La menace est omniprésente dans les organisations · sûreté Une priorité pour l’audit interne...

N°0124e trimestre 2017

r e v u e i n t e r n a t i o n a l e d e s a u d i t e u r s e t d e s c o n t r ô l e u r s i n t e r n e s

La menace estomniprésente dans les organisationsIl faut ne pas la sous-estimer et avoir beaucoup d’humilitéGuillaume PepyPrésident du Directoire de SNCF

VOTRE PASSEPORTPROFESSIONNELINTERNATIONAL

Franchissez le pas et certifiez-vous pour :

faire reconnaître vos compétences

prouver votre maîtrise de l’audit interne

accéder à de nouvelles opportunités de carrière

Le CIA est la seule certification en audit interneinternationalement reconnue

Plus d’informations sur www.ifaci.com

SOMMAIRE

03n° 012 — audit, risques & contrôle — 4e trimestre 2017

04 EDITOFace aux menaces grandissantes,l’Univers d’Audit s’élargit

06 VOIX DE LA FRANCOPHONIEOrganisation Internationale de la FrancophonieRôles de l’audit interne et du Comité d’audit

10 OUVERTURE SUR L'EUROPEBilan et perspectives de l’ECIIA

14 RENCONTRE AVEC ...

Guillaume Pepy, Président du Directoire de SNCF

21 À LA DÉCOUVERTE DE...Les spécificités et les enjeuxde la sûreté nucléaire

25 POINT DE VUELa sécurité industrielleest-elle un art du compromis ?

29 DOSSIER30 Sécurité, Sûreté

Les entreprises face à leurs obligations

33 La prévention des risques relatifs à la sécurité et à lasûretéUne priorité pour l’audit interne de Michelin

36 Sûreté et sécurité chez SodexoQuel rôle pour l'audit interne ?

41 La gestion de la sûretéDe l'émergence du risque de sûreté à son managementdans le périmètre des sociétés intermédiairesinternationales

44 Le système de management de la sûreté de Schneider Electric

46 Cartographie des risques de malveillancePourquoi ? Comment ?

48 TÉMOIGNAGESSécurité informatique et contrôle interne

52 LIBRES PROPOSMon plan d’audit, quel plan d’audit ?

54 ACTUALITÉ

SÉCURITÉ / SÛRETÉLe rôle de l’auditeur interne

10

48

25

29

21

04 4e trimestre 2017 — audit, risques & contrôle - n° 012

EDITO

Les risques afférant à la sécurité et à la sûreté sont multiformes et de plusen plus angoissants (cyber attaques, menaces nucléaires, terrorisme,réchauffement climatique…), et les organisations déploient d’énormesefforts pour les maîtriser. Le groupe SNCF en est un exemple édifiant, qui

à la suite de plusieurs graves accidents ferroviaires, a revisité sa politique de sécu-rité de l’exploitation et en a repensé son pilotage. Dans l’interview que GuillaumePepy, Président du Directoire de SNCF, a bien voulu nous accorder, il précise lesdispositions adoptées à cet effet : renforcement de la direction des Audits desécurité, direction indépendante, placée hors structures de production, travaillantpour l’ensemble du groupe public ferroviaire ; création en 2015 d’une directiond’audit et des risques (DAR) agissant également pour le compte des 3 Epic (SNCF,Réseau et Mobilités). Pour Guillaume Pepy « Les constats effectués et les recomman-dations formulées (par la DAR) doivent, nous aider à nous projeter, à éclairer le cheminque nous avons à prendre et nous sécuriser ainsi dans notre capacité à relever les défisqui sont les nôtres et à atteindre ainsi les objectifs stratégiques que nous nous sommesfixés ».

Cette conclusion met en évidence le chemin parcouru par l’audit interne depuisune quinzaine d’années dans la plupart des organisations. L’audit interne estdorénavant reconnu, apprécié, proche des préoccupations des organes diri-geants et à même de répondre à leurs attentes. Il faut reconnaître que le profes-sionnalisme des équipes d’audit a considérablement progressé, en Francenotamment, grâce à la mise en place, au début des années 2000, de la certifica-tion des services d’audit interne qui, au-delà de s’assurer chaque année durespect strict des Normes, suggère aux directions d’audit interne des pistes deprogrès pour améliorer leur performance. Dans le même temps, l’univers d’audit,s’est fortement élargi et des audits de sécurité et de sûreté font d’ores et déjàpartie des missions récurrentes des directions d’audit interne de certaines orga-nisations, comme vous pourrez le constater dans ce numéro.

L’univers d’audit peut-il couvrir le domaine du nucléaire ? Jacques Repussardancien Directeur général de l’Institut de Radioprotection et de Sûreté Nucléairene le croit pas ; en lisant son interview technique et précise on comprendra aisé-ment pourquoi. Il estime toutefois que, par bien des points, la démarche desinspecteurs du nucléaire est proche de celle des auditeurs internes. Ce témoi-gnage, de portée générale, devrait intéresser bien au-delà des acteurs de lamaîtrise des risques.

Faut-il, pour mieux se protéger, se doter d’une batterie d’indicateurs que l’onrenouvelle régulièrement ? René Amalberti, Directeur de la Fondation pour uneculture de sécurité industrielle, ne le pense pas. Dans un article bien argumenté,il estime qu’un nouvel espace théorique du pilotage de la sécurité doit se dessi-ner relevant sans doute davantage d’un art du compromis. A méditer.

Face aux menacesgrandissantes,l’Univers d’Audit s’élargit

audit, risques & contrôleLa revue internationale des auditeurs et des contrôleurs internesn°012 - 4e trimestre 2017

EDITEURUnion Francophone de l’Audit Interne (UFAI)Association Loi 190198 bis, boulevard Haussmann - 75008 Paris (France)Tél. : 01 40 08 48 00 - Mel : [email protected] : www.ufai.org

DIRECTEUR DE PUBLICATIONTommaso Capurso

RESPONSABLE DE LA RÉDACTION Philippe Mocquard

RÉDACTEUR EN CHEFLouis Vaurs

COMITÉ RÉDACTIONNELLouis Vaurs - Tommaso Capurso - Eric Blanc - Antoine de Boissieu - Christian Lesné

SECRÉTARIAT GÉNÉRALEric Blanc - Tél. : 06 15 04 56 32 - Mel : [email protected]

CORRESPONDANTSAmérique : Farid Al MahsaniMaghreb : Nourdine KhatalAfrique subsaharienne : Fassery Doumbia

RÉALISATIONEBZONE Communication22, rue Rambuteau - 75003 ParisTél. : 01 40 09 24 32 - Mel : [email protected]

IMPRESSIONImprimerie Bialec23, allée des Grands Pâquis - C.S. 7009454183 Heillecourt Cedex (France)

ABONNEMENTMichèle Azulay - Tél. : 01 40 08 48 15Mel : [email protected]

Revue trimestrielle (4 numéros par an)ISSN : 2427-3260Dépôt légal : décembre 2017Crédit photo couverture : © SNCF

Les articles sont présentés sous la responsabilitéde leurs auteurs.

Toute représentation ou reproduction, intégrale ou partielle,faite sans le consentement de l’auteur, ou de ses ayants droits,ou ayants cause, est illicite (loi du 11 mars 1957, alinéa 1er del’article 40). Cette représentation ou reproduction, par quelqueprocédé que ce soit, constituerait une contrefaçon sanction-née par les articles 425 et suivants du Code Pénal.

Cette revue est impriméeavec des encres végétales.

EDITO


L’audit interne, invention américaine, s’est rapidement déve-loppé dans le monde anglo saxon, plus lentement dans lemonde francophone hors Canada. Avec la création, en 1988,de l’UFAI (Union francophone de l’audit interne), la fonctions’est progressivement répandue dans la plupart des paysafricains francophones avec l’émergence d’instituts natio-naux. Mais le développement de l’audit n’est pas toujoursune démarche aisée en Afrique et plusieurs instituts n’ontpas su ou pu se maintenir, ce qui est regrettable. Le message– fort – que nous délivre aujourd’hui la Secrétaire généralede l’Organisation internationale de la Francophonie, sonExcellence Madame Michaëlle Jean, est un encouragementpuissant au développement de l’audit interne. « Je formulele vœu, nous dit-elle, que de nouvelles associations d’auditeurset d’auditrices internes viennent rejoindre les rangs de l’UFAI afind’assurer un maillage étroit de l’espace francophone sur les cinqcontinents, dans un esprit de dialogue et de partage ». Puisseson message être entendu par le plus grand nombre.

Et puis il est question, dans ce numéro, de l’ECIIA (laConfédération européenne des instituts d’audit interne) qui,depuis sa création, somnole vaguement. Farid Aractingi, sonnouveau président, se propose de la réveiller. Il nous délivreun message plein d’enthousiasme, de culture et d’huma-nisme, et nous fait partager sa vision de la nécessité dedévelopper une fructueuse collaboration entre institutspour le bénéfice de tous. A lire impérativement.

Bonne lecture.

Depuis 2011, j’ai eu l’honneur et le plaisir d’être le rédacteuren chef de cette revue. Je voudrais remercier chaleureuse-ment les membres du Comité rédactionnel et tous ceuxappartenant au vaste monde de la Francophonie qui ont sula rendre attractive.

La revue va continuer à exister en demeurant internationaleet en français, la provenance des articles devant toujours ledémontrer.

Louis Vaurs -Rédacteur en chef

© v

ege

- Fot

olia

.com


VOIX DE LA FRANCOPHONIE

Description del’OrganisationInternationale de laFrancophonie (OIF)

L'Organisation internationale dela Francophonie (OIF) représentel'une des plus grandes zones lin-guistiques du monde. La languefrançaise et les valeurs huma-nistes qu’elle promeut représen-tent les deux pierres angulairesde l'Organisation internationalede la Francophonie.

« La Francophonie, consciente desliens que crée entre ses membres lepartage de la langue française et

souhaitant les utiliser au service dela paix, de la coopération et dudéveloppement, a pour objectifsd’aider : à l’instauration et au développe-

ment de la démocratie, à la pré-vention des conflits et au soutienà l’état de droit et aux droits del’Homme ;

à l’intensification du dialogueentre les cultures et les civilisa-tions ;

au rapprochement des peuplespar leur connaissance mutuelle ;

au renforcement de leur solida-rité par des actions de coopéra-tion multilatérale en vue de favo-riser l’essor de leurs économies ».

OrganisationInternationale de la FrancophonieRôles de l’auditinterne et duComité d’audit

Aissatou T. Dia Ndiaye, Directrice de l’Auditinterne de l'OIF

Tommaso Capurso, Président du Comitéd’audit de l'OIF, Président de l'UFAI

La jeune Direction de l’audit interne (DAI) de l’OIF a pris son élan.Jeune, certes. Mais forte aussi.Forte de ses compétences techniques et surtout humaines, indis-pensables dans le contexte multiculturel, au service desnombreux Etats membres et gouvernements.Forte aussi grâce aux valeurs fondatrices inspirantes, univer-selles et humanistes, de la Francophonie. D’ores et déjà, la DAI de l’OIF se positionne résolument commeun instrument catalyseur de la confiance et de la coopérationorganisationnelle.


Fonctionnement del’audit interne de l’OIF

Le CPF, en date du 25 novembre2014 à Dakar, a adopté le Règle-ment financier de l’OIF révisé, quicomporte une réforme ducontrôle interne, ainsi que laCharte de l’audit interne de l’OIFentrée en vigueur le 1er Janvier2015.

La Charte de l’audit internecontribue à promouvoir une cul-ture éthique au sein de la profes-sion d’audit interne à l’OIF. Elle apour but de définir son cadre defonctionnement, conformémentaux normes internationales pourla pratique professionnelle del’audit interne.

Le premier Comité d’audit d’avril2015 a fixé les modalités pra-tiques de fonctionnement duComité d’audit de l’OIF ainsi quele modus operandi de la Directionde l’audit interne au regard duRèglement financier et la Chartede l’audit interne de l’OIF. Cette Charte, suite à la créationde la Direction de l’audit interne(DAI), fait état de la « définition »internationale de l’audit interne,des normes de l’audit interne, ducode de déontologie, du Comitéd’audit, des missions, des pou-voirs et des responsabilités et dudouble rattachement (hiérar-

Francophonie avec les autresorganisations internationales ;

une contribution de l’Organi-sation significative à de grandsrendez-vous internationauxtels que les conférences sur leclimat ;

la mise à disposition des jeuneset des femmes de moyensadditionnels, notamment desincubateurs d’entreprises, afinde favoriser leur insertion éco-nomique ;

la réalisation d’initiatives inno-vantes de mobilisation de lajeunesse telles que « Libresensemble » ;

la tenue d’une conférenceinternationale sur la luttecontre le terrorisme et la pré-vention de la radicalisation vio-lente ;

la restructuration administra-tive et financière de l’OIF afinde renforcer les synergies et defavoriser le resserrement desprogrammes ;

la Conférence des femmes dela Francophonie à Bucarest ennovembre 2017, organiséeconjointement avec la Rouma-nie ;

l’accompagnement politiqueet technique des processusélectoraux dans les pays mem-bres ;

l’organisation des 8èmes Jeux dela Francophonie en Côted’Ivoire en 2017.

missions politique, économique,administrative et financière, decoopération et programmation,ainsi que des commissions adhoc) est composé des représen-tants personnels dûment accré-dités par les chefs d’État ou degouvernement membres desSommets. Présidé par la Secré-taire générale, le Conseil estchargé de la préparation et dusuivi du Sommet, sous l’autoritéde la Conférence ministérielle. Ila notamment pour mission deveiller à l’exécution des décisionsprises par la Conférence minis-térielle, d’examiner et d’approu-ver les projets, de procéder auxévaluations des programmesdes opérateurs, d’exercer un rôled’animateur, de coordonnateuret d’arbitre, tant en ce quiconcerne le volet politique etéconomique que le volet decoopération.

Ces dernières années, l’OIF a réa-lisé de nombreuses actions, dont : le soutien à l’enseignement

massif du Français (2ème langueapprise dans le monde) ;

la mise en place de l’Institut dela Francophonie pour l’Éduca-tion et la Formation (IFEF) àDakar ;

l’ouverture d’un nouveaubureau régional de l’OIF pourl’Océan indien ;

le renforcement des liens de la

L'OIF a été créée en 1970. Sa mis-sion est d'incarner la solidaritéactive entre ses 84 Etats mem-bres et gouvernements (58 mem-bres et 26 observateurs) sur les 5continents, qui représententensemble plus d'un tiers des Etatsmembres des Nations Unies etune population de plus de 900millions de personnes, dont 274millions de francophones. L'OIForganise des activités politiqueset des actions de coopérationmultilatérale en faveur des popu-lations francophones. Elle met enœuvre et finance des pro-grammes sur l’étendue de sesdomaines de compétences (éco-nomie, numérique, culture, envi-ronnement et gouvernance).

Les instances politiques de la Fran-cophonie sont au nombre de trois :

1. La Conférence des chefs d’Etatet de gouvernement des paysayant le français en partage,plus communément désignéepar le terme de « Sommet »,rassemble, tous les deux ans,les chefs d’État ou de gouver-nement des pays membres del’OIF. « Instance suprême de laFrancophonie, le Sommet défi-nit les grandes orientationspolitiques de la Francophonieet confirme les grandes lignesde la coopération pour lesannées à venir de manière àassurer son rayonnement dansle monde et à en satisfaire sesobjectifs ».

2. La Conférence ministérielle dela Francophonie (CMF) estcomposée des ministres desAffaires étrangères ou desministres chargés de la Fran-cophonie des pays de l’OIF.Cette Conférence annuelle apour mission de veiller à l’exé-cution des décisions arrêtéeslors d’un Sommet et de prépa-rer le Sommet suivant. Enoutre, elle recommande auSommet l’admission de nou-veaux membres et de nou-veaux observateurs. Elle siègeégalement comme Confé-rence générale de l’Agenceintergouvernementale de laFrancophonie.

