires pour lesinfractions liées aux violations de données.Mais l’interdiction de traitement desdonnées personnelles pourrait constituerune sanction bien plus handicapante.

Les principales responsabilités

Transformer le risque de non-conformité aunouveau Règlement Général sur la Protectiondes Données en opportunité est pour leconseil d’administration et le comité exécutifun axe de gestion clé s’ils peuvent démontreraux parties prenantes leur engagement vis-à-vis des exigences. Pour ce faire, désigner dès

à présent les rôles et responsabilités est unedes premières étapes de l’implémentation.

Le Délégué à la Protection des Données :un acteur clé de la deuxième ligne demaîtrise

Le Délégué se substitue au CorrespondantInformatique et Libertés (CIL) et se voit dotéde compétences élargies. Le Délégué à laProtection des Données devra agir dans lerespect des principes d’absence de conflitd’intérêts, de confidentialité, d’indépendanceet de secret professionnel, pour assister lesorganismes et faire appliquer le traitementdes données conformément au règlementeuropéen. Il sera chargé de : Informer et conseiller le responsable de trai-

tement ou le sous-traitant sur les obliga-tions qui lui incombent en matière deprotection des données ;

Contrôler le respect de la législation appli-cable en matière de protection desdonnées et des règles internes du respon-sable de traitement ou du sous-traitant enmatière de protection des données à carac-tère personnel, y compris en ce quiconcerne la répartition des responsabilités,la sensibilisation et la formation du person-nel participant aux opérations de traite-ment, et les audits s’y rapportant ;

Dispenser des conseils sur demande, en cequi concerne l’analyse d’impact relative à laprotection des données et vérifier l’exécu-tion de celle-ci ;

Coopérer avec l’autorité de contrôle ; Faire office de point de contact pour l’au-

torité de contrôle sur les questions relativesau traitement et mener des consultations,le cas échéant.

La Direction des Systèmes d’Information :un rouage de la mise en œuvre

La mise en œuvre de la réglementationimplique une révision complète des proces-sus des traitement de données à caractèrepersonnel. Tout développement de logicieldevra prévoir la protection des données dèsla conception et la protection par défaut. Cesobligations entraînent pour la DSI la néces-saire conformité « du la conception du logicieljusqu’à sa mise en œuvre opérationnelle ».

Schéma 3 : Perspectives pour les entreprises..

Davantage de perspectivespour les entreprises

Conditions deconcurrence égales

entre entreprisesétablies dans l’UE

et hors de l’UEproposant des bienset des services à despersonnes dans l’UE

Un seul ensemblede règles pour

toute l’UE

Dès règlespermettant aux

entreprises,notamment aux PME,de tirer le plus grand

parti possible dumarché unique

numérique

Approche fondéesur les risques,obligations duresponsable du

traitement mises enconcordance avec le niveau de risque

du traitement

Le Délégué à la Protection des Données -un acteur clé de la deuxième ligne demaîtrise

«»

TRIBUNE LIBRE


Le Responsable de la Sécurité desSystèmes d’Information : unincontournable du principe desécurisation

Le responsable du traitement et le sous-trai-tant mettent en œuvre les mesures tech-niques et organisationnelles appropriées afinde garantir un niveau de sécurité adapté aurisque, y compris entre autres :

Le Service Juridique : essentiel dans leconseil et l’accompagnement

Le service juridique joue un rôle essentieldans la gestion des données à caractèrepersonnel. Il conseille, accompagne et met engarde les opérationnels : rédaction des

mentions légales, négociation de contrat,guide des bonnes pratiques en matière deprotection des données, sensibilisation à laprotection des données...

La mise à conformité à anticiper !

Les organisations doivent déployer dès main-tenant les bases d’une stratégie efficace deprotection des données pour être en confor-

mité lorsque le règlement entrera définitive-ment en vigueur le 25 mai 2018.

En effet, le règlement prévoit l’exercice duprincipe de protection des données person-nelles au travers de la protection renforcée(droits des personnes), la protection analysée

(analyse d’impact), la protection en amont(avec les principes de protection par concep-tion et par défaut), la protection en chaîne(responsabilité du sous-traitant et possibilitéde coresponsabilité) et la protection docu-mentée (documentation obligatoire en tantque preuve de la conformité légale). La miseen conformité peut donc représenter unecharge de travail importante très dépendantedu secteur d’activité.

