Accueil / Non classé / Les nouvelles technologies au coeur des enjeux de confiance 

Les nouvelles technologies au coeur des enjeux de confiance 

Les nouvelles technologies au coeur des enjeux de confiance

Big Data, Intelligence artificielle, cybersécurité... Les nouvelles technologies sont aujourd’hui au centre de nos métiers. Elles offrent de formidables opportunités mais sont aussi génératrices de risques importants. Pour David Métivier, Directeur de l’audit interne IT et opérations du groupe Sodexo, il faut se tenir informé des évolutions et des expériences – bonnes ou mauvaises – afin de maintenir la relation de confiance avec l’ensemble des parties prenantes de l’entreprise.
Les auditeurs et contrôleurs internes sont-ils bien au fait aujourd’hui des nouvelles technologies ? « Je dirais : “ bien, mais peut mieux faire ! ” », répond David Métivier, Directeur de l’audit interne IT et opérations du groupe Sodexo, qui animait récemment un atelier sur ce sujet lors de la conférence de l’IFACI, en novembre dernier. « Tout dépend des technologies auxquelles on fait référence ». Le recours au Cloud est par exemple pour lui une « tendance de fond, qui intéresse de plus en plus les auditeurs internes chargés de l’IT », à condition de développer une véritable relation de confiance avec les hébergeurs. En ce qui concerne la cybersécurité, qui fait aujourd’hui l’objet de toutes les attentions, si les auditeurs internes étaient selon David Métivier plu-tôt en avance sur cette question, les entreprises dans leur ensemble ont fait preuve d’une prise de conscience tardive. « Il s’agit typiquement d’un sujet pour lequel on pense que cela n’arrive qu’aux autres », explique-t-il, « mais aujourd’hui la donne a changé. Avant, nous avions affaire à des hackers qui étaient en compétition et ne voulaient qu’une chose : être les premiers à pénétrer le système d’un grand groupe ou d’une administration. Désormais, le problème ce sont les ransomwares, ou rançongiciel (voir encadré), avec des malfaiteurs organisés qui veulent de l’argent et là, c’est un vrai risque qui atteint toutes les sociétés ». Il faut donc parvenir à accepter un « principe très simple et malheureux : on se fera forcément attaquer. Il est donc d’autant plus important d’avoir une forte capacité de réaction ». L’intelligence artificielle est bien entendu également un sujet d’attention : « Sur ce plan, on peut en- core dire que l’on débute », poursuit David Métivier, « on en parle, on voit des applications concrètes (pour la partie comptable notamment), mais la robotique et l’automatisation suscitent des questions : un robot fait bien ce qu’il sait faire, mais il démultiplie aussi ce qu’il fait mal. Il faut pouvoir s’assurer de la bonne conception des algorithmes qui les régissent et il n’est pas certain que nous, auditeurs, en soyons toujours capables ». C’est à peu près le même constat avec les objets connectés (IoT, ou « Internet of things »), pour lesquels il y a une vrai appétence et déjà des déploiements. « Mais il faut savoir comment les contrôler et comment être certains d’être en conformité avec le RGPD... »
Un des points que tient à souligner David Métivier est également le changement de niveau de communication engendré par les nouvelles technologies pour un certain nombre d’entreprises : « Pour celles qui, comme Sodexo, avaient l’habitude de s’adresser à leurs clients, qui eux-mêmes communiquaient de façon privilégiée avec le client final, le consommateur, nous sommes aujourd’hui amenés à avoir directement une relation forte avec ce dernier, notamment via l’usage du smartphone et des réseaux sociaux. C’est à la fois une opportunité, mais aussi un risque : nous nous retrouvons à gérer des quantités très importantes d’informations liées à des personnes physiques et plus seulement morales. Nous devons veiller à respecter leurs droits et préserver leurs données, mais nous sommes aussi confrontés à un risque réputationnel, un consommateur final pouvant communiquer de façon négative sur notre marque si par exemple il s’estime mécontent d’une application de la marque... »
Face à tous ces défis technologiques, le réflexe est de plus en plus souvent d’externaliser certaines applications, ce qui n’est pas non plus sans risque. « Au regard du RGPD et de Sapin 2, les entreprises sont responsables de leurs prestataires, » confirme David Métivier, « la question m’a été posée pendant la conférence de l’IFACI : comment auditer les prestataires ? Les contrats et les certifications (Iso 27001, par exemple) ne suffisent pas, même si c‘est important. Nos prestataires peuvent également être hackés. Et par ailleurs, externaliser entraîne également un risque de perte de compétences en interne ». Il est donc d’autant plus important pour les auditeurs et contrôleurs internes de se former pour se préparer à tous les changements que ces nouvelles technologies vont continuer à opérer. « Des formations qui ne soient pas forcément destinées aux auditeurs, mais plutôt axées IT par exemple, comme la gestion en mode cloud, » précise-t-il, « même si le plus important à mon sens reste la curiosité qu’il faut entretenir vis-à-vis de ces sujets : lecture d’articles sur le risque cyber, les expériences d’entreprises hackées, les GAFA, les réseaux sociaux... Et il faut également être attentif à assurer une proximité entre la 1ère et la 2de ligne de défense de façon à ce que chacun sache en permanence ce qui est mis en place d’un point de vue technologique au sein de l’entreprise ».

A propos joanna

Avatar