3. Le Conseil permanent de la Fran-cophonie (CPF – avec ses com-




d’audit, peut inviter, de manièread hoc, au cas par cas, les ordon-nateurs délégués (Administrateur,Directeurs, Responsables des uni-tés administratives), des membresdu Cabinet de la Secrétaire géné-rale (Directeur de Cabinet,Conseillers, etc.), la Conseillèrejuridique, le Directeur de l’AuditExterne ou toute autre partie pre-nante interne et/ou externe àl’OIF.

Selon les dispositions en vigueuren matière de confidentialité desinformations, les documents liésau Comité d’audit ne sont paspubliés sur la plate-forme des ins-tances, ni diffusés à des tiercesparties internes ou externes àl’OIF. Les rapports d’audit interneet autres documents examinéspar le Comité d’audit ne peuventêtre diffusés, en interne ou enexterne, que selon une classifica-tion, une liste restrictive et un for-mat (par exemple, « résumé exé-cutif ») qui restent à formaliser, àrespecter. Toute demande dedérogation doit être préalable-ment avalisée par la Directrice del’audit interne.

Le Comité d’audit a prévu de seréunir trois fois par an, les moisd’avril, septembre et décembre,en fonction des dates du CPF. Unprojet de Charte de fonctionne-ment du Comité d’audit est encours de validation.

En conclusion, la Direction del’audit interne et le Comité d’auditsont aujourd’hui considéréscomme des organes essentiels,indépendants et autonomes,contribuant à la bonne gouver-nance de l’OIF, pour accompa-gner le développement d’uneculture de l’audit, de l’évaluationet de la prévention des risques,ainsi que de l’excellence au seinde l’Organisation.

La réussite des activités d’auditinterne est fondée sur les prin-cipes de confiance, de dialogueet de coopération entre les audi-tés et les auditeurs, dans uneapproche de co-production, deco-construction de valeur, de par-tenariat et de transparence toutau long des missions d’audit etd’accès clair à l’information.

de la Commission administrativeet financière (CAF) comme mem-bre de plein droit, quatre repré-sentants qualifiés des États etgouvernements membres del’OIF, respectivement le Canada,la France, le Gabon et le Niger,ainsi que deux experts externes.La Directrice de l’audit interne estprésente à toutes les sessions duComité d’audit et en assure lesecrétariat.

Le Comité d’audit est présidé parl’un des deux membres expertsexternes, désignés par le CPF surla base de leurs compétences enparticulier dans les domaines del’audit, du contrôle et des risques,sur proposition du Bureau del’UFAI (Union Francophone del’Audit Interne), pour un mandatde deux ans renouvelable unefois.

Compte tenu du principe de« non-ingérence » de l’adminis-tration dans le fonctionnementdu Comité d’audit, participentaux sessions du Comité d’auditseulement les membres duComité d’audit, non-opération-nels (« non-exécutifs »), et laDirectrice de l’audit interne. Tou-tefois, le Président du Comité

Maroc, sont une pratique impor-tante et récurrente. La DAI participe à toutes les réu-nions des directions et des ins-tances de l’OIF.

Fonctionnement duComité d’audit

Le Comité d’audit, institué par leRèglement financier précité, a étéinstallé par la Secrétaire généralede la Francophonie, Son Excel-lence Madame Michaëlle Jean, le1er avril 2015, lors de sa premièresession. Le Comité d’audit a étécréé essentiellement pour veillerà l’indépendance et à l’efficienceet l’efficacité des activités de laDAI. La Secrétaire générale consi-dère ce nouveau dispositif –Comité d’audit et Direction d’au-dit interne – comme un précieuxlevier d’aide à la décision surlequel elle souhaite s’appuyer,qu’il s’agisse de favoriser la lisibilitéet l’appropriation des missions del’Organisation, d’en sécuriser lesfinancements ou de susciter denouveaux partenariats.

Le Comité d’audit de l’OIF est trèsspécifique puisque ses membressont désignés par le CPF. Il com-porte sept membres : le Président

chique / fonctionnel) de la DAI,du champ d’intervention de l’au-dit interne, des missions de l’auditinterne, de l’évaluation du Direc-teur, en l’occurrence la Directricede l’audit interne, et du pro-gramme d’assurance et d’amélio-ration de la qualité.

La Directrice de l’audit interne apris fonction en mai 2017 et,depuis quelques mois, a initiéune démarche d’établissementd’un univers d’audit et d’une car-tographie des risques de l’OIF afinde permettre l’élaboration d’unplan d’audit annuel fondé sur lesrisques, pour examen par leComité d’audit avant soumissionà la Secrétaire générale pourapprobation.

Dans une approche collaborativeet vu l’absence actuelle de sys-tème formalisé de gestion desrisques au sein de l’OIF, la DAIcoopère étroitement avec lesautres directions afin de promou-voir une culture participative ettransversale de maîtrise desrisques au sein de l’Organisation. L’échange des travaux et la coor-dination avec l’Audit Externe,actuellement assuré par la Courdes comptes du Royaume du


L’audit interne, par l’indépendance et l’objectivité de ses rapports, par la pertinence des propositions et des conseils qu’ilformule, est indispensable à l’amélioration du fonctionnement d’une organisation et à l’atteinte de ses objectifs.

C'est ce souci de développer une culture participative et responsable d’évaluation, de transparence et d’imputabilité, qui aconduit l'Organisation internationale de la Francophonie (OIF) à placer l’audit interne aux avant-postes de sa gestion axée surles résultats.

Je souhaiterais qu’il en soit de même dans les 84 États et gouvernements membres et observateurs de l'OIF et à tous lesniveaux. À cet égard, l’Union francophone de l’audit interne (UFAI) mène une action déterminante queje salue.

Parce qu’elle contribue au partage des expertises dans tout l’espace franco-phone, parce qu’elle diffuse en langue française les principales publi-cations techniques dans le domaine, parce qu’elle accorde uneplace de premier plan à la formation professionnelle des audi-teurs et des auditrices, l’UFAI peut légitimement se préva-loir de la reconnaissance de la Francophonie institu-tionnelle.

En rendant hommage ici à l’engagement indé-fectible des représentants des associationsmembres ainsi qu’au formidable travail dubureau directeur, je formule le vœu que denouvelles associations d’auditeurs et d’au-ditrices internes viennent rejoindre lesrangs de l’UFAI afin d’assurer un maillageétroit de l’espace francophone sur lescinq continents, dans un esprit de dia-logue et de partage.

Car l’une des grandes forces de la Fran-cophonie réside dans le nombre et ladiversité de ses réseaux, en particulierles réseaux professionnels commel’UFAI, qui, en distillant partout unevariété d'expériences, d'expertises, depoints de vue et de conceptions dumonde, contribuent à la constructiond’une autre mondialisation, plus respec-tueuse des différences et plus humaine.

Michaëlle Jean, Secrétaire générale de la Francophonie

Message de Son Excellence Madame Michaëlle Jean,Secrétaire générale de l’Organisation internationale

de la Francophonie

n° 012 — audit, risques & contrôle — 4e trimestre 2017 09


OUVERTURE SUR L'EUROPE

Revue « Audit, Risques & Contrôle » : Vousavez été élu Président de l’ECIIA1 en septem-bre 2017. Qu’est ce qui se cache derrière cetacronyme, que les lecteurs de Audit, Risques& Contrôle ne connaissent pas nécessaire-ment ?

Farid Aractingi : Vous avez raison, la plupartdes auditeurs des pays francophones, quicomposent le lectorat de la revue AR&C, sontdavantage familiers avec leur institut national,comme l’IFACI en France. Pourtant les 842participants à la conférence organisée parl’IFACI en 2015, « Audit in the Spotlight », auPalais des Congrès, se souviennent bien decet événement marquant qu’avait été, cette

année-là, la conférence de l’ECIIA : l’IFACI avaitété choisi par l’ECIIA pour abriter la confé-rence européenne annuelle à Paris, villelumière, ce qui nous avait inspiré le titre de laconférence. Et de plus, cette date correspon-dait à notre 50ème anniversaire !

La Confédération Européenne des Institutsd’Audit Interne a été fondée en 1980 parquelques instituts, dont l’IFACI, comme forumd’échange entre leurs responsables. Quelquesannées plus tard, avec la diffusion de notreprofession dans des pays qui s’ouvraient àl’économie de marché et les règles internatio-nales de bonne gouvernance, l’ECIIA est deve-nue une plateforme de support à la

constitution des jeunes instituts. Ensuite, laprégnance du droit européen et la multiplica-tion des directives de Bruxelles ont été depuissants facteurs pour inciter les instituts àutiliser l’ECIIA comme outil privilégié delobbying. Les cibles de l’ECIIA se sont élargiesavec le temps et les besoins croissants :d’abord, et bien naturellement, la Commis -sion européenne et le Parlement européen,ensuite les autorités européennes de régula-tion financière, enfin les autres fédérationsprofessionnelles européennes représentantnos collègues acteurs de la bonne gouver-

Bilan etperspectivesde l’ECIIAL’audit interne dispose d’une organisation structurée. A son sommet, l’IIA Global «TheInstitute of Internal Auditors » responsable notamment des normes professionnelleset des certifications à portée mondiale dont le CIA (Certified Internal Auditor). Ilregroupe 185 000 membres, 40 % en provenance de l’Amérique du Nord et desCaraïbes, 60 % du reste du Monde. Ces membres appartiennent à 170 pays et sontrassemblés le plus souvent au sein d’une centaine d’instituts nationaux (dont l’IFACI,pour la France). Au fil des ans et en dehors de la structure juridique de l’IIA Global, lesinstituts se sont regroupés soit par région (Afrique, Amérique Latine, Asie, Europe)soit par communauté de langage (Union Francophone de l’Audit Interne –UFAI-) Cesorganisations sont reconnues par l’IIA Global comme apportant de la valeur ajoutéeà la profession.Parmi ces dernières, l’ECIIA ou Confédération Européenne des Instituts d’Audit Interne,première organisation régionale créée, regroupe 35 instituts dont 5 appartiennentégalement à l’UFAI. Farid Aractingi ancien Président de l’IFACI vient d’en être nomméprésident. Il nous délivre un message fort, plein d’enthousiasme, de culture et d’hu-manisme, et nous fait partager sa vision de la nécessité de développer une fructueusecollaboration entre instituts pour le bénéfice de tous.

Farid Aractingi, Président de l’ECIIA, ancienPrésident de l’IFACI, Directeur de l’audit interne, de lamaîtrise des risques et de l’organisation chezRenault, et Président de Renault-Nissan Consulting

1 European Confederation of Institutes of Internal Auditing.

nance et de la maîtrise des risques. La devisede l’ECIIA est d’ailleurs devenue : enhancinggovernance through internal audit.

AR&C : Ne craignez-vous pas de mettre ledoigt dans la bureaucratie européenne, à unmoment où on ne jure que par l’agilité et lasubsidiarité ?

F. A. : C’est un risque dont nous sommes telle-ment conscients que nous avons toujoursrefusé l’engrenage des superstructures. Audépart, comme je viens de le mentionner,l’ECIIA a été conçue comme un clubd’échanges informel entre présidents d’insti-tuts d’audit interne, sans secrétariat fixe sinonune « boîte aux lettres » abritée par l’IIABelgique. Devenue une plateforme profes-sionnelle d’affaires publiques, l’ECIIA s’eststructurée autour d’une organisation pérennemais frugale : notre conseil d’administration aété élargi pour mieux représenter la diversitéde nos instituts, mais il est évidemment béné-vole, notre secrétaire générale ne travaille qu’àmi-temps, et nous sous-louons quelques m²à IIABel, avec des heures d’assistance. Celareste bien plus modeste que les fédérationsprofessionnelles présentes à Bruxelles et avecqui nous sommes en étroite relation, commeles administrateurs de société (ecoDa2), lesgestionnaires de risques (FERMA3), les audi-teurs externes (Accountancy Europe4), lesémetteurs (Business Europe) ou les auditeursdu secteur public (EUROSAI5).

AR&C : A l’inverse, ne risquez-vous depasser à côté des grands enjeux de laprofession ?

F. A. : En fait, malgré nos moyenslimités, nous restons très connec-tés avec nos différentes partiesprenantes, très présents, trèsconsultés. Cela tient à la qualitédu relationnel établi à la foisavec les autorités euro-péennes et avec les fédéra-tions professionnelles. Mais ilne faut pas s’y tromper : pourconjuguer la modestie à l’effi-cacité, il faut accepter que lesystème repose sur une fortedose d’intuitu personae…Et cela marche plutôt bien.Nous sommes désormaisconsultés avant la publicationdes directives – et si nous ne lesommes pas spontanément, nousœuvrons suffisamment en amontpour l’être in fine.

AR&C : Quelles sont les trois grandes réalisa-tions récentes de l’ECIIA ?

F. A. : Incontestablement, la création duBanking Committee marque un jalon impor-tant, car il a permis de constituer un groupereprésentatif des 120 établissements finan-ciers régulés par la Banque CentraleEuropéenne, et de le positionner au bonniveau de dialogue. La BCE6, tout commel’ABE7, sont des entités relativement jeunes,investies d’une mission essentielle pour toutle secteur bancaire européen, mais qui souffreencore, parfois, de diversité dans la mise enœuvre de ses modes de fonctionnement,souvent liés à la diversité de son personnel. Enface, l’ECIIA représente une profession quifournit ses services au monde des affaires, eten particulier à la bonne gouvernance desbanques, selon des normes internationalessuivies de façon cohérente dans le mondeentier, et en particulier dans l’espace euro-péen où l’institut d’audit interne le plusancien8 fêtera bientôt ses 70 ans d’existence.

Ceci n’a d’ailleurs pas échappé à la BCE,qui a pris conscience de larobustesse de nos

pratiques professionnelles, mais aussi dubesoin de nourrir et d’harmoniser notreprofession, et qui vient de participer le 20novembre 2017, aux côtés de l’ABE, au sémi-naire que nous avons organisé à Francfort àdestination des Directeurs d’audit interne dusecteur bancaire, pour partager leurs préoc-cupations et leurs meilleures pratiques, avecle régulateur.

AR&C : Votre deuxième exemple?

F. A. : Nous nous sommes intéressés au sujetle plus inquiétant pour nos parties prenantesdans les différentes organisations où nousopérons : la cyber sécurité. Sur ce sujet,FERMA et ECIIA, représentant les professionsde gestion des risques et d’audit interne, ontproduit une prise de position commune pourinviter à une gouvernance de de ce risque àun niveau transversal et aussi élevé que possi-ble, au sein de nos entreprises. Nous avonsbénéficié de l’intérêt personnel d’un grandcapitaine de l’industrie, M. Carlos Ghosn, quia synthétisé sa pensée sur ce thème dans une



© h

urca

.com

- Fo

tolia

.com

2 European Confederation of Directors Associations3 Federation of European Risk Management Associations4 Précédemment Federation of European Accountants5 European Organisation of Supreme Audit6 BCE ou ECB : European Central Bank7 ABE ou EB A: European Banking Authority8 Il s’agit du Chartered Institute of Internal Auditors of UK and Ireland


citation figurant en tête du document : “Cyberrisks are like unpredictable storms of evergrowing severity; nothing is stronger to weatherthem sustainably than a proactive alliancebetween anticipative risk management andfarseeing internal audit.”

Nous avons présenté le 29 juin dernier cetteprise de position au Parlement européen, oùje représentais l’ECIIA, pour marquer solennel-lement son importance et sa portée dans tousnos pays européens.