Pourquoi démarrer dès aujourd’hui ? Pouravoir le temps de cartographier vos donnéesà caractère personnel, de mettre en place desprocessus et des plateformes informatiques« sécurisés », de désigner un délégué à laprotection des données, d’analyser les risquesd’impact, de former vos collaborateurs à lacollecte des données, d’obtenir le consente-ment des personnes concernées, de mettre àniveau les contrats avec vos sous-traitants, deréaliser des audits pour vérifier votre confor-mité au regard des nouvelles directives, …Tout un programme !

Retrouvez le texte intégral du RèglementEuropéen sur la Protection des Donnéessur le site de la CNIL :https://www.cnil.fr/reglement-europeen-protection-donnees

Sécurité du traitement

Pseudonymisation et chi!rement des

données

Moyens pourrétablir en cas d’incident la

disponibilité et l’accès

Con"dentialité, intégrité,

disponibilité et résilience constante

Tester, analyseret évaluer

régulièrement l’e#cacité des

mesures de sécurité

Schéma 4 : Mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque.

Philippe Mocquard,Délégué général de l’IFACI


ACTUALITÉ

Ce sont plus de 500 professionnels de l'audit interne, du contrôle interne et de lamaîtrise des risques qui se sont rassemblés les 14 et 15 novembre derniers à la Maisonde la Chimie, à Paris, dans le cadre de la conférence de l’UFAI - IFACI « Vison Audit ». Cetévénement francophone, organisé tous les deux ans par un des instituts de l’Union et,

cette année, organisé conjointement avec la conférence annuelle de l’IFACI, a joui d'uneparticipation exceptionnelle d’auditeurs et de contrôleurs en provenance de France et des paysd'Afrique subsaharienne.

Prospectif, le programme, animé par plus de 50 intervenants africains, européens et canadien, acouvert les axes principaux de la transformation de nos métiers et en particulier :

les nouvelles technologies, tant en termes de conséquences sur l'activité des organisationsqu'en termes d'impact sur nos professions ;

les nouvelles responsabilités des conseils d'administration et des comités d'audit, ainsi que lesréponses que doivent leur apporter les auditeurs internes ;

les nouvelles compétences dont doivent se doter les acteurs de la maîtrise des risques avec,en premier lieu, la capacité à communiquer efficacement avec l'ensemble des partiesprenantes.

Conférence UFAI-IFACI 2016Dessiner ensemble l'avenirde la profession

Rassemblant annéeaprès année un nombre toujours plus important

de participants, alternantpratiques et thèmes

plus généraux, la conférence de l'IFACI

est devenue le rendez-vous incontournabledes professionnels de l'audit

et du contrôle interne.

L’IFACI vous donne rendez-vous les

16 et 17 novembre 2017pour sa prochaine

conférence annuelle.

500+PARTICIPANTS

10PLÉNIÈRES

16ATELIERS

14PARTENAIRES

RENDEZ-VOUS 50+

INTERVENANTS

- 20%

pou

r un

part

icip

ant i

nscr

itsi

mul

tané

men

t à 4

form

atio

ns

IFACI Formation - Tél. : 01 40 08 48 08 - Mel : [email protected] - Retrouvez également le programme complet sur le site internet www.ifaci.com

Calendrier 2017SESSIONS Durée Tarifs

adhérentsTarifs nonadhérents janv. févr. mars avril mai juin juillet sept. oct. nov. déc.

