1

CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATION

DES PERFORMANCES & SECURISATION DES

OPERATIONS Vendredi 6 juillet 2012, Mazars, Paris - Newsletter n°10 - Janvier 2013

SOMMAIRE I. Compte-rendu du 11 décembre 2012 II. Revue de presse III. Agenda Mazars, c’est aussi le partenaire des entreprises de taille

intermédiaire ! Avec la mise en place des Matinales Entreprises Mazars , à raison de 6 à 7 sessions de petit-déjeuner débat par an, Mazars vous propose un espace de rencontres et d'échanges dédié. Grâce à ces rendez-vous, nous souhaitons : o vous faire bénéficier de notre connaissance des meilleures

pratiques de grands groupes ; o vous apporter des réponses rapides et sur-mesure grâce à notre

équipe présente à chaque rendez-vous et prête à répondre à chacune de vos interrogations, qu'elles concernent vos projets de transformation, la maîtrise de vos risques, vos systèmes d’information, l'externalisation d'un département, votre développement à l'international, la transmission de votre activité, etc... ou la certification de vos comptes ;

o vous permettre d'accéder à l'ensemble de nos métiers grâce à notre capacité à mobiliser toutes nos compétences en France et à l'international ;

o vous donner la possibilité de disposer de benchmark de vos pratiques avec des sociétés de même taille.

Une Newsletter vient compléter ces rendez-vous vous permettant ainsi de vous tenir informé des thèmes abordés, de vous présenter quelques points d'actualité en lien avec le sujet présenté et enfin de vous donner la possibilité de réserver dans vos agendas les prochaines dates des Matinales Entreprises Mazars .

INTERVENANTS

• Olivier Lenel, Associé Consulting, Mazars

• Philippe Gaudy, Senior manager Consulting, Mazars

• Christine Cantournet, Directrice juridique et des risques, Administrateur de Société Certifié

Réservez dès maintenant la date de la prochaine Matinale Entreprises Mazars :

Le Jeudi 21 mars 2013 sur le thème : L’Externalisation de la fonction comptable : un outil de création de valeur ?

2

I.COMPTE-RENDU DU 11 DECEMBRE 2012

Les éléments déclencheurs d’une cartographie des risques Loin des enjeux de conformité, "cartographier des risques" est surtout aujourd'hui pour les dirigeants d'ETI un véritable outil de management. Au-delà de la gestion "intuitive" des risques, réaliser une cartographie des risques, avec la juste mesure et la progressivité qui s'imposent, c’est : • une démarche participative , croisant stratégie et

opérations, pour le progrès global de l'entreprise, entre collaborateurs d'un même périmètre (niveau managérial, métier, fonction, géographie, ...) ;

• une clarification des vulnérabilités éventuelles

pouvant affecter la réalisation des objectifs stratégiques , et la performance de l'entreprise ;

• un partage de la réalité des pratiques de terrain permettant souvent d'identifier certains écarts et de nuancer l'illusion du contrôle absolu ;

• l'anticipation de certaines menaces , pour se donner les moyens d'en faire des opportunités ; et

• la possibilité de s'interroger sur la correcte allocation des moyens de maîtrise de risques aux véritables enjeux, mais également sur leur optimisation .

Internationalisation des ETI, innovation, digitalisation, mais aussi accélération et judiciarisation des affaires exposent forcément nos entreprises à des sujets nouveaux. Le contexte de crise vient également renforcer l'importance de se donner le temps de cette réflexion sur les risques et notre expérience nous montre que les entreprises l'ayant fait en ont tiré des enseignements réels et se sont données les moyens de progresser. Si les méthodologies à mettre en oeuvre sont aujourd'hui plutôt décrites, la qualité de leur mise en oeuvre conditionne le résultat et l'intérêt pour l'entreprise. Chez Mazars, nous sommes convaincus que la capacité de la démarche à être internalisée correspond à la cible pour assurer la pérennisation du processus de gestion des risques. Aussi, nous

avons fait le choix d'une démarche simple mais animée par des profils expérimentés et pertinents au plan sectoriel. L'enjeu pour les ETI est de dépasser très rapidement l'exercice cartographique et de trouver le bon dispositif de gestion des risques (organisation, responsabilisation, processus, ...). C'est un point sur lequel notre témoin, Madame Christine Cantournet a insisté. Cet objectif doit impérativement être appréhendé dès le lancement de la cartographie, pour en faire un levier durable de performance. Risques liés aux systèmes d’information : Pourquoi la confiance ne suffit plus ? Vers un modèle partenarial entre la DSI et les métiers Le système d’information supporte aujourd’hui la plus grande partie des processus métiers et back-office d’une entreprise qui évolue dans un environnement : - qui tend vers une évolution accélérée des