AR&C : Et en numéro 3 ?

F. A. : Nos conférences de l’ECIIA en général,et en particulier celle tenue à Bâle au mois deseptembre. En effet, avec les moyens frugauxde l’ECIIA et des instituts d’audit interne euro-péens, nous réussissons à organiser uneconférence annuelle, qui se déroule à l’au-tomne, dans une ville européenne, à l’initiativede l’institut national dont dépend cette ville,et en bénéficiant de l’expérience de l’ensem-ble de notre communauté. L’objectif de cetteconférence est de créer de l’impact à destina-tion de la communauté européenne desauditeurs internes.

Depuis Berlin en 2008 et Rome en 2009, nousavons appris en marchant, en courant devrais-je dire, et toujours en progressant : il y a eu debelles étapes à Madrid, Amsterdam, Vienne,Paris et Stockholm, avant la réalisation cetteannée de la conférence à Bâle. Cette villerhénane et helvétique, mais proche géogra-phiquement et culturellement de l’Alsace etdu Bade-Wurtemberg, est emblématique dela bonne gouvernance et de la tempérance,

puisqu’on y a signé des accords qui établis-sent des piliers destinés à réguler une financedevenue folle. A Bâle, nous avons bénéficié dela précision suisse, de l’expérience euro-péenne et de la bienveillance de notrecommunauté, pour une conférence solide,utile et bénéfique à tous les participants –dont le nombre excéda les 800 – et auxfinances de notre institut.

AR&C : Avec un tel bilan, vous reste-t-il encorequelque chose à accomplir, à part maintenir ?

F. A. : En égrenant les noms des villes qui ontorganisé des conférences de l’ECIIA au coursdes dernières années, vous avez senti passerun souffle… Celui de notre géographie, quiest commune, et qui commande les fonda-tions de ce qui nous est commun : notrehistoire, notre avenir, et finalement notre civi-lisation. Rien n’est plus contraire à l’universalitéque la standardisation édulcorante, castra-trice, nivelante.Le souffle européen nous est nécessaire pourrespirer et donner le meilleur de nous-même.Pour devenir des partenaires utiles à la maisoncommune de l’audit interne, au service de labonne gouvernance, nous devons embrassercette dimension européenne, dimension degéant, non pas par arrogance ou nostalgie,mais par désir d’universalité – j’allais dire parvocation universelle. Nous serons d’autantplus fiables, impactants et utiles, que nousserons nous-mêmes, que nous habiteronstoutes nos dimensions, que nous nous assu-merons pleinement européens, fidèles etcomplices de notre histoire, partageant lesmêmes enjeux économiques et civilisation-nels.

Sachant dépasser nos querelles picrocholines.Comprenez-moi bien : la dimension locale etnationale, en particulier dans sa langue, estessentielle, et loin de moi le phantasme de lanier, mais notre frontière est désormaisl’Europe. Car nous sommes revenus, aprèsnotre histoire glorieuse et tumultueuse, à desmoyens plus raisonnables que nouscommandent notre géographie et notredémographie : l’union nous est nécessaire, etelle est d’autant plus nécessaire qu’elle estutile, d’autant plus utile qu’elle est naturelle,d’autant plus naturelle qu’elle est efficace,d’autant plus efficace qu’elle est joyeuse, d’au-tant plus joyeuse qu’elle est épanouissante.

AR&C : Un véritable manifeste !

F. A. : On ne peut pas présider l’ECIIA sansconviction ni sans désir de servir. De mêmeque les pays européens partagent des enjeuxéconomiques, de même les instituts euro-péens partagent les mêmes enjeux vis-à-visde leurs parties prenantes : les auditeursinternes, les professionnels de la maîtrise desrisques et de la bonne gouvernance, et au-delà les acteurs des première et deuxièmeligne de maîtrise. Car les attentes de nosmandants sont d’abord une plus grandeprofessionnalisation, dans un contexte decomplexité, de régulation et de vitesse crois-santes. Et ensuite, un besoin d’équilibre et dediscernement entre conformité et efficacité,éclairés par l’analyse des processus, lacompréhension des risques, et la connais-sance des textes – analyse, compréhension etconnaissance qui doivent, toutes les trois, êtrefines.


IIA Global

UFAI18 Instituts

dont 5 qui sontégalementmembres de

l’ECIIA

Allemagne, Arménie, Autriche, Bulgarie, Chypre,Croatie, Danemark, Espagne, Estonie, Finlande, Grèce,

Hongrie, Islande, Israël, Italie, Lettonie, Lituanie,Macédoine, Monténégro, Norvège, Pays-Bas, Pologne,

Portugal, Rép. Tchèque, Royaume-Uni & Irlande,Serbie, Slovénie, Suède, Turquie

Belgique

France

Luxembourg

Maroc

Suisse

ECIIA regroupe 35 Instituts



Tous ces besoins exprimés par nos entreprisespèsent lourdement sur les instituts. Commenty parvenir au plus vite ? L’outil existe, il s’ap-pelle ECIIA.

L’ECIIA peut, dans cet esprit, devenir la plate-forme de services communs aux institutseuropéens. Avec deux mots-clés : partage etsubsidiarité.

Les pères fondateurs de l’ECIIA le pressen-taient d’ailleurs confusément : ils ont utilisé cebiais pour venir en aide, solidairement, auxinstituts européens émergents.

Plus tard, il y eut le besoin de lobbying, aucœur de notre stratégie. Mission essentielle,et qui préfigure grandement notre vocationau service : faisons ensemble ce qu’il est plusefficace de faire ensemble. Cette philosophieest compatible avec le principe de subsidia-rité, qui nous guide et nous oblige : nouscontinuerons à mettre dans le PACC9, quepréside le Vice-Président de l’ECIIA, l’énergiede nos administrateurs et celles des dirigeantsdes instituts.

Mais nous pouvons aller plus loin, et transfor-mer l’ECIIA en véritable facilitateur desservices. Une première expérience a ététentée avec la recherche. Six instituts euro-péens10 ont décidé de mettre en communune partie de leurs moyens de recherche.L’ECIIA s’y est associée, et cette initiative apermis de produire à l’occasion de la confé-rence de l’ECIIA un excellent document sur lessujets majeurs d’audit interne des 18prochains mois, intitulé : “Risk in focus”.

On pourrait donc systématiser cetteapproche, avec le label ECIIA qui nous estcommun, tout en précisant les noms descontributeurs, car il est bien évident que lesmoyens des différents pays européens consti-tutifs de l’ECIIA ne sont pas identiques.

AR&C : Uniquement pour la recherche ?

F. A. : La recherche est sans doute la prochainefrontière, car le besoin existe, et la tradition decollaborer entre instituts a été éprouvée à l’oc-casion de cette première publication. Cedocument est de grande qualité, et pour saprochaine édition, pourra gagner dans deuxdimensions : en donnant la parole auxmembres des comités d’audit, et en acqué-rant une dimension européenne globale.Car lorsqu’on est pleinement coopératif, ausein de l’Europe, on peut faire de très grandeschoses. La publication la plus marquanteadoptée par l’IIA Global au cours des cinqdernières années est celle concernant les troislignes de maîtrise : elle avait été publiée en2012 à la suite d’un effort commun entrel’ECIIA et le FERMA !

D’autres thèmes de services communs exis-tent : la formation et la certification, qui sontdeux activités au cœur de la mission deprofessionnalisation des adhérents de nosinstituts.

Et puis, permettez-moi de partager avec vousune idée qui m’est chère : créer un événementà destination des dirigeants européens d’au-dit interne. Il existe déjà plusieurs initiatives :le Banking Committee vient d’organiser leséminaire de novembre à destination des DAIdu secteur bancaire, et il faudra sans doutecopier ce modèle pour le secteur des assu-rances, lui aussi régulé, et pour lequel nousvenons de créer un Insurance Committee,comme pour le secteur public, dont les spéci-ficités justifient un traitement particulier. Demême, la conférence de l’ECIIA, généraliste,couvre partiellement ce besoin. Mais nousdevrons examiner comment dédier spécifi-quement aux DAI hors secteurs financiers etpublic, un événement qui leur soit destiné.

AR&C : Est-ce là le cœur de votre feuille deroute pour l’ECIIA ?

F. A. : Je la résumerai en trois points.

D’abord l’excellence de la mission actuellefocalisée sur le lobbying vis-à-vis des autoritéseuropéennes, et l’organisation de la confé-rence annuelle.

Ensuite, le développement de la plateformede services, avec pour corollaires : d’abordcomment mieux travailler ensemble, etensuite quelle organisation pratique centraleà mettre en place au service de tous, avecquels moyens et quel budget ? Je serai àl’écoute de mon Conseil d’administration, etde mes adhérents, que je compte aller voirindividuellement, car on ne se rencontreguère plus d’une fois par an, au cours del’Assemblée générale – et encore, tous lesPrésidents d’institut n’y assistent pas !

Enfin, une plus grande collaboration avec lesfédérations professionnelles européennes.Depuis l’adoption du modèle des trois lignesde maîtrise, nous avons mieux compris lebesoin de clarification et de collaboration, ausein de nos entreprises, entre nos métiers.Ceci est essentiel au niveau de chaque orga-nisation, et ceci l’est bien évidemment auniveau des associations professionnelles. J’aidéjà un contact de grande qualité avec les

dirigeants de FERMA, et nous continuerons àdestination d’ecoDa, d’Accountancy Europe,de Business Europe et d’EUROSAI.

Pour y parvenir, la gouvernance de l’ECIIA aété modernisée l’année dernière, avec uneplus grande représentativité de notre conseild’administration, et une vitesse de décisionaméliorée. Cependant, nous ne ferons pasl’économie, au cours de mon mandat, derevoir le format de l’ECIIA et son budget.

AR&C : En guise de conclusion ?

F. A. : Permettez-moi de partir de notre métier.En tant qu’acteur indépendant, l’audit internedispose de trois registres principaux : la trans-versalité, la liberté de parole et le maintien desbasiques du contrôle interne. Ce triangle d’ordoit permettre à l’auditeur de développer unplan d’audit approprié et cohérent, et d’exer-cer pleinement son métier, avec une claireconscience de sa valeur ajoutée, tant à desti-

nation du Conseil d’administration, à traversle Comité d’audit, que de la Direction géné-rale. Cette mission nous commande.

Mais les dirigeants opérationnels sont surtoutintéressés par la maîtrise des risques, c’est-à-dire la maîtrise des activités. Cette préoccupa-tion nous commande aussi.

Cela nous ouvre un champ majeur d’action,et éclaire mon propos préalable. Monparcours personnel, venu du monde opéra-tionnel à l’audit interne, puis de l’audit interneà la maîtrise des risques, et enfin de la maîtrisedes risques à la bonne gouvernance, expliquemes convictions et le sens de mon program -me. Nous exerçons un métier magnifique,mais nous ne sommes pas isolés dans unetour d’ivoire : nous sommes une fonction dontla vocation est éminemment transversale,dotée d’une vision globale, outillée d’uneméthode robuste, ayant développé unecompréhension à la fois des enjeux et du biencommun, et jouant un rôle de « courage audi-ble » au service de la performance durable del’entreprise et de son progrès continu.

Quel formidable programme, propre à memotiver et à motiver tout l’ECIIA !

L’ECIIA peut devenir la plateforme de servicescommuns aux instituts européens. Avec deuxmots-clés : partage et subsidiarité

«»

9 Public Affairs Coordination Committee10 Espagne, France, Hollande, Italie, Royaume Uni & Irlande, Suisse

Guillaume Pepy, Président du Directoire de SNCF

Dans un Groupe en transformationconstante, beaucoupde défis doivent êtrerelevés, la sécurité en fait partie


RENCONTRE AVEC ...

Face aux nombreux défis à relever dans les prochaines années (amélioration de la perfor-mance économique, amélioration de la sécurité, libéralisation du marché pour le trafic voya-geurs…), Guillaume Pépy affiche une grande confiance et sa détermination. Pour lui, larécente structure mise en place avec trois EPIC (SNCF groupe, Réseau, Mobilités) constitueun socle très solide pour préparer l’avenir. Dans un monde incertain, il attend de la Directionde l’audit et des risques qu’elle soit sans complaisance et apporte de la valeur ajoutée auxentités.

RENCONTRE AVEC ...


Louis Vaurs : L’organisation ferro-viaire a été profondément réfor-mée en 2015. Pouvez-vous nousprésenter, en quelques phrases,la nouvelle structure juridique duGroupe SNCF, les métiers qu’ellerecouvre et les avantages qu’elleprocure ?

Guillaume Pépy : Depuis 2015, lastructure juridique du GroupeSNCF s’organise autour de 3 enti-tés : l’ÉPIC SNCF, chargé du pilo-tage global du groupe, l’ÉPIC1

SNCF Réseau, qui gère, exploiteet développe le réseau ferré fran-çais et l’ÉPIC SNCF Mobilités, pourle transport de voyageurs et demarchandises. Le plus important c’est le chan-gement radical de la SNCF en unpeu plus de 10 ans.Nous sommes un groupe fran-çais, et un groupe international.C’est aujourd’hui 33 % de notreCA qui est réalisé à l’étranger etnotre ambition est de parvenir à50 % en 2025.SNCF, c’est également un réseauhistorique mais qui a cette parti-cularité d’être le plus grand chan-tier d’Europe avec 46 Md€ deprojets de rénovation program-més sur les 10 ans à venir. SNCF,c’est du transport de voyageurs,de la logistique à l’échelle dumonde, des gares qui « boostent »les villes et un acteur immobilierde premier plan. Et enfin, SNCF,c’est de la Grande vitesse et du« Mass Transit », des mobilitésquotidiennes et des mobilitéspartagées. Le transport du quoti-dien, c’est depuis maintenantprès de 10 ans la priorité princi-pale à l’intérieur du groupe.

L. V. : En juillet dernier, lePrésident de la République adéclaré vouloir revoir la politiquesur les transports pour favoriser« la mobilité du quotidien ». Le 19septembre se sont ouvertes lesAssises de la Mobilité, quels sontles principaux défis que votreGroupe aura à relever dans cedomaine au cours des pro -chaines années ?

G. P. : Cela tient en deux mots :performance et concurrence.Notre premier chantier, c’estd’améliorer notre performance

de 2,4 Md€ en 2020 par rapport àaujourd’hui, en combinant plande performance industrielle,offensive commerciale et réduc-tion des frais de structure. Sur cedernier point, l’engagement estde réaliser 20 à 25 % d’économiesd’ici à 2020 et nous y allons sur unmode résolu et accéléré. Dans lemême temps, l’Etat annonce qu’ilva réformer le système ferroviaire.La concurrence va très vite deve-nir réalité, en 2020 pour la grandevitesse, et en 2023 au plus tardpour les TER2. Il n’y a pas de dénisur cette question chez SNCF. Cesperspectives stimulent notreambition et guident notre action.Clairement, nous travaillons tousles jours à poser les conditionsqui feront que, le moment arrivé,SNCF soit choisie. Pour y parvenir,nous avons besoin de règles dujeu claires, et de conditions justeset équitables, pour les entreprisesconcurrentes bien entendu, maisaussi pour l’entreprise historique.

L. V. : Le fret ferroviaire s’est libé-ralisé il y a un peu plus de 10 ans ;la concurrence arrivera prochai-nement dans le domaine Voya -geurs. Comment vous ypréparez-vous ?

G. P. : Nous nous y préparonsdepuis longtemps et à grand pas.Notre principal concurrent, nousle connaissons depuis long-temps ; c’est la voiture indivi-duelle, avec son seul conducteurà bord. Les autres, les cars et le covoitu-rage, sans oublier la location, sontde nouveaux acteurs, denouveaux concurrents sur lemarché de la mobilité, mais nousavons su anticiper leur arrivée. Ouibus dans le domaine dutransport longue distance parautocar et Ouicar pour la locationde voiture sont d’ores-et-déjàquasi leaders, à nos côtés de cetteconcurrence dans la mobilité.