SE FORMER À LA MAÎTRISE DES RISQUES ET AU CONTRÔLE INTERNES’initier à la maîtrise des risques et au contrôle interne 2 j 950 € 1 125 € 16-17 2-3 6-7 5-6 4-5 7-8 3-4 6-7 5-6 7-8 4-5

Réaliser une cartographie des risques 3 j 1 675 € 1 875 € 18-20 6-8 8-10 11-13 10-12 12-14 5-7 12-14 11-13 13-15 6-8

Elaborer le dispositif de contrôle interne 2 j 1 200 € 1 350 € 23-24 13-14 14-15 18-19 15-16 15-16 10-11 18-19 16-17 16-17 11-12

Piloter un dispositif de maîtrise des risques et de contrôle interne 2 j 1 200 € 1 350 € 25-26 15-16 16-17 20-21 22-23 20-21 21-22 18-19 20-21 13-14

ATELIER - Mise en œuvre du COSO 1 j 700 € 785 € 17 24 4 29 24

Le contrôle interne des systèmes d’information 2 j 1 200 € 1 350 € 27-28 22-23 2-3

Maîtrise des risques, contrôle interne et communication 2 j 1 200 € 1 350 € 20-21 29-30 12-13 23-24 19-20

Utiliser les outils du contrôle interne 2 j 1 200 € 1 350 € 25-26 26-27 25-26 22-23Organiser les interfaces Gestion des risques –Contrôle interne – Audit 1 j 700 € 785 € 9 18 10

SE FORMER À L’AUDIT INTERNELes compétences fondamentalesS’initier à l’audit interne 2 j 950 € 1 125 € 9-10 2-3 2-3 3-4 3-4 1-2 3-4 4-5 2-3 8-9 30/11-1/12

Conduire une mission d’audit interne : la méthodologie 3 j 1 710 € 1 850 € 11-13 7-9 6-8 5-7 9-11 6-8 5-7 6-8 4-6 13-15 4-6

Maîtriser les outils et les techniques de l’audit 3 j 1 610 € 1 785 € 16-18 13-15 13-15 11-13 15-17 12-14 10-12 11-13 9-11 20-22 11-13

Maîtriser les situations de communication orale de l’auditeur 2 j 1 120 € 1 230 € 19-20 16-17 16-17 18-19 18-19 15-16 10-11 14-15 12-13 23-24 7-8

Réussir les écrits de la mission d’audit 2 j 1 120 € 1 230 € 23-24 20-21 20-21 20-21 22-23 22-23 12-13 18-19 16-17 16-17 14-15

Exploiter les états financiers pour préparer une mission d’audit 3 j 1 610 € 1 785 € 25-27 27-29 29-31 20-22 28-30

Désacraliser les systèmes d’information 3 j 1 610 € 1 785 € 22-24 19-21 25-27 18-20

Détecter et prévenir les fraudes 2 j 1 120 € 1 230 € 23-24 25-26 26-27 28-29 18-19 21-22

Adopter un comportement déontologique lors de la mission 1 j 700 € 785 € 24 6

Réussir les écrits de la mission en anglais 2 j 1 120 € 1 230 € 27-28 23-24

Oral Skills in Internal Audits 2 j 1 120 € 1 230 € 24-25 19-20

Les compétences avancéesUtiliser la pensée critique pour innover 1 j 700 € 785 € 26 20

Utiliser le Balanced Scorecard du service d’audit interne 1 j 700 € 785 € 15 11

Utiliser les outils d’analyse causale pour l’auditeur 1 j 700 € 785 € 10 30

ATELIER - Construire le référentiel de contrôle interne de la mission 1 j 700 € 785 € 28 12 7

Intégrer le reporting intégré à l’audit interne 2 j 1 325 € 1 480 € 23-24 16-17

Connaître et utiliser ISO 9001-2015 1 j 700 € 785 € 3 27

Connaître et utiliser ISO 31000 1 j 700 € 785 € 6 8

Constituer un dossier de fraude au pénal, le rôle de l’auditeur 2 j 1 325 € 1 480 € 16-17 24-25

Organisation et managementPiloter un service d’audit interne 2 j 1 325 € 1 480 € 22-23 1-2 9-10

Manager une équipe d’auditeurs au cours d’une mission 1 j 700 € 785 € 24 12 17

Le suivi des recommandations 1 j 700 € 785 € 18 13 13 13

Préparer l’évaluation externe du service d’audit interne 2 j 1 325 € 1 480 € 16-17 21-22