technologies de l’information ; et - qui expose ainsi l’entreprise et ses actifs à une

surface de risque de plus en plus large. Or, la nature de ces risques est vaste (fraude, confidentialité, image, non-conformité, …) mais surtout, l’origine de ces risques peut se cacher dans chaque strate dudit système d’information : processus informatisé manquant de contrôle, données incohérentes, programmes défaillants, bases de données non sécurisées, gouvernance inadéquate, … Face au polymorphisme de ces risques informatiques et face aux dommages colatéraux causés aux métiers en cas d’incident informatique, nous assistons à une prise de conscience plus ou moins avancée de l’intérêt pour les métiers à considérer l’organisation en charge des systèmes d’information comme un véritable partenaire . Chez Mazars, nous recommandons la conduite d’une véritable analyse des risques informatiques comme point de départ de toute stratégie ou sa déclinaison opérationnelle, plaçant la criticité des processus métier au cœur de la démarche et induisant une réflexion commune entre l’IT et ses « clients » pour atteindre les objectifs de couverture des risques. Car s’il n’est pas reprochable au dirigeant d’une ETI de ne pas pallier tous les risques liés à son système d’information, il l’est de ne pas les connaître !

3

Sur cette base, les ETI ne sont pas égales et nous observons un niveau de maturité très dispersé : - celles qui n’adressent que les sujets fonctionnels quotidiens ; - celles qui ont su réfléchir aux problématiques autres que fonctionnelles ; - celles qui ont su mettre en place l’organisation pour y répondre de manière pérenne (organigramme, procédures, …) ; et - celles inscrites dans une démarche d’amélioration continue (auto-évaluation, …). Cette maturité est clairement corrélée avec la place accordée à l’organisation en charge du système d’information au sein de l’entreprise , au sein de chaque étape du cycle de vie du système d’information. Ces grands principes peuvent ainsi servir d’indicateurs sur le positionnement des ETI : � la conception des services informatiques requiert

une stratégie ; � les principes de gouvernance interne sont à

étendre aux partenaires ; � la gestion des projets informatiques mérite une

méthodologie définie et suivie ; � le niveau de sécurité intrinsèque des SI est

perfectible et doit donc être testé ; � la gestion du sinistre informatique ne s’improvise

pas et doit être préparée et outillée ; � la gestion des accès, liée au principe de

séparation des fonctions , constitue le « chat noir » des systèmes d’information et doit faire l’objet d’une réflexion interne et approfondie ;

� la nécessité de satisfaire une conformité réglementaire doit être qualifée comme un besoin et le SI assez agile pour l’intégrer.

Enfin, le principe d’amélioration continue ( plan, do, check, act) doit s’imposer pour atteindre les objectifs business supportés par le système d’information et son organisation.

Risques juridiques : une menace de plus en plus présente et protéiforme. Comment optimiser leur gestion par un meilleur couplage entre opérationnels et juristes ? Dans la multitude de risques auxquels une entreprise est exposée, un type de risque ressort comme étant plus complexe à appréhender et à gérer : le risque juridique . Maîtriser les risques juridiques s’avère être un enjeu majeur tant ces derniers peuvent gravement nuire à l’entreprise, à ses dirigeants, à ses actionnaires, directement ou indirectement, en dégradant ses valeurs, ses actifs et son image. Quelle que soit leur taille, les entreprises évolue nt dans un contexte marqué par une incertitude juridique croissante : judiciarisation croissante des relations d’affaires, incertitude face aux évolutions réglementaires (en France et à l’international), inflation réglementaire, complexité sans cesse renforcée du Droit, tendance à la pénalisation des fautes commises par les dirigeants d’entreprise… Ces évolutions affectent les ETI au même titre que de grands groupes alors qu’elles n’ont pas toujours les mêmes moyens pour y faire face . Doivent-elles pour autant se croire désarmées et impuissantes face aux risques juridiques ? Selon notre expérience, le « risque juridique » (parfois libellé risque de non-conformité ou encore risque réglementaire), figure souvent en bonne place dans les cartographies générales de risques. S’il est évoqué, il est toutefois rarement précisément défini et délimité. La complexité du traitement des risques juridiques réside en premier lieu dans la difficulté de décliner les problématiques juridiques en risques opérationnels sur lesquels il est raisonnablement possible d’agir .