Pour ce qui concerne le transportferroviaire, là aussi nous avonsanticipé. Pour la grande vitesse,nous avons lancé il y a trois ansOuigo, la grande vitesse low-cost.C'est un énorme taux de satisfac-tion (plus de 95 %), un très forttaux de remplissage et undoublement de la fréquentationchaque année. Ouigo, c’est 6millions de voyages cette année.Et avec son arrivée dès décembreprochain dans Paris, à Montpar -nasse pour commencer, les pers-pectives sont bonnes !Pour les TER, nous devons vendremoins cher aux régions et lepremier sujet qu'on attaque, cesont les frais de structures. 2017est une année de rupture dans cedomaine. On a fait 700 millionsd’Euros d'économies entre 2013et 2015. Notre nouveau planprévoit 500 millions de plus et vatrès fortement augmenter. Nousactionnons parallèlement deuxleviers d’efficacité supplémen-taires : l'évolution des métiers en

fonction des besoins des clientset la révolution digitale. Les régions, qui sont nospremiers clients nous disent quenous sommes trop chers etqu’elles n’en ont pas toujourspour leur argent. Le client atoujours raison. A nous debouger donc et … nous bou -geons.

L. V. : La SNCF a connu cesdernières années plusieurs acci-dents ferroviaires qui l’ontconduit à revisiter sa politique desécurité de l’exploitation et à enrepenser son pilotage. Quels sontles marqueurs de cette évolutionet quels en sont les premiersrésultats ?

G. P. : Les marqueurs de l’évolu-tion du management de la sécu-

rité à la SNCF sont résumés dansle programme intitulé PRISME,lancé en 2016 :P : développer les comporte-ments proactifsR : instaurer le management parles risquesI : maîtriser les interfacesS : simplifier les procéduresM : créer les conditions managé-riales pour l’engagement de tousE : se doter d’équipements

Après 2 années d’initialisation, deprototypage et de début dedéploiement , ce programme aété l’occasion d’opérations degrande ampleur, comme laconvention sécurité en juillet2016 pour le lancement duprogramme, ou comme pour le« Train Sécurité » début 2017,pour lequel un train a effectué 25haltes en France, l’occasionnotamment de faire prendreconscience des risques à près de10 000 agents, et de leur présen-ter les « règles qui sauvent », qui

seront rendues applicables etobligatoires à compter de janvier2018. La nouvelle culture « juste etéquitable » est aussi un progrèsmajeur effectué durant cettepremière phase. Tous cela a unréel impact sur la culture de sécu-rité, et nous donne des premiersrésultats extrêmement encoura-geants. Depuis 2015, SNCF enregistreune baisse constante desEvénements de Sécurité Remar -quables au sein du Groupe PublicFerroviaire (ce sont ceux qui relè-vent de la gravité la plus élevéeniveau 3 à 6 sur l’échelle degravité de l’Etablissement Publicde Sécurité Ferroviaire, impli-quant la responsabilité directe del’exploitant) : 308 en 2015, 242 en2016, 136 au 31/08/2017.

SNCF est en transformation constante dans ses modesde fonctionnement, dans ses organisations pour êtretoujours plus performante

«»

1 Établissement public industriel et commercial.2 Trains et autocars de SNCF et des régions de France.

Depuis janvier 2016, cela corres-pond à une réduction de l’ordrede 30 % sur 12 mois glissants(entre le 1/1/2016 et aujourd’hui)pour l’ensemble du GroupePublic Ferroviaire, performancejamais atteinte par le passé, et quiconcerne aussi bien SNCF Réseauque SNCF Mobilités.Il est désormais nécessaire d’en-gager ce programme dans sa2ème étape, qui devra voir unemeilleure intégration de cettenouvelle approche et une appro-priation « terrain » des solutionsPRISME, dans le management auquotidien des établissements.Le second objectif portera sur lamodernisation des outils,méthodes et moyens de pilotagede la sécurité, essentiellement surles thèmes suivants : 1. analyse par les risques2. organisation du retour d’expé-

rience3. simplification de la documen-

tation

Ces sujets devront être davan-tage industrialisés et profession-nalisés, à l’aide d’investissementsimportants, qui toucheront éga -lement les équipements ferro-viaires, qui bénéficieront des

avancées technologiques appor-tées par le digital, les IoT3, le BigData, etc. Il sera par ailleurs indispensabled’assurer une cohérence entrePRISME et le programme ROBUS-TESSE / INFO VOY qu’engage l’en-treprise aujourd’hui. Les perfor-mances en qualité de productionet en sécurité sont intimementliées ; les points de recouvre-ments portent, a minima, sur lessujets systèmes et la transforma-tion managériale.

L. V. : La dimension européennedes transports ferroviairesconcerne aussi le champ de lasécurité avec un nouvel équilibreen cours de mise en place entrel’Agence Européenne de Sécurité(l’ERA) et l’Agence NationaleFrançaise (l’EPSF). Quelles rela-tions entretenez-vous avec cesdeux organismes ?

G. P. : En effet, le 4ème paquetferroviaire de la Commissioneuropéenne, pour son volet tech-nique qui concerne la sécurité,l’interopérabilité et rôle del’Agence, va bouleverser les équi-libres entre cette dernière et lesautorités de sécurité nationales,

et en particulier les rôles dechacun pour les services ferro-viaires internationaux.Concrètement c’est l’Agence qui,dès 2019, délivrera les certificatsde sécurité aux entreprises ferro-viaires opérant des services trans-frontaliers et non plus lesAutorités de sécurité chacunepour leur propre État membre. Ilen sera de même pour l’autorisa-tion de mise en exploitation desvéhicules franchissant les fron-tières ou les équipementsERTMS4 sol pour les gestionnairesd’infrastructure.C’est un bouleversement quiremet totalement à plat les rôleset les responsabilités respectivesde l’Agence, des autorités natio-nales de sécurité d’une part, maiségalement les relations que lesexploitants devront entreteniravec ces mêmes autorités d’autrepart pour obtenir et maintenirleur capacité à opérer les services.SNCF a toujours été active etconstructive en se rendant dispo-

nible pour participer et contri-buer au dialogue et au travailinstitutionnel impulsé par laCommission européenne pour laconception et la mise en placedu 4ème paquet ferroviaire, etensuite à l’ensemble des textesrèglementaires qui en seront lemode d’emploi concret. Il en vade même pour les relations queSNCF entretient avec l’EPSF sur leplan national, comme tous lesautres opérateurs ferroviaires,quand il s’agit d’échanger, de seconcerter, d’évaluer et de prépa-rer l’adaptation nationale de cesnouvelles dispositions euro-péennes.SNCF est en particulier un contri-buteur très actif et reconnu ausein de la CER5 et des EIM6, lesdeux associations profession-nelles européennes reconnuescomme représentatives par laCommission européenne, etaussi au sein de l’UTP7 au niveaunational.


RENCONTRE AVEC ...

3 Internet of Things.4 European Rail Traffic Management System.5 Communauté Européenne du Rail (The Community of European Railway and Infrastructure Companies).6 European Rail Infrastructure Managers.7 Union des Transports Publics et ferroviaires.

RENCONTRE AVEC ...


En résumé, le dialogue entretenua toujours été ouvert et construc-tif aux niveaux européen commenational avec les organismes,même si parfois la discussion aété âpre sur certains désaccords.Il faut noter que sur ce point lasituation de chaque État membrede l’UE est différente aujourd’huiet donc qu’il n’est pas facile deconverger rapidement, et avant2019, sur un mode d’emploicommun préalable à la créationde l’espace unique européenferroviaire qui est l’objectif essen-tiel du 4ème paquet ferroviaire, etdans lequel SNCF se prépare àprendre toute sa place.

L. V. : Il existe au sein de l’EPICSNCF une Direction des Auditsde Sécurité : quel en est le rôle etcomment contribue-t-elle à lamaîtrise du risque Sécurité ? Y a-t-il un « univers d’audit » dans lasécurité d’exploitation et un cyclepour le couvrir ?

G. P. : On l’a vu avec l’une de vosprécédentes questions : SNCF est

en transformation constantedans ses modes de fonctionne-ment, dans ses organisationspour être toujours plus perfor-mante et à l’écoute de ses clientset de son environnement. Lasécurité n’échappe pas à cetteexigence. Je sais aussi que toutesles périodes de transition sontdélicates et qu’elles doivent êtremaîtrisées, notamment lorsqu’onsouhaite faire évoluer la culturesécurité de l’Entreprise.Au moment de la réforme dusystème ferroviaire qui a été miseen œuvre en 2015, j’ai souhaitérenforcer une Direction desAudits de Sécurité, indépen-dante, placée hors structures deproduction, au sein-même de lasphère plus globale « audit etrisques », et travaillant pour l’en-semble du groupe public ferro-viaire. Ce que j’en attends est trèssimple, mais aussi très exigeant.Ce sont essentiellement deuxchoses : qu’elle me donne la vision

permanente de « où on enest » en matière de sécurité. Par

« sécurité », j’entends naturel-lement « sécurité de l’exploita-tion ferroviaire », mais aussi« santé et sécurité au travail »,qui ne sont que les deuxfacettes d’une seule et même« sécurité ». Ces points derepère indispensables permet-tent ainsi à l’ensemble dumanagement de l’entreprisede se positionner et d’engagerles démarches de progrès quien découlent. C’est le domainedes audits de conformité, avecle souci de partager avec lesaudités les écarts les plus signi-ficatifs eu égard à la criticitédes risques associés ;

qu’elle nous interroge enpermanence sur la pertinencede ce que nous faisons. Nosprocessus, nos modes de fonc-tionnement, nos façons defaire…, sont-ils toujours adap-tés à nos objectifs de sécurité ?Prenons-nous suffisammenten compte l’évolution de notreenvironnement ? Que faut-iltransformer et mettre enœuvre pour progresser ? C’est

le domaine des audits de pres-cription.

Depuis plusieurs années, nousavons fait évoluer le systèmed’audits de sécurité, pour lerendre plus accessible et plusprofitable pour l’ensemble dumanagement de l’entreprise. Peuà peu, ces audits sont de plus enplus regardés comme un outil deprogrès, et non plus comme unoutil de sanction. C’est, en l’occur-rence, un catalyseur de la trans-formation culturelle en matièrede sécurité qui est en cours,complémentaire aux actionsengagées notamment enmatière de veille et de contrôle.Notre système d’audits de sécu-rité est ainsi un élément consubs-tantiel du management de lasécurité. Il balaie périodique-ment, selon un cycle conforme ànos exigences de couverture denotre « univers d’audit », l’ensem-ble de notre activité de produc-tion, en insistant désormais plussur les aspects identifiés commeles plus critiques. C’est la mise en

place d’un management pilotépar une identification raisonnéedes risques à couvrir.

L. V. : Pour le grand public, lasécurité est attachée à la protec-tion des biens et des personnes,ce que la SNCF appelle la sûreté.En quoi consiste votre politiquedans ce domaine et comment a-t-elle été renforcée depuis lesattentats ?

G. P. : La menace est présentedans l’esprit de tout le monde ; ilfaut ne pas la sous-estimer etavoir beaucoup d’humilité. Nousdisposons de trois filets de sécu-rité : la présence humaine avec

2800 cheminots de la sûretéferroviaire qui assurent lasurveillance en coopérationavec la Police, la Gendarmerie,les Douanes et les militaires deSentinelle qui font un travailformidable ;

les nouvelles technologies :45 000 caméras en voie dedigitalisation et qui deviennentpeu à peu intelligentes. Laprochaine étape sera de testerdifférents systèmes de recon-naissance de comportementsanormaux ;

la vigilance des clients eux-mêmes conjuguée à celle descheminots : le numéro d’appel

3 117 permet depuis deux ansd’attirer l’attention sur unproblème potentiel, de signa-ler quelque chose d’inquiétantou d’anormal et bien sûr dedéclencher une alerte lorsquec’est nécessaire. Nous ensommes à plus de 13 000appels et SMS dont certains, jepeux vous le révéler, ont ététrès précieux.

L. V. : Depuis plusieurs années, lesentreprises sont confrontées aurisque croissant de cyber attaque.Comment y faites-vous face etquelles sont les grandes lignes devotre politique de sécurité desSystèmes d’Information ?

G. P. : Les cyber attaques sonthélas la contrepartie quasi inévi-table de la digitalisation desentreprises. Nos métiers senumérisent et gagnent enperformance mais ils dévelop-pent aussi une forme de « S.I.dépendance ». Une cyber attaque a doncaujourd’hui des impacts bienconcrets comme l’ont montré lesrécentes cyber attaques destruc-tives de printemps. Elles nous ontfort heureusement épargnéesmais il convient de rester particu-lièrement humbles et toujoursvigilants face à ce phénomène enpleine croissance.

Compte tenu de nos enjeux,nous avons bien sûr dû adapteret renforcer nos dispositifs decyber protection pour luttercontre ce fléau. Nous agissonsactuellement sur 3 dimensions : l’humain, qui est au cœur du

sujet par sa nécessaire sensibi-lisation, son appropriation descodes et outils numériques etson indispensable vigilance.L’humain encore à travers lescompétences de nos expertsspécialistes de la cyber sécuritéqui doivent toujours réactuali-ser leurs connaissances ;

l’organisation de nos processusde fabrication et d’exploitationqui doivent s’adapter pourbien appréhender ce nouveaurisque en intégrant la cybersécurité dès la conception dessystèmes et aussi tout au longde leur cycle de vie ;

l’outillage technologique deprotection informatique quidoit être en permanencerenforcé et réajusté pour resterefficient face à des attaquestoujours plus inventives etpolymorphes. Nous renforçonsnotamment nos moyens dedétection et de réaction surincident car la proactivité estsouvent la clé pour se protégerdes cyber attaques et en limi-ter les impacts.

SNCF est et veut rester un parte-naire de confiance reconnu tantpour la sécurité des données queses clients lui confient que pourcelles de ses salariés. Nous sommes pleinementconscients de la responsabilitéqui nous incombe en la matièreet nous avons déjà mis en placeun comité de gouvernance de ladonnée sans attendre la règle-mentation (GDPR : règlementeuropéen sur la protection desdonnées personnelles applicableen mai 2018) qui va se renforcerau fil des années.

L. V. : Au moment de la créationdu GPF en juin 2015, vous avezfait le choix d’une Directiond’Audit et des Risques (DAR) agis-sant pour le compte des 3 ÉPIC(SNCF, Réseau et Mobilités) etrattachée directement auDirectoire. Quelles en ont été lesraisons ?

G. P. : Nous voulions une fonctionAudit qui exerce son activité entoute indépendance et qui nouspermette d’avoir une assuranceraisonnable sur la maîtrise de l’en-semble des risques liés aux acti-vités du GPF. Raison pour laquellenous avons fait le choix de lapositionner auprès du Directoirepour nous servir d’appui au pilo-tage et éclairer les décisions que


RENCONTRE AVEC ...

RENCONTRE AVEC ...