L’audit interne, acteur de la gouvernance 1 j 700 € 785 € 19 12

Processus et fonctions

Audit du Plan de Continuité d’Activité - PCA 2 j 1 325 € 1 480 € 23-24 28-29 5-6

Audit de la fonction Ressources Humaines 2 j 1 325 € 1 480 € 4-5 22-23

Audit de la fonction Achats 2 j 1 325 € 1 480 € 2-3 4-5

Audit des contrats 1 j 700 € 785 € 10 25

Audit de la fonction Contrôle de Gestion 2 j 1 325 € 1 480 € 6-7 25-26

Audit des projets et investissements 2 j 1 325 € 1 480 € 9-10 20-21

Evaluer le reporting financier 2 j 1 325 € 1 480 € 24-25 26-27

Audit du processus de gestion des risques 1 j 700 € 785 € 9 20

Audit de la conformité de la paie 2 j 1 325 € 1 480 € 20-21 28-29

Audit de l’optimisation et de sécurisation du BFR 2 j 1 325 € 1 480 € 7-8 4-5

Audit de la trésorerie 2 j 1 325 € 1 480 € 20-21 9-10

Audit de la prévention des risques psycho-sociaux 1 j 700 € 785 € 27 10

Audit d’acquisition et Due diligence 2 j 1 325 € 1 480 € 30-31 14-15

Systèmes d’informationAudit de la sécurité des systèmes d’information 2 j 1 325 € 1 480 € 29-30 28-29Audit des processus informatisés 2 j 1 325 € 1 480 € 26-27 21-22

Audit de la gouvernance du système d’information 1 j 700 € 785 € 1 4Audit de la cyber sécurité 1 j 700 € 785 € 19 21

Audit de la qualité des données 1 j 700 € 785 € 24 3 27Gestion et audit des libertés individuelles 1 j 700 € 785 € 7 15

Audit de la direction des systèmes d’information 2 j 1 325 € 1 480 € 22-23 26-27Intégrer les exigences de sécurité dans les projets 1 j 700 € 785 € 24 24SE FORMER DANS LE SECTEUR PUBLIC

Audit et contrôle des marchés publics 2 j 1 325 € 1 480 € 14-15 12-13 18-19

La gestion des risques dans le secteur public 2 j 1 325 € 1 480 € 20-21 4-5 15-16

Audit et contrôle interne des aides publiques 2 j 1 325 € 1 480 € 25-26 27-28 30/11-1/12

SE FORMER DANS LE SECTEUR BANCAIRE ET FINANCIER

S’approprier l’arrêté du 3/11/2014 relatif au contrôle interne bancaire 1 j 700 € 785 € 31 11

Maîtriser la comptabilité et le contrôle de gestion bancaires pour auditer 2 j 1 325 € 1 480 € 27-28 16-17

Auditer un dispositif LCB-FT 2 j 1 325 € 1 480 € 23-24 14-15 8-9

Auditer la conformité en banque 2 j 1 325 € 1 480 € 30-31 13-14 26-27

Auditer le reporting réglementaire Bâle III 2 j 1 325 € 1 480 € 21-22 14-15

ATELIER - Maîtriser les risques des prestations externalisées 1 j 700 € 785 € 2 6

SE FORMER DANS LE SECTEUR DES ASSURANCES

Adapter le contrôle interne à Solvabilité II 2 j 1 325 € 1 480 € 22-23 6-7 13-14

Auditer les dé́légations de gestion en assurances 2 j 1 325 € 1 480 € 28-29 10-11 17-18

Audit des prestations liées aux contrats d’assurance 1 j 700 € 785 € 12 1

SE FORMER DANS LES SECTEURS INDUSTRIE ET COMMERCE

Audit de la gestion des stocks et de la logistique 2 j 1 325 € 1 480 € 27-28 28-29

Audit du processus de ventes 2 j 1 325 € 1 480 € 13-14 19-20

ACQUÉRIR UNE CERTIFICATION

Préparation au CIA - Partie 1 2 j 970 € 1 150 € 6-7 7-8 12-13 6-7

Préparation au CIA - Partie 2 2 j 970 € 1 150 € 13-14 13-14 19-20 11-12

Préparation au CIA - Partie 3-1 2 j 970 € 1 150 € 20-21 20-21 25-26 18-19

Préparation au CIA - Partie 3-2 2 j 970 € 1 150 € 22-23 22-23 27-28 20-21

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU

NOUVEAU