4

Nos convictions en la matière sont les suivantes : a) Le juriste d’entreprise, s'il fixe le cadre à respecter,

conseille les opérations et se mobilise pour sauvegarder les intérêts de l'entreprise et de ses salariés lorsque le risque est avéré ou presque. Or, il ne peut pas être présent sur chaque acte de gestion et chaque décision, c'est à dire lors de la prise de risque. Il doit donc pouvoir s'appuyer sur des dispositifs qui permettent un dialogue régulier et proactif avec les opérations.

b) Selon notre expérience, les opérationnels gagneraient , en parallèle, à se sentir plus concernés par les enjeux juridiques majeurs de leurs actes ou prises de position . Il est important de leur donner à eux aussi, qui ne sont pour la plupart pas des juristes ou qui ne connaissent pas les textes dans le détail, les moyens de mieux cerner les grands risques juridiques et de s'autoévaluer sur leur maîtrise .

c) Nos échanges permanents avec les entreprises nous montrent aussi toute l'importance de la culture du risque, et en particulier du risque juridique au sein des organisations . Le risque juridique est par essence très diffus, et peut affecter n'importe quel processus de l'entreprise. Il impose, outre les dispositifs classiques, un réel développement de cette culture.

d) Certains outils innovants peuvent venir supporter et aider les juristes, dans leur dialogue avec les dirigeants et les opérationnels, qui sont les premiers concernés par le sujet du fait de leurs actes de gestion. La cartographie des risques juridiques vise très précisément cet objectif de rapprocher les juristes et les opérations sur des enjeux concrets qui exposent les entreprises et constituent autant de points d'attention à anticiper, pour mieux maîtriser les risques juridiques.

II.REVUE DE PRESSE

Risques liés aux systèmes d’information : Pourquoi la confiance ne suffit plus ? Vers un modèle partenarial entre la DSI et les métiers Le rapport Bocquel, cité en séance et adopté par la commission des affaires étrangères, de la défense et des forces armées du Sénat, dresse un état des lieux de la cyberdéfense, s’inscrivant dans la ligne des rapports Labordes de 2006 et Romani en 2008. http://www.senat.fr/rap/r11-681/r11-6811.pdf

En illustration du rapport Bocquel, la récente attaque du groupe Anonymous qui a dérobé et diffusé des informations personnelles et professionnelles des banquiers américains. http://www.linformaticien.com/actualites/id/27963/les-anonymous-visent-les-banquiers-us.aspx

La panne informatique de la banque RBS, citée en séance, avait pour origine l’implémentation d’une évolution du logiciel métier. http://www.reseaux-telecoms.net/actualites/lire-la-panne-informatique-de-la-banque-rbs-coutera-175-millions-de-livres-25073.html

Tout récemment, la fraude de 14 millions d’Euros chez PBM illustre l’attaque par ingénierie sociale. http://www.bfmtv.com/societe/14-millions-deuros-soutires-telephone-a-une-societe-dimport-436434.html Enfin, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) vient de publier un guide de bonnes pratiques de sécurité à l’attention des entreprises. http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/l-anssi-publie-la-version-finalisee-du-guide-d-hygiene-informatique.html

5

III.AGENDA : RESERVEZ D’ORES ET DEJA LA PROCHAINE DATE DES MATINALES ENTREPRISES MAZARS !

Programme 2013

DATE THEME

Jeudi 21 mars 2013 L’Externalisation de la fonction comptable : un outil de création de valeur ?

Mardi 23 avril 2013 Financement des ETI

Jeudi 6 juin 2013 Comment optimiser votre BFR ?

Mardi 2 juillet 2013 Maîtrise des risques informatiques

Informations pratiques Lieu Tour Mazars 61, rue Henri Regnault 92075 La Défense Horaires 8h15 : café d’accueil 8h45 – 10h : conférence - débat 10h – 10h30 : questions / réponses Contact email : matinales@mazars.fr

Retrouvez toute l’actualité des E.T.I. et restez en contact avec nos experts en rejoignant le Club des ETI :

Club des ETI

CONTACTS

Mazars

Manuela Baudoin-Revert Associée Audit +33 (0) 1 49 97 65 28 manuela.baudoin-revert@mazars.fr

Eric Schwaller Associé Audit +33 (0) 1 49 97 67 21 eric.schwaller@mazars.fr

Mazars 61, rue Henri Regnault 92075 Paris - La Défense Cedex France Phone: +33 (0) 1 49 97 60 00 Fax: +33 (0) 1 49 97 00 01

Olivier Lenel Associé Consulting +33 (0) 1 49 97 63 83 olivier.lenel@mazars.fr

Plus de détails disponibles sur

www.mazars.fr