Patrick Jeantet8 et moi sommesamenés à prendre.Le choix d’une fonction Auditunique répond à une nécessitémajeure : prendre en compte ladimension système de l’entre-prise (une des raisons de laréforme ferroviaire de 2014). Si denombreuses missions relèventd’un seul EPIC (et dans ce cas lesdocuments produits et recom-mandations associées sont réser-vés à la seule attention decelui-ci), plusieurs portent unedimension transverse que l’onsoit sur des process fonctionnels(RH par ex.) ou opérationnels (parex. l’information Voyageurs). Leferroviaire est par essence systé-mique et la question des inter-faces entre le gestionnaired’infrastructure et une entrepriseferroviaire (Mobilités ou autre) estcentrale.Nous avons naturellement veilléau respect des obligations rele-vant de SNCF Réseau au niveaudes facilités essentielles : la charted’audit interne, dont le contenuest commun aux 3 EPIC, fait expli-citement référence au respect deses obligations de non-discrimi-nation et traitement équitable etdéfinit les principes d’organisa-tion garantissant l’étanchéité desinformations confidentielles vis-à-vis de SNCF Mobilités. Le Direc -teur de l’Audit et des Risques estle garant des mesures spéci-fiques prises dans ce domaine, endéclinaison du plan de gestiondes informations confidentielles.Ce choix permet également demutualiser les savoirs et lescompétences, et de capitalisersur des méthodologies et outilscommuns. C’est vrai par exempledes domaines Corporate (finan -ces, achats, gestion…) de l’audit.Cette question des compétencesest essentielle, tant elle estporteuse de performance et decréation de valeur pour les 3 EPIC.Avoir des profils permettant decouvrir tout le spectre des activi-tés et métiers du groupe est unenjeu important.

Le renouvellement de la certifica-tion IFACI de la DAR nous aconfortés dans le bien-fondé decette orientation.

L. V. : Quels avantages voyez-vous au regroupement, sous unmême directeur, des fonctionsaudit interne et maîtrise desrisques ?

G. P. : L’audit a vocation à donnerune assurance raisonnable sur lamaîtrise de nos risques et sur l’ef-ficacité de nos dispositifs decontrôle interne.Les liens entre les deux fonctionssont évidents, les risques de l’en-treprise servant de fondement auprogramme d’audit et les conclu-sions des missions venant enretour confirmer ou infirmer, autravers de l’évaluation des dispo-sitifs de maîtrise en place, l’appré-ciation du management quant àleur criticité.J’attends donc de ce regroupe-ment une plus grande efficacitépar une contribution croisée à la

maîtrise des risques. Le Groupe aidentifié un certain nombre derisques majeurs, dont la maîtriseest une condition de réussitepour la stratégie que nousvoulons mettre en œuvre. L’auditvient apporter un regard objectifsur notre capacité à les maîtriseret formule des axes de progrès,au travers des recommandationsémises.La coordination de ces deuxfonctions est essentielle et le faitd’avoir une Direction Audit etRisques avec un pôle audit et unpôle risques en charge de piloteret animer la démarche de mana-gement des risques du Groupefacilite les synergies et la créationde valeur.Pour autant, et votre questionouvre le sujet de l’indépendancede l’audit, les responsabilités en lamatière sont claires : si la responsa-bilité du pôle Risques au sein de laDAR est en effet d’animer ladémarche d’élaboration des carto-graphies des risques, de définir uncadre méthodologique commun,et de s’assurer de la prise encompte des interfaces, c’est aux

ÉPIC qu’il appartient d’identifierleurs risques, de les évaluer et dedéfinir les plans d’actions à mettreen œuvre en fonction du traite-ment souhaité (mitigation…), ens’appuyant notamment sur lesmissions d’audit. Il nous semble qu’ainsi la DARpeut nous donner, par sa capa-cité à organiser les échangesentre la fonction Audit et le riskmanagement, en toute objecti-vité et de façon éclairée, uneopinion sur le niveau de maîtrisede nos activités.

L. V. : Dans le contexte, en muta-tion, du métier ferroviaire, qu’at-tendez-vous finalement de laDAR, en termes de missions d’as-surance, de conseil ou d’autresmissions spécifiques ? Quel arbi-trage voyez-vous, à des fins demaîtrise des risques par SNCF,

entre la mission classique de visi-bilité rétrospective (analyse desnon-conformités, dysfonctionne-ments…) et de visibilité prospec-tive (identification de signauxd’alerte, risques émergents,accompagnement de projets dechangement, amélioration desperformances, information perti-nente pour une prise de décisionéclairée…) ?

G. P. : Il me paraît important quel’éclairage donné par la DAR à laDirection Générale de l’entreprisesoit objectif et indépendant : c’estce qui lui donne toute sa légiti-mité (au-delà bien sûr descompétences des auditeurs) etcrée la valeur attendue.Notre responsabilité, à PatrickJeantet et à moi-même, est d’êtreen appui et en soutien de la DARsur ce plan.J’attends aussi de la Direction del’Audit qu’elle soit sans complai-sance mais qu’elle soit positive etapporte de la valeur ajoutée aux

entités par : des recommandations opéra-

toires qui puissent être misesen œuvre et suivies,

une information claire etsynthétique sur les principauxconstats et une mise en atten-tion sur les points de fragilité.

Dans un monde incertain, et quise transforme de plus en plusvite, je souhaite que la DAR, etelle le fait, sache faire preuved’agilité et adapte la programma-tion de ses missions aux évène-ments nouveaux auxquelsl’entreprise peut être confrontée.Ce besoin d’agilité doit bien sûrêtre satisfait dans le respectabsolu des fondamentaux del’audit, et notamment desexigences de vos normes profes-sionnelles.Concernant la question de l’arbi-

trage que vous évoquez, l’analyseet l’identification de fragilitésporteuses de risques pour l’entre-prise (efficience d’un processus,management d’un projet, res -pect des exigences de confor-mité) et, sur ce plan, le durcis-sement du contexte réglemen-taire et législatif renforce pour lesentreprises le risque de nonconformité (GDPR, Sapin 2,LPM9…), doivent bien sûr trouverprolongement dans l’élaborationde recommandations permet-tant de mitiger les risques ainsifléchés et de contribuer ainsi à laperformance de l’Entreprise.

Les constats effectués et lesrecommandations formuléesdoivent nous aider à nous proje-ter, à éclairer le chemin que nousavons à prendre et nous sécuriserainsi dans notre capacité à releverles défis qui sont les nôtres et àatteindre ainsi les objectifs straté-giques que nous nous sommesfixés.

J’attends du regroupement, sous un même directeur, desfonctions audit interne et maîtrise des risques une plus grandeefficacité par une contribution croisée à la maîtrise des risques

«»

8 PDG de SNCF Réseau.9 Loi de Programmation Militaire.

À LA DÉCOUVERTE DE...


Revue « Audit, Risques & Contrôle » : Quelssont les rôles respectifs et le mode de fonction-nement de l’ASN (Autorité de la SûretéNucléaire) et de IRSN (Institut de Radio -protection et de Sûreté Nucléaire) ?

Jacques Repussard : Les rôles des deux orga-nismes sont distincts mais très liés. L’ASN, auto-rité administrative, délivre les autorisationsd’exploiter des « installations nucléaires ». Ellefixe les objectifs généraux, prépare la régle-mentation, inspecte les sites nucléaires (civils)

et a le pouvoir de sanction. L’ASN a besoin dusupport scientifique et technique de l’IRSN,parfois dénommé son « bras armé », qui vaévaluer les dossiers de conception, construc-tion et d’exploitation, intervenir en appui auxinspections, examiner les modifications appor-tées à l’installation et analyser les risques quipeuvent affecter sa sûreté. Suite à cette expertise de sûreté, l’IRSN remetson rapport à l’ASN qui le transmet à son tourà l’exploitant, invité à fournir ses commentaires,éventuellement à le « challenger » dans le cadre

d’échanges réunissant l’exploitant, l’ASN, l’IRSNet , pour des sujets majeurs , le groupe d’ex-perts indépendants siégeant de manièrepermanente auprès de l’ASN. Pour disposer, de manière indépendante, desconnaissances scientifiques nécessaires à sonexpertise, l’IRSN consacre environ 40 % de sesressources (environ 300 M€ par an) à larecherche.

AR&C : Quel est le périmètre du domainecouvert par l’ASN et l’ lRSN? Quelles sont lesmodalités de définition et d’organisation desmissions d’inspection ?

J. R. : Le domaine couvert est très vaste. EnFrance, outre les 58 réacteurs nucléaires EDF,les activités du CEA et de l’ANDRA (Agencenationale de gestion des déchets radioactifs), ilenglobe tous les sites utilisant des sourcesradioactives : hôpitaux (scanners, centres deradiothérapie…), industrie, recherche, soitplusieurs centaines d’entités. L’ASN dispose de500 fonctionnaires et l’IRSN compte 1 700 sala-riés. Les exploitants doivent communiquer à l’ASNet l’IRSN les incidents rencontrés, même ceuxrestés sans conséquence. Sur la base de ce

Les spécificités et les enjeux

de la sûreté nucléaire

Clair et pédagogique, cet entretien passionnant nous conduit au cœur de la problé-matique complexe de la sûreté nucléaire à la fois dans le domaine de l’exploitation dela centrale et celui du traitement des déchets radioactifs.

Jacques Repussard, Directeur Général de l'IRSN de 2003 à 2016



retour d’expérience, des thématiques priori-taires se dégagent pour l’élaboration d’un planannuel d’inspection. A titre d’exemples, unthème pourra être axé sur la conformité deséquipements et procédures de lutte contre l’in-cendie, ou sur la radioprotection du personnel. Les inspecteurs établissent leur rapport, qui esttransmis à l’exploitant, avec une « lettre desuite » définissant les actions correctives atten-dues, dont l’efficacité et la pertinence serontévaluées lors de l’inspection suivante.Par ailleurs, la survenue d’un incident sérieuxsur un site, ou la multiplication de petits inci-dents similaires sur plusieurs sites donne lieu àdes inspections dites « réactives ».

AR&C : Quels sont les différents niveauxd’alerte possibles dans l’exploitation d’unecentrale nucléaire et les parades mises en placeen fonction de la gravité du scénario ?

J. R. : L’impératif primordial est d’interdire touteémission radioactive vers l’extérieur (hors rejetsautorisés en fonctionnement normal). Dans cebut, trois barrières de protection sont interpo-sées entre les produits radioactifs et l’environ-nement. Le combustible est enfermé dans unegaine métallique étanche « le crayon ». L’eau derefroidissement et d’échange thermique estconfinée dans un « circuit primaire » à hautepression étanche, le cœur combustible étantprotégé par une cuve en acier très épais.L’ensemble est placé dans un bâtiment deconfinement en général à double paroi (voirfigure, relative à un réacteur à eau pressurisée(REP)).Le concept de sûreté nucléaire s’organiseautour d’une démarche dite de « défense enprofondeur », en cinq niveaux :1-En fonctionnement nominal, les automa-

tismes doivent corriger d’eux-mêmes toutécart, ou le signaler à l’opérateur pour action.

2- La défaillance d’un matériel doit rester sansconséquence pour la sûreté, par exemplegrâce à sa duplication (sauf exceptions : larupture de la cuve, par exemple, est excluedu fait de la qualité de sa fabrication).

3- L’opérateur doit disposer des moyens etprocédures pour ramener le réacteur dansun état sûr si ce dernier est sorti de sondomaine de fonctionnement normal.

4-En cas d’échec, induisant un risque derupture d’une voire des trois barrières, deséquipements et procédures doivent êtreprévus pour éviter autant que possible lesrejets radioactifs vers l’environnement, et entous cas les retarder et les filtrer.

5-En anticipation de possibles rejets radioactifsaccidentels dans l’environnement, l’exploi-tant doit disposer d’un PUI (plan d’urgenceinterne), et la préfecture dispose d’un PPI(plan particulier d’intervention) pour assurerla protection des populations.

Toutes ces procédures font l’objet d’exercicesde simulation réguliers, dans les centrales, auniveau des préfectures et à l’échelon national.

AR&C : Quels sont les enjeux liés à la gestiondes déchets radioactifs ultimes ?

J. R. : L’objectif est, bien entendu, de minimiserla production de déchets radioactifs, et deprévenir les risques d’exposition à leur rayon-nement. Lorsque le combustible usé estdéchargé, il contient encore la majeure partiede l’uranium faiblement enrichi, mélangé avecdes « produits de fission » très radioactifs (pluto-nium et actinides). La France a choisi de mettreen œuvre une technologie de « retraitement »

des combustibles nucléaires, qui permet deséparer chimiquement l’uranium, qui est recy-clé, le plutonium qui sert à la fabrication ducombustible dit « MOX1 », économisant ainsil’uranium, et les actinides qui sont des déchetsultimes très radioactifs. Au plan international,les déchets sont classés en trois catégories : les déchets « A » de faible activité, contenant

très peu d’éléments avec une périoderadioactive (dite « demi-vie ») supérieure à30 ans ;

les déchets « B » d’activité faible oumoyenne, contenant des éléments à vielongue ;

les déchets « C » de haute activité, issus descombustibles nucléaires.

Les déchets de moyenne activité à vie longueet de haute activité doivent être confinés pourdes durées se chiffrant en dizaines de millé-naires. L’industrie nucléaire produit l’essentiel desdéchets B et C, et A, ces derniers comportantaussi les déchets radioactifs des hôpitaux(médecine nucléaire).

AR&C :Quels sont les enseignements tirés destrois catastrophes majeures (Three Mile Island1979, Tchernobyl 1986 et Fukushima 2011) ?

J. R. : La première catastrophe, classée auniveau 5 (sur 7) de l’échelle internationale desévénements nucléaires (INES), résulte de laperte de contrôle d’un réacteur et de la fusionpartielle du cœur combustible qui a suivi, unscénario jugé impossible par les concepteurset donc inédit pour les opérateurs. L’accidentest un « coup de tonnerre » pour les acteurs del’industrie nucléaire. Cet accident très grave,mais heureusement sans rejets importantsdans l’environnement a conduit à la créationde l’IRSN (à l’époque entité au sein du CEA) età une révision en profondeur des modesopératoires dans les centrales nucléaires.

Pour Tchernobyl, les autorités soviétiquesavaient ordonné, pour des raisons politiques àla veille du premier mai 1986, l’exécution de ladernière étape des essais du réacteur « flam-bant neuf » alors que le cœur combustible dece dernier était dans un état neutroniqueincompatible avec la sécurité de la séquenced’essai. Cet accident, classé au niveau 7, le plusélevé de l’échelle INES, a conduit à trois évolu-tions importantes : une convention internationale a été adop-

tée par les pays nucléaires, qui les contraintsà notifier sans délai tout accident susceptiblede conduire à une pollution radioactive de

8 Mélange d’Oxydes.Schéma d'une centrale nucléaire



l’environnement ; les autorités de sûreté ont vu leurs missions

et leur indépendance renforcées ; la recherche a permis de mieux comprendre

les effets sur l’environnement, l’agriculture etla santé de pollutions radioactives à grandeéchelle.

Enfin, pour la centrale de Fukushima, la pertede contrôle a résulté de la paralysie des dispo-sitifs de refroidissement du réacteur, en raisonde l’interruption (« Station Black-Out »), causéepar le séisme suivi du tsunami, de l’alimenta-tion en énergie et en eau de la centrale. Une leçon essentielle tirée de cet accident,également classé au niveau 7 de l’échelle INES,est la nécessité de prendre en compte le risque,même très improbable, d’une sollicitation(séisme, tsunami, inondation…) dont l’ampleurdépasse le niveau de résistance pour lequel lacentrale a été conçue selon l’état des connais-sances scientifiques et techniques plus de 40ans plus tôt. En France, cela se traduit actuelle-ment par l’adjonction de dispositifs ultimes desûreté capables de fonctionner même dans cesconditions extrêmes. C’est le concept du« noyau dur » de sureté imaginé par l’IRSN.

AR&C : Quels sont les apports de l’EPR(European Pressurized Reactor) réacteur denouvelle génération ?

J. R. : Les avancées sont très significatives dansplusieurs domaines : l’augmentation de la puissance unitaire des

réacteurs de 1400 à 1650 MW, soit une chau-dière nucléaire de plus de 5000 MW ther-miques ;

l’installation de 4 générateurs de vapeurdotés de systèmes autonomes, permettantleur maintenance avec le réacteur en service,donc un meilleur rendement ;

une radioprotection plus efficace ; une double enceinte de protection, calculée

pour résister aux chutes d’avions commer-ciaux, non seulement pour le réacteur maisaussi pour la piscine à combustible et lessystèmes de secours ;

la réduction des déchets radioactifs.

AR&C :Quels sont à votre avis les similitudes etles différences dans la démarche et les qualitésde l’inspecteur IRSN /ASN et celle de l’auditeurinterne ?

J. R. : Il convient de prendre ma réponse avecprécaution car ma perception de la démarchedes auditeurs internes est celle d’un observa-teur extérieur. Pour moi les mêmes qualités sont requises enmatière de rigueur dans les vérifications deconformité, la mise à jour des éventuels dysfonc-tionnements, les analyses causales et dans la

pertinence et le pragmatisme des recomman-dations. Ils doivent aussi être de très bonscommunicants, pour obtenir le meilleur accès àl’information et expliquer leurs positions. En revanche, je perçois des différences dans lesphases amont et la planification des missions.La cartographie des risques est standardiséemais évolutive pour les centrales nucléaires quidisposent de dossiers de sûreté réglementairestrès détaillés alors qu’elle est spécifique àchaque entreprise ou organisation. Dans ledomaine nucléaire l’élaboration du plan annueld’inspection suit une approche largementthématique alors que dans les entreprises leplan d’audit est « sur mesure » et repose surchaque cartographie des risques.

Propos recueillis par Christian Lesné, membre du comité derédaction

À propos de l’auteur

Jacques Repussard a une formation d’ingé-nieur (Ecole Polytechnique, corps des Mines etPonts & Chaussées). Tout d’abord en poste auministère de l’industrie, puis directeur adjoint del’AFNOR, il devient Secrétaire Général du ComitéEuropéen de Normalisation (CEN) à Bruxelles. En1997, il prend la direction de l’INERIS (InstitutNational de l’Environnement Industriel et desrisques), puis de l’IRSN de 2003 à 2016.

POINT DE VUE


Rien n’est plus important que de sebattre pour sauver des vies de travail-leurs et de riverains qui pourraientêtre brisées par une gestion impru-

dente des entreprises. Et il faut bien admettreque trop de vies sont encore brisées, avec desindustries opérant encore à des niveaux derisque inacceptables.

Pour autant, le comportement de l’objet« sécurité » reste particulier, sans doute tropbrouillé par l’émotion et la compassion enversles victimes, au point de ne pas assez lire uncertain nombre de fondamentaux qui en diri-gent le domaine. Ce texte se risque à cettelecture plus factuelle des comportementsindustriels sur le thème, en ce qu’ils ont de

bon et de moins bon, non pas pour en réduireou banaliser l’impact, mais au contraire pourchercher des solutions qui améliorent encorela sécurité tout en étant réalistes dans leurdéploiement.

La sécurité : un risque parmid’autres

L’essence même de l’entreprise – et il en estégalement ainsi de presque tout individucomme de la société – est de d’abordproduire un bien ou un service pour exister,survivre, se développer et s’épanouir.Le piège fondamental de l’entrée dans lediscours sur la sécurité serait de la considéreren silo, comme un risque à part, ce qu’ellen’est pas. Si l’on raisonne en gestion des risques poursoi comme pour l’entreprise, il existe biend’autres risques qu’un accident pour « tuer »une entreprise plus définitivement : ne pasproduire en temps et en qualité et avoir desclients insatisfaits qui vous quittent, ne plustrouver de marché de vente au prix quipermet la survie, ne plus être compétitif, nepas correspondre au marché de l’emploi, ne

est-elle un art du compromis ?

Malgré l’impact psychologique que le terme « sécurité » engendre, il s’agit d’un risque…parmi d’autres, qui interagissent voire peuvent provoquer un effet domino dans l’en-semble de l’organisation. Maîtriser le risque sécurité implique de placer des « barrières » efficaces sur son cheminde propagation.Mais surtout, quels indicateurs pertinents de pilotage sont-ils nécessaires pour surveillerproactivement la traque des défaillances de sécurité ? La gouvernance de la sécuriténécessite une vigilance toujours renouvelée, aucun système complexe n’étant jamaisni totalement ni définitivement sûr. Sa réussite nécessite un art du compromis, un arbi-trage subtil, notamment entre la sécurité « réglée » et la sécurité « gérée ».

René Amalberti, MD, PhD, Prof, Directeur, Foncsi1

La sécuritéindustrielle

1 Fondation pour une culture de sécurité industrielle.


POINT DE VUE

pas pouvoir financer les investissementsnécessaires, ou s’endetter sans espoir, entrerdans une crise sociale incontrôlable et unclimat délétère de perte de confiance. Certes,avoir des accidents avec leurs redoutablesconséquences médiatiques peut aussi tuerl’entreprise, mais finalement ces accidentsn’appartiennent qu’à une longue liste demalheurs. Une erreur commune serait mêmede considérer qu’ils sont une issue à tous lesproblèmes précédents, comme si d’unproblème financier ou social résultait forcé-ment et nécessairement un accident. C’estpossible, mais sans certitude. Tous les risquescités peuvent percoler et, par effet domino,partir d’une catégorie (finance, sécurité,production, climat social) pour fragiliser lesystème dans son ensemble.

Si l’on devait écrire une histoire de la propa-gation du risque final, d’un dernier dominocommun redouté, c’est plutôt la fermeturedéfinitive de l’activité industrielle qui serait cedernier domino. Pire encore, ce serait la conta-

mination ultime menant à la fermeture detoutes les activités de toutes les entreprisesdu même secteur (par exemple la fermeturedu nucléaire et non d’une centrale précise).

En quelque sorte, recentrer la lecture durisque sécurité dans l’histoire de l’entrepriseen fait seulement une étape, éventuellementrépétée, évidemment pas indépendante desautres risques, et dont la lecture doit se fairedans le temps et non dans la photographieinstantanée. La gestion du post-accident estpresque aussi importante en matière derisque sécurité que la gestion du pré-accident,dans la mesure où le véritable contrôle durisque est celui qui casse le chemin vers ledomino final de la fermeture et du renonce-ment à l’activité.

La sécurité : un risque consentipour maximiser d’autresbénéfices

Il n’y a pas de vie industrielle (et individuelle)longue sans prise de risque. Une politiqueexcessivement prudente, ne s’exposant àaucune audace dans aucun secteur, ne peutparadoxalement avec le temps qu’augmenterles risques d’insuccès commercial et de

déroute financière. Là encore, le temps est lebon prisme de lecture : ce qui a fait le succèsdu passé construit rarement le succès dufutur. Les environnements et les contextesévoluent, le marché de la demande et celuide la technologie innovante changent lesdonnes, la concurrence aussi. Sans oublierque l’exposition à une certaine audace, quis’adapte selon le contexte, porte la richessede l’apprentissage et de la sagesse.Pour le dire autrement, quand on étudie lasécurité, on cherche cette alchimie mysté-rieuse qui écoperait l’eau d’un bateau prenantvolontairement l’eau. Car la sécurité, c’estd’abord ce paradoxe : elle ne fait pas vivre l’en-treprise ; on l’invoque quand on a déjà pris lesrisques pour d’autres objectifs qui lui sonttoujours supérieurs.

La sécurité et l’étrangesingularité de ses indicateurs

La sécurité est un domaine très singulier, dontla demande augmente quand elle ne sait plus

se mesurer. Les indicateurs de sécurité sontparmi les rares indicateurs de l’entreprise dontl’objectif est de ne pas croître ; ils ne doiventque descendre, pour atteindre le zéromythique.

Le début de l’industrie est toujours synonymed’un taux élevé de problèmes, aisé à mesurerpar des indicateurs grossiers (taux d’accidentssur les installations et d’accidents du travailavec un certain niveau de gravité). Le retourd’expérience et les actions de préventionsuccessives n’ont pour but que d’amenerprogressivement ces indicateurs vers zéro.

Bien sûr, ce chemin vers zéro est à lire avec l’in-dicateur choisi. Il peut demander des annéeset se répète presque éternellement dans la viede l’entreprise en choisissant de nouveauxindicateurs. Ainsi par exemple, l’indicateur detaux d’accident touchant le cœur des réac-teurs du parc nucléaire français est à zéro, maisbien d’autres taux d’incidents dans le nucléairene sont pas encore à zéro, loin s’en faut.

Le changement successif d’indicateurs parve-nus à la valeur zéro s’explique par le fait quela valeur zéro ne permet plus un pilotagedémontrable du risque sécurité. Les indica-

teurs à zéro perdent leur intérêt, et on se metalors à rechercher de nouveaux indicateursplus sensibles et encore positifs.

Dans ce chemin de recherche des indicateurspositifs, on fait aussi facilement des interpré-tations inclusives du domaine de la sécurité.On assimile par exemple assez facilement laperte de productivité à des incidents quiretombent dans le comptage direct de lasécurité parce qu’ils ont en dénominateurcommun des comportements inadéquats etdes erreurs. Ces nouveaux indicateurs, trèspositifs au départ, sont aussi d’excellentesjustifications à de nouvelles mesures deman-dées par les responsables de la sécurité. Pourfaire « parler » la sécurité, on ajoute des indi-cateurs sur les incidents moins graves, voiremineurs, puis sur les presque-accidents etincidents, puis sur les erreurs, et enfin sur deséléments encore plus complexes et moinsomniprésents en quittant l’immédiat constatéet le lien facile avec l’exercice du travail (arrêtsde travail des personnels et de l’installation,dommages directs constatés). On passe alorsà des indicateurs dont le lien au réel estincarné dans un modèle statistique du futur,comme l’exposition cumulée à des conditionsde travail qui conduit à un risque statistique

Le piège fondamental de l’entrée dans le discourssur la sécurité serait de la considérer en silo,comme un risque à part, ce qu’elle n’est pas

«»

POINT DE VUE


de maladie aux conséquences préjudiciablespour la personne en termes de raccourcisse-ment de durée de vie ou d’impact pour lestiers absents des générations futures.

La destinée de tous les indicateurs de sécu-rité est de tendre vers zéro. Et la tendanceau zéro devient aussi un chiffre inadapté àla gouvernance de la sécurité, avec uneperte d’influence dans les arbitrages d’unedirection HSE qui aurait « atteint » sonobjectif assigné, une espèce de « suffi-sance » de la mission qui lui a été confiée. Ilpeut même en résulter des freins à unecontinuité d’investissements internes sur cedomaine, et des freins à une confiance(externe) des citoyens et des tutelles quiréagissent très fortement à toute réappari-tion d’incident.

La réussite de la gouvernance de la sécuriténécessite donc de recréer continuellementune menace qu’on contrôle bien, de la rendrevisible, pour justifier de son importance, pourqu’on progresse, et pour éviter de se ranger àune image « d’abandon ». Le toujours plus –au risque d’être peu pertinent dans ce quel’on montre et mesure – devient la seuleréponse acceptée. On invente de nouvelles

mesures que l’on va pouvoir à nouveau fairetendre vers zéro pour rassurer les observa-teurs de son travail et défendre son bilan etses investissements (de sécurité) face à d’au-tres priorités de l’entreprise.

La sécurité finit par se piégerà son propre jeu

La thèse d’une sécurité qui sécrète progressi-vement sa propre mort n’est pas neuve(Perrow, 1984). Elle reflète cette rechercheobsessionnelle, administrative, de la réductionet de la suppression de tous les risques visi-bles – avec tous les changements successifsd’indicateurs déjà évoqués précédemmentdans la vie de l’entreprise – et finit par avoirplusieurs effets pervers : La réduction de tous les indicateurs de

sécurité vers zéro devient une routinerassurante, avec un risque « d’endormisse-ment » de la vigilance pour l’émergence denouvelles questions de sécurité. Le futur dela sécurité devient entièrement encapsuléet décrit par les succès du passé, et laremise en question devient trop rare alorsque le monde change rapidement autour.

On assiste à une logique de saturationadministrative de sécurité par cumul de

décisions dans le temps, dont on ne saitplus lesquelles sont efficaces, et pourlesquelles il n’y a jamais de nettoyagepuisqu’on ne sait plus évaluer distincte-ment la causalité entre action et résultat(Amalberti, 2001).

Pire, plus le risque est réduit et bienmaîtrisé, plus la compréhension et lamaîtrise des risques résiduels ne se mesu-rent plus par des variables quantitatives(fréquences, conséquences médicales etsur les installations, coûts associés), si fami-lières aux ingénieurs et si propres auxmilieux professionnels. Elles se mesurentencore, mais par des variables qualitativespropres au ressenti du grand public (peurs,opinions radicalisées, intolérances, crise dela science et dénonciation des experts),gérées par un monde de compétences« molles » psychologiques et sociologiques.

Pour le dire autrement, la réassurance tech-nico-administrative progressive qui noushabite depuis 30 ans en matière de sécuritéa porté ses fruits (la sécurité s’est considéra-blement améliorée) mais a fini par « enfer-mer » le système et ses experts dans unesolution sans avenir. Elle n’empêche jamaisl’accident rare, car aucun système n’est tota-


POINT DE VUE

lement sûr, et elle finit même par générer cetaccident rare par sur-confiance et vision tropétroite du risque. De plus, les conséquencesde « ce dernier accident » sont toujours plusgraves que les accidents précédents, car ilarrive dans un ciel serein. On parle parfois debig-one (Amalberti, 2001, 2012), car la sanc-tion qui va suivre « ce dernier accident » esttotalement disproportionnée eu égard à lasévérité objective de l’accident, et va souvententraîner la fin de ce cycle industriel et lepassage à un autre cycle.

Vers de nouvelles « portes desorties » théoriques

On l’aura compris, les théories classiques surla sécurité n’ont plus de potentiel pour gérerla complexité du risque résiduel auquel nousdevons faire face. Le défi est difficile car noussortons de trois décades de succès avec lesmodèles et théories que nous avonsemployés. Mais ils se sont épuisés avec uncontexte qui change. Pour prendre une méta-

phore médicale, « c’est comme si l’on conti-nuait à soigner un vieillard avec les solutionsqui ont été très efficaces dans les 40 ansprécédant la fleur de l’âge. Ces solutions vontplutôt tuer le vieillard si on persiste ».

Paradoxe, paradoxe, notre excellence dupassé a créé un nouveau contexte (devenirultra sûr) qui ne peut plus progresser avecles recettes du passé, et peut même générersa propre mort si on insiste.

Un nouvel espace théorique du pilotage de lasécurité doit se dessiner. Il relève sans douted’un art de compromis (Amalberti, 2012), quiest double : un compromis de l’exposition auxmultiples formes de risques acceptés pour lebénéfice de l’entreprise, souvent antagonistesles uns avec les autres ; et un compromis deréalisme, en ayant conscience qu’une grandepartie de la réussite du pilotage du risquerepose sur le résultat des arbitrages et desjeux de rôle des directeurs à la table de négo-ciation (Comité Exécutif et Comité deDirection), à tous les étages de l’entreprise,avec ses codes, ses contraintes, et toutes lesconséquences, culture et impulsions pour le

management de proximité. L’augmentation de la sécurité réglée, impo-sée par les règlements, se fait forcément auprix d’une rigidité accrue, d’une volonté destandardisation immense des techniques etdes hommes, et généralement d’une adapta-tion moins grande des opérateurs auxsurprises (impact négatif sur la sécurité gérée,basée sur l’expertise des opérateurs et quel’on peut associer à l’idée de résilience).

L’art de l’intervention de sécurité réussieconsiste à régler – collectivement, dans lesinstances de direction, à tous les étages dutop management jusqu’au management deproximité – le compromis et les arbitragesentre le bénéfice de cette sécurité réglée et laperte qui va en résulter pour la sécurité gérée.

À l’échelon individuel et du managementde proximité, on parle de compromis« micro-centré ». Il s’agit d’établir en perma-nence un équilibre entre ce que l’on veutfaire (représentation mentale), et ce que

l’on peut faire ici et maintenant, comptetenu de ses ressources disponibles, ycompris de sa limitation d’une perceptionrationnelle du monde environnant. Cecompromis renvoie à un des dernierspoints particulièrement méconnus de lapsychologie humaine car il mobilise l’en-semble du contrôle intellectuel et se trouvenaturellement labile et révisable. Ainsi, iléchappe à la plupart des méthodologiesd’étude de la psychologie traditionnelle quipostulent une certaine stabilité pour captu-rer et mesurer une capacité intellectuellede base (mémoire, attention, vigilance, etc.).Ceci dit, la psychologie a beaucoupprogressé et, à défaut de caractériser leréglage du compromis cognitif à chaqueinstant, on sait aujourd’hui caractériser lesvariables qui le modulent en temps quasiréel.

Le second compromis, « macro-centré »,porte sur les arbitrages quotidiens entreperformance (de tout ordre), climat socialet sécurité dans le pilotage du risque auniveau de la gouvernance de l’entreprise.Dans la majorité des cas, ce ne sont pas les

compromis qui sont coupables – car ilssont souvent consensuels entre directeurs,et décidés pour le bien de l’entreprise –,mais ce sont les conséquences non maîtri-sées de ces compromis qui deviennent lasource la plus grande de risque. C’estcomme si on décidait de venir à cesréunions avec un plan idéal (de sécurité, oude finance, construit comme idéal, un« tigre en papier » de ses troupes spéciali-sées) et qu’on sorte de la réunion presqueavec l’impossibilité de l’appliquer. Dans laplupart des cas, il n’y a pas de travail sur lerenoncement, sur sa signification pour laconduite réelle des opérations, ni d’explica-tion aux managers sur ce qui change, ni deconstruction d’un plan B dégradé. C’estl’absence de plan B réaliste qui en généralva provoquer le vrai risque, et non l’insuffi-sance du plan idéal « tigre de papier »concocté par les troupes spécialisées.Construire les plans B dégradés devientl’objectif de la maîtrise du compromis,mais on en est souvent loin, car les plansB sont tabous. Les stratégies d’interven-tions doivent ainsi significativement varierdans les méthodes et les outils en fonctiondu niveau de sécurité de l’entreprise, desdécisions de sacrifice assumées pour lebien de l’entreprise. On peut aujourd’huiapprendre à mieux réaliser ces compromisavec une aide théorique et méthodolo-gique ; des formations sont notammentapparues (Icsi, Institut pour la Culture deSécurité Industrielle, 2017).

Paradoxe, paradoxe, notre excellence du passé a créé un nouveau contexte (devenir ultra sûr)qui ne peut plus progresser avec les recettes du passé, et peut même générer sa propre mortsi on insiste

«»

Pour aller plus loin1. Amalberti, R.The paradoxes of almost totally safe transpor-

tation systems. Safety Science, 2001, 37,109-126. 2. Amalberti, R. La conduite de systèmes à risques. Paris :

Presses Universitaires de France, 1996, 2e ed 20013. Amalberti R. Piloter la sécurité: théories et pratiques sur les

compromis nécessaires, Springer: Paris, 2012, traductionanglaise, espagnole, portugaise

4. Amalberti R. Les illusions d’un concept séduisant : signauxfaibles et sécurité pragmatique, in Ed. T. Portal, C. Roux-Dufort,Prévenir les crises : ces cassandres qu’il faut savoir écouter,A. Colin Paris, 2013, 280-288

5. Amalberti, R.Optimum system safety and optimum systemresilience: agonist or antagonists concepts? In E. Hollnagel,D. Woods, N. Levison, Resilience engineering : concepts andprecepts, Aldershot, England: Ashgate, 2006: 238-256

6. Gilbert, C., Amalberti, R., Laroche H., Pariès, J. Toward anew paradigm for error and failures, Journal of risk Research,2007, 10:7, 959 - 975

7. Hoc, J.M., Amalberti, R., Cognitive control dynamics forreaching a satisfying performance in complex dynamicsituations, Journal of cognitive engineering and decisionmaking,2007, 1:,22-55

8. Morel, G. Amalberti, R. Chauvin, C. Articulating the differencesbetween safety and resilience: the decision-making of profes-sional sea fishing skippers, Human factors, 2008, 1, 1-16

9. Perrow, C., Normal accidents, living with high risk techno-logies, New-York basic books, 1984

10. Polet, P., Vanderhaegen, F., Amalberti, R. Modelling theBorder line tolerated conditions of use, Safety Science 2003,41(1): 111-136.

11. Vincent C., Amalberti R., Safer healthcare : strategies for thereal world, Springer, 2016, traductions espagnole, portugaise,japonaise, chinoise.

La prévention des risques relatifs à la sécuritéet à la sûretéUne priorité pour l’audit interne de Michelin

33

Sécurité, SûretéLes entreprises face à leurs obligations30

La gestion de la sûretéDe l'émergence du risque de sûreté à son managementdans le périmètre des sociétés intermédiairesinternationales

41

Sûreté et sécurité chez SodexoQuel rôle pour l'audit interne ?36

SÉCURITÉ / SÛRETÉLe rôle de l’auditeur interne

Le système de management de la sûreté de Schneider Electric44

Cartographie des risques de malveillancePourquoi ? Comment ?46

DOSSIER



SÉCURITÉ / SÛRETÉ

La responsabilité de l’entreprise faceaux enjeux de sécurité et de sûretés’est considérablement accrue aucours des quinze dernières années. À

l’origine de cet accroissement, deux crisesmajeures : la crise de l’amiante en matière desécurité et les attaques terroristes dans lemonde en matière de sûreté, à partir du 11

septembre 2001. Par sécurité, il convient d’en-tendre la gestion des risques non intention-nels, c’est-à-dire accidentels, et plusparticulièrement tout ce qui relève dudomaine de l’hygiène et de la sécurité autravail ; par sûreté, il faut entendre la gestiondes actes de malveillance (terrorisme, actecriminel tel que le vol ou encore des actes

internes de malveillance comme la fraude).Ainsi trouve-t-on au sein des entreprises, desdirections sécurité et des directions sûretépour gérer ces problématiques ou des dépar-tements qui peuvent faire « office de »,comme l’audit interne ou le management desrisques. Précision qui a son importance avantd’entrer dans le vif du sujet, il est possible detrouver au sein de certains secteurs des direc-tions qui ont la dénomination de directionsécurité alors qu’elles ont en charge la gestionde la malveillance, comme c’est le cas dans lesecteur nucléaire ou des directions sécuritéqui gèrent les deux problématiques en mêmetemps.

L’émergence de ce thème est autant attribua-ble à la montée des menaces (actes criminels,délictuels ou terroristes) qu’à la nécessité pourl’entreprise d’assumer ses responsabilités.Dans cette perspective, cette responsabilitéest abordée à la fois au civil et au pénal. AuCivil tout d’abord, en particulier avec les arti-cles 1240 et 1241. L’article 1241 du Code civilstipule que « chacun est responsable dudommage qu’il a causé non seulement par

Sécurité,Sûreté

Face aux enjeux croissants de sécurité et sûreté, l’auteur souligne la responsabilité desentreprises dans la protection de son personnel et de ses actifs ainsi que le rôle déter-minant de l’audit interne dans cette démarche.

Olivier Hassid, Directeur, PwCExpert sécurité sûreté

Les entreprises face à leurs obligations



son fait, mais encore par sa négligence et sonimprudence ». Dans ces conditions, le diri-geant a pour devoir de réaliser des audits afinde recenser les cas dans lesquels il peut enga-ger sa responsabilité civile et éventuellementpénale en que tant mandataire social. AuPénal ensuite, en effet, si la juridiction civilefacilite la mise en cause des entreprises pourdéfaut de protection, ces dernières ne sontpas à l’abri de poursuites pénales sur le fonde-ment d’infractions visées par le Code pénal :homicide par imprudence, blessures involon-taires, mise en danger de la vie d’autrui… Demanière générale, il convient de rappeler que« L'employeur prend les mesures nécessairespour assurer la sécurité et protéger la santéphysique et mentale des travailleurs » (articleL4121-1 du Code du travail).

La responsabilité juridique des entreprises enmatière de sûreté est souvent minimisée,voire méconnue. Elle s’est pourtant considé-rablement accrue avec l’internationalisationdes entreprises. Dans ce contexte, le devoir deprotection – le duty of care – est devenu uneobligation majeure pour les entreprises enFrance comme partout ailleurs. Il convient eneffet de protéger la santé, la sécurité et lasûreté des collaborateurs. Le devoir de protec-tion qui se rapproche du principe de précau-tion impose aux entreprises de garantir entreautres la sécurité des voyageurs d’affaire, celledes expatriés et donc la sécurité de leurstrajets et de leur logement.

Force est de constater dans ce contexte queles directions de l’audit interne ont un rôleimportant pour contribuer à protéger l’entre-prise, ses dirigeants, ses salariés et de manièregénérale l’ensemble des actifs. Réaliser desaudits de sécurité et de sûreté est devenuaussi indispensable que d’effectuer des auditsfinanciers. S’assurer que l’entreprise est correc-tement armée face aux menaces qui l’entou-rent est nécessaire. Identifier les vulnérabilitésest également devenu indispensable. Celaconsiste à identifier les points les plus expo-sés, les maillons les plus faibles, les élémentsdont tous les autres dépendent. Cette analysese traduit, par exemple, pour une compagniemaritime par le besoin de prévenir les risquesd’intrusion et de malveillance qui porteraientatteinte à la navigation de la flotte, à la sécu-rité des passagers, de l’équipage et des bienstransportés ainsi qu’à l’organisation et auxsystèmes de l’entreprise.

L’identification des risques permet alors demettre en place le plan de protection et deprévention adapté. Les éléments devant êtreconsidérés pour l’élaboration du plan d’actionseront alors :

Club des Directeurs de Sécurité des Entreprises (CDSE)

Créé il y a plus de 30 ans, le Club des Directeurs de Sécurité des Entreprises (CDSE)1

est un club qui réunit plus de 120 grandes entreprises issues de 47 secteurs d’acti-vités différent2.

Le CDSE constitue un espace d’échanges entre acteurs de lasécurité/sûreté14 commissions de travail thématiques réunissent les membres autour de thèmesdivers : la sécurité des salariés à l’étranger, la protection des installations, la protectionde l’information, la fraude, l’intelligence économique, la gestion de crise, la radicalisa-tion, l’emploi et la formation, la cybersécurité ou encore le CDSE « jeunes cadres » (àdestination des collaborateurs de 25 à 40 ans)… Ces commissions permettent aux participants d’échanger en toute confidentialité surces sujets, d’organiser des retex3, de rencontrer des experts de haut niveau mais ausside participer à la production de livrables qui sont ensuite diffusés dans les entreprisespour faire progresser la culture sûreté (cahier technique sur l’utilisation des drones,passeport sur l’utilisation des moyens de chiffrement à l’étranger, e-learning sur lafraude au président…).

Mais il est également un espace de réflexion au service desentreprisesLe CDSE est à l’avant-garde des réflexions sur la sécurité et la sûreté. Cela se traduit parde nombreuses publications (enquêtes, sondages, working papers) et une trentained’événements annuels (colloques, petits-déjeuners, séminaires, débats…).

Qui assure une diffusion de la connaissance en matière desécuritéLe CDSE s’efforce de faire évoluer le regard des décideurs sur la fonction sécurité, tantauprès des autorités publiques que des responsables d’entreprises. La revue trimes-trielle Sécurité & Stratégie, créée en 2009 en partenariat avec la DocumentationFrançaise diffuse la culture « sécurité / sûreté » et donne corps au débat d’idées entreprofessionnels du métier, hauts fonctionnaires et universitaires…

Enfin, il est force de proposition auprès des pouvoirs publicsLe CDSE a établi des partenariats avec les Services du Premier Ministre (SGDSN etANSSI), le Ministère de l’Intérieur (Directions Générales de la Police et de la Gendarmerienationales, DGSI4, PJ, DCI5, OCLTIC6, OCRGDF7…), le Ministère de l’Economie (Servicede l’Information Stratégique et de la Sécurité Economiques), le Ministère de la Défenseet le Centre de crise du Ministère des Affaires Etrangères. Une convention de coopé-ration a été définie avec ce dernier afin de mieux coordonner la sécurité des expatriésfrançais. Ces partenariats permettent à la fois de disposer de guichets uniques au seinde chacune des administrations et de bénéficier d’analyses pointues de leurs experts.

A noter :Depuis un an, le CDSE accueille les PME et ETI sans considération de taille d’entreprise.Cette décision, actée lors de l’assemblée générale de 2016, permet de réaffirmer lesvaleurs de partage et d’échanges, inscrites dans l’ADN du Club. Depuis un mois, le Club s’est également ouvert au secteur public et aux collectivitésterritoriales, et a déjà été rejoint par deux d’entre elles.

1 Stéphane Volant (secrétaire général de la SNCF) est le nouveau Président du CDSE ; il a succédé en octobre2017 à Alain Juillet et François Roussely.

2 Répartition réalisée à partir de la nomenclature d'activités française révision 2 (NAF rév. 2, 2008) sur la basedu découpage en 88 catégories.

3 Retours d’expérience.4 Direction Générale de la Sécurité Intérieure. 5 Défense Conseil International. 6 Office Central de Lutte contre la criminalité liée aux Technologies de l’Information et de la Communication.7 Office Central pour la Répression de la Grande Délinquance Financière.



1- la réduction des vulnérabilités. Le plan d’ac-tion indiquera les axes à mettre en œuvreconduisant à maîtriser les vulnérabilitésidentifiées et évaluées. Il intègrera lesmodalités garantissant la fiabilité et lapérennité des parades existantes ;

2- l’évaluation de conformité à la réglementa-tion et aux exigences spécifiques quipeuvent varier d’un secteur à l’autre.

L’audit peut également avoir comme autrefonction, celle d’évaluer la fonction sécurité,sûreté au sein de l’entreprise, en particulier surle plan de l’éthique. La direction sûreté a pourmission de protéger les biens et lespersonnes, elle peut aussi avoir une fonctionde surveillance qui peut être source de dérive.Ainsi certaines de ces directions ont défrayéla chronique pour avoir surveillé des collabo-rateurs à leur insu ou pour avoir eu despratiques frauduleuses. Pour éviter touteinitiative illégale ou non éthique, l’audit peutévaluer l’intégrité des pratiques de sa direc-tion sûreté afin de la faire progresser.

Le cadre de réalisation des audits internes enmatière de sûreté se rapproche des procé-dures d’audits de management dans d’autresdomaines (qualité, environnement, etc.).L’organisation met en place un processus

d’audit et de qualification des auditeurs dansl’esprit des dispositions décrites dans la normeISO 19011 relative aux audits de systèmes demanagement de la qualité. La responsabilitéde la réalisation des audits internes peut êtreconfiée à des membres du personnel de l’or-ganisme ou à des personnes extérieures. Undes points cruciaux sera alors de s’assurer à lafois des compétences de l’auditeur en lamatière et de son impartialité. Si la réalisationd’audits conduit l’auditeur à avoir accès à desinformations sensibles; il devra alors être, sinécessaire, dûment habilité et, dans certainscas, bénéficier d’une habilitation « secretdéfense » ou « confidentiel défense »1.

Ce type de mission rapidement décrit, estessentiel mais encore peu développé dans denombreuses entreprises. Pour avoir interrogénombre de directeurs d’audit interne et dedirecteurs sûreté, il ressort encore que raressont les entreprises matures qui ont défini unplan d’audit qui intègre cette dimension sécu-rité-sûreté. A l’époque actuelle, un change-ment est en train de s’opérer. Certainesdirections sûreté demandent l’appui de l’auditinterne pour renforcer le niveau de sûreté etl’audit interne demande aux experts dumétier de les aider à bâtir des référentielsrobustes en la matière. C’est une bonne

chose. Le département sûreté seul ne peutpas protéger le patrimoine de l’entreprise. Ildoit être aidé et la direction de l’audit internedoit être en première ligne. En 1997, MichaelPowell écrivait dans son livre « The AuditSociety: Rituals of Verification » que nousentrions dans une société où l’audit se géné-ralisait. Vingt ans plus tard, on peut alors êtresurpris que l’audit en tant qu’institution dutraitement du risque ne se soit pas imposé etgénéralisé en matière de sécurité et de sûretéà l’ensemble des entreprises et organisationsen général. Ce retard devrait être rattrapé rapi-dement dans un contexte où il est incontes-table que l’audit interne doit participer à lasécurité générale à la fois pour des raisons desécurité et d’éthique.

1 Secret Défense, réservé aux informations et supportsdont la divulgation est de nature à nuire gravement à ladéfense nationale.Confidentiel Défense, réservé aux informations etsupports dont la divulgation est de nature à nuire à ladéfense nationale ou pourrait conduire à la découverted’un secret classifié au niveau Très Secret Défense ouSecret Défense.

Poss

ibili

ty o

f stra

tegy

not aligning Implications from the strategy chosen

Risk to strategy & performance

STRATEGY, BUSINESS

OBJECTIVES, & PERFORMANCE

MISSION, VISION & CORE VALUES

ENHANCED PERFORMANCE

Au moment où nous lançons l’impression du présent numéro, l’IIA vient d’adresser à l’IFACI la nouvelle versiondu « COSO Entreprise Risk Management » publiée avec un nouveau sous-titre très signifiant « Integrating withStrategy and Performance » illustré par le schéma ci-dessous.

L’IFACI ne manquera pas de revenir sur les composantes et les principes de cette démarche renouvelée.

Nouveau COSO ERM



Prévenir les risques sécurité et sûreté : une priorité pourMichelin

La santé et la sécurité des personnes travail-lant pour le Groupe et la sécurité des produitset des services font partie des engagementsmajeurs de Michelin. Rien de surprenant doncque les risques relatifs à la sécurité soienthistoriquement considérés comme priori-taires par la Direction de l’audit interne.Le risque « sûreté » justifie, quant à lui, unevigilance redoublée dans un contexte de plus

en plus agressif. Les récentes cyberattaques,Wannacry et NotPetya, ont marqué les espritspar leur ampleur et leur vitesse de propaga-tion fulgurante : l’échelle de temps est passédu jour à l’heure, voire à la minute – avec, encas de contamination, un impact quasi immé-diat sur l’accès aux données, aux moyens deproduction, de vente ou encore aux outils decollaboration. L’évolution de ces risques et lesmoyens de prévention déployés pour enréduire les effets sont suivis au plus hautniveau de l’entreprise et l’audit interne estmobilisé pour porter un avis sur la façon dont

La prévention des risques relatifsà la sécurité et à la sûreté

L’anticipation et la maîtrise des risques sont au cœur de la stratégie du groupe Michelin.Ces risques sont appréhendés par la Direction de l’audit interne de manière à réduireà un niveau acceptable leur portée et leur occurrence.

C’est dans cette perspective que Michelin a, depuis dix ans, fait évoluer l’audit interned’une mission visant à garantir la conformité des processus aux prescriptions interneset règlements externes vers une mission d’assurance sur la gestion des risques.

Eric Faidy, Directeur de l’audit du Groupe MichelinDirection Groupe de la qualité, de l’audit et de la maîtrise des risques

Une priorité pour l’audit interne de Michelin

Des standards élevés pourprévenir les risques sécurité despersonnes et des biens

110 000 personnes travaillent pour Michelin àtravers le monde dans des environnements detravail aussi divers que l’industrie, la logistique,la distribution.

Les risques d’exposition sont donc multiples,liés à: l’équipement et à l’organisation des sites, l’environnement de travail général, des risques d’accidents industriels ou de

catastrophes naturelles, des risques liés à la manipulation des pneu-

matiques et au matériel utilisé.

L’incendie est, quant à lui, le principal risque àmaîtriser lorsqu’on considère la sécurité desbiens du Groupe. Il peut se matérialiser tant auniveau des procédés de fabrication qu’auniveau des stockages de matières premières etde produits finis.

La maîtrise de l’ensemble de ces risques estévaluée par l’audit interne, qu’ils aient deseffets immédiats (incendie, attentat, risquemachine,...) ou à retardement sur la sûreté etsanté des personnes (ergonomie, expositionaux produits chimiques,...).

Chaque risque est scénarisé, analysé, mesuré.Chaque site, activité, machine, matériel,matière, processus est évalué. Les moyens deprévention et de protection sont audités. Desanalyses de vulnérabilité des sites faites par lesauditeurs internes contribuent à assurer lacontinuité des activités et à moduler le niveaudes assurances nécessaires.



ce risque est géré par le Groupe. Cette priseen compte précoce explique sans doute enpartie que Michelin n’ait pas été atteint par lesdernières attaques.

Cinq catégories de risquesrelatifs à la sûreté et à la sécuritédans la cartographie Michelin

Dans sa cartographie des risques, Michelin aidentifié cinq risques relatifs à la sécurité et àla sûreté, qui pourraient avoir un effet défavo-

rable significatif sur son activité, son image, sasituation financière ou ses résultats. Il s’agit des risques liés : à la santé et sécurité des personnes, à la sécurité et à la performance des

produits et des services, à la sécurité des biens, aux fuites des savoirs et des savoir-faire, aux systèmes et technologies d’informa-

tion.

Le respect des prescriptions liées à la maîtrisede ces risques est mesuré, chaque année, parle Contrôle Interne. Par ailleurs, les processusconcernés par ces cinq risques font l’objet

d’audits à une fréquence qui est fonction deleur niveau de maîtrise. À l’issue des audits deces processus, des plans d’actions de traite-ment sont construits et mis en œuvre, demanière à ramener et maintenir ces risques auniveau accepté par le Groupe. Ces plans d’ac-tions font l’objet d’un suivi par l’audit interne.

Comme pour tout autre audit, il appartient àla Direction de l’audit interne de décider, demanière indépendante, la fréquence de cesaudits. Il lui appartient également d’informer,

voire d’alerter, la direction générale et leComité d’audit en cas de dérive.

La sécurité des personnes, des produits et des services au cœur des préoccupations dela Direction de l’audit interne

Michelin s’est engagé à respecter les stan-dards de sécurité les plus élevés et à mettreen œuvre les solutions les plus exigeantespour maîtriser, tant les risques liés à la sécu-rité des personnes, que ceux relatifs à lasécurité et la performance de ses produits etservices.

Vigilance accrue de l’audit sur la sécurité des pneumatiques

Le pneumatique est déterminant pour assurerla sécurité du véhicule. Avec près de 187millions de pneumatiques produits chaqueannée par Michelin dans le monde pour équi-per tout type de véhicule, l’image de lamarque Michelin est intrinsèquement associéeà la qualité, à la fiabilité et à la sécurité de sesproduits.

Les risques associés aux produits sont multi-ples. Ils peuvent être liés : au climat, à la qualité et aux types de revêtements, à des usages anormalement sévères des

produits dans certaines zones géogra-phiques,

à des contrefaçons n’offrant pas les mêmesgaranties sécuritaires au client,

à des usages spécifiques à la limite descapacités technologiques disponibles.

La qualité, la fiabilité et la sécurité des pneu-matiques Michelin sont soutenues sur leterrain par des processus robustes assurantune qualité optimale à chaque étape de la viedu pneumatique.

De manière à anticiper et gérer au mieux lesrisques potentiels liés à l’usage des produitsdu Groupe, une surveillance constante ducomportement de ces produits sur le terrainest exercée pour détecter les signaux faibles etréagir rapidement le cas échéant.

C’est l’ensemble de ces dispositifs qui estaudité par la Direction de l’audit interne.

Protection des savoirs et savoir-faire et continuité desactivités : Deux préoccupationsmajeures pour l’audit interne

Les risques portent notamment sur la fuite desavoir et de savoir-faire avant tout dépôt debrevet. Les informations sensibles concernentles produits, matériaux, procédures ainsi queles méthodes, données de design, de test et defabrication. Les informations sur les stratégiesd’affaires (industrielles, de recherche etcommerciales) et les bases de donnéesconsommateurs et fournisseurs sont égale-ment exposées au risque de perte ou de vol.La protection des connaissances, du savoir-faire et des secrets industriels constitue doncun facteur clé pour maintenir le leadership duGroupe, préserver son avantage compétitif etassurer ainsi sa croissance future.

Les risques portent également sur la conti-nuité des activités. Les outils de piratage etd’intrusion des systèmes d’information se fontde plus en plus sophistiqués et rapides.

Dans un monde où les risques se propagent deplus en plus rapidement, l’audit interne doits’adapter en permanence pour y faire face

«»



En quelques années, les systèmes et tech-nologies d’information sont devenus desvecteurs essentiels de risques pour lasûreté. Ils se distinguent par leur caractèreextrêmement évolutif qui rend les actionsde prévention et de protection rapidementobsolètes. De ce fait, ils requièrent une réac-tivité permanente des équipes informa-tiques et une attention particulière del’audit interne. Tant les impacts potentielspour l’ensemble des activités de l’entrepriseet la sécurité des personnes que le carac-tère évolutif de ce risque justifient un suiviau plus haut niveau, par le Président.

La gestion des risques inhérents auxsystèmes et technologies d’informationrelève désormais de l’évaluation de notrerésilience c’est-à-dire la capacité d'unsystème ou d'une architecture réseau àcontinuer de fonctionner en cas de panneou de perturbation.

C’est dans cette voie que se dirige laDirection de l’audit interne. Les auditeurssuivent et évaluent périodiquement lesmesures de protection physique et logiquedes systèmes, de manière à s’assurer de leurmise en œuvre et de leur pertinence. Ils

s’appuient, pour ce faire, sur des hackersinternes et externes qui réalisent des testsd’intrusion pour évaluer la vulnérabilité dessystèmes et technologies d’information.

Pour tenir compte du caractère évolutif desrisques inhérents aux systèmes et techno-logies d’information, les audits ont unefréquence annuelle. Ils voient égalementleur périmètre élargi avec pour objectif detester la résilience des systèmes et techno-logies utilisés. Ils nécessitent des équipesd’experts qui doivent actualiser en perma-nence leurs connaissances et leurs compé-tences. Quant aux principaux leviers demaîtrise, ils portent sur la connaissance deséquipements informatiques, la protectiondes accès par segmentation mais égale-ment sur la sensibilisation des utilisateurset une veille permanente sur les nouveauxrisques et moyens de protection.

Un état des lieux est présenté au Présidentdu Groupe deux fois par an. Des exercicesde simulation de gestion de crise sontpériodiquement organisés et impliquentactivement des membres du comité exécu-tif.

Des audits systèmes et technologies d’informationen constante évolution pour faire face à l’évolutiondes risques

Les problématiques de sûreté,des risques évolutifs auximpacts exponentiels

Les risques sûreté se caractérisent par des actesspontanés ou réfléchis visant à nuire ou porteratteinte aux intérêts d’une entreprise dans unbut de profit psychique ou financier. Les actesterroristes, les cyberattaques, les actes demalveillance entrent dans cette catégorie.Leur prévention est stratégique pourMichelin : il en va de l’avantage compétitif deses produits et services, voire de la pérennitéde l’entreprise.Dans un monde où les risques se propagentde plus en plus rapidement, l’audit internedoit s’adapter en permanence pour y faireface. C’est tout particulièrement le cas pourles risques relatifs à la sûreté et à la sécuritépour lesquels des dispositifs de maîtrise denature transverse ont été déployés. Tout estréalisé pour maîtriser au mieux l’ensemble desrisques qui pourraient peser sur les personneset les biens matériels et immatériels duGroupe.

Vous le voyez, loin de l’idée que l’on peut s’enfaire, l’audit s’adapte en permanence pourmieux servir l’entreprise !



Sûreté et sécuritéchez SodexoQuel rôle pour l'audit interne ?

Le sujet touche de nombreux domaines : l’évolutionactuelle en matière de digitalisation impacte de façonsignificative le fonctionnement des entreprises et lesrisques auxquels elles sont exposées. A ce titre, il appa-

raît de plus en plus critique de maitriser l’environnement decontrôle des systèmes d’information. Le recours croissant auxapplications digitales augmente le volume de données traitéeset exige un renforcement de la sécurité de ces mêmesdonnées. Nous ne parlons plus seulement des données en tantque telles, mais de la valeur et des débouchés qu’elles repré-sentent : ne dit-on pas que la donnée et le Big data représen-tent le nouvel « or noir » des entreprises ? Il devient alorscritique voire vital de les protéger. Cette protection est néces-saire à plusieurs niveaux ; comme pour tout actif de valeur, lesentreprises souhaitent éviter l’intrusion, le vol ou la dégradation,mais également fournir cette assurance au quotidien à leursparties prenantes.Parallèlement, la législation se renforce en ce sens : la GDPRpar exemple exige davantage des entre-prises les obligeantainsi à disposer de systèmes d’information performants capa-bles de déployer un programme de protection des données.Le déploiement croissant des objets connectés est également

Les enjeux liés à la sécurité informatique sont devenus incon-tournablespour toutes les entreprises. Le Groupe Sodexo avec ses425 000 collaborateurs et ses 75 millions de consommateursquotidiens est pleinement conscient de ces enjeux et de leurimportance. Mais comment un Groupe comme Sodexo, leadermondial des services de qualité de vie, a-t-il choisi de s’emparer dece sujet ?

Sophie Neron-Berger, Senior Vice President-Group Internal Audit, Sodexo

un paramètre qui montre à quel point lesentreprises doivent prendre des mesures desécurité, afin de s’assurer du bon fonctionne-ment des systèmes, mais également à préve-nir le risque d’intrusion et d’acte demalveillance. Le télétravail, de plus en plus répandu, et lesaccès à distance génèrent pour les entre-prises, des points de vulnérabilités poten-tielles, nécessitant une maitrise performantedes opérations pour travailler efficacement.Dans cet environnement où la donnée estdevenue le nouvel or noir, où les pratiquesévoluent très rapidement avec une compo-sante digitale de plus en plus forte, les entre-prises doivent considérer la sécurité dessystèmes d’information comme un sujet vital,intégré à la stratégie de l’entreprise.L’approche choisie par Sodexo est appuyéesur le modèle des 3 lignes de maitrise desrisques. Une cellule de sécurité informatiqueet son réseau de correspondants jouent le



La vision de Sodexo

La cyber sécurité, un domaine à part

La cyber sécurité est un domaine à partentière, avec ses propres sous-domaines d’ex-pertise. Mais que doit couvrir la fonction auditinterne ? Quels types d’audit doit-elleconduire ? S’agit-il de s’assurer qu’une gouvernance

SSI (Sécurité des Systèmes d’Information)appropriée est en place ?

Ou bien que les architectures IT sont enligne avec les bonnes pratiques ?

Sommes-nous en capacité de répondreefficacement aux incidents de sécurité ?

Etc.

Répondre à toutes ces questions équivaut àdisposer d’un nombre suffisant de ressources,ce qui n’est pas toujours le cas. Aussi faut-ilprévoir une alternative afin de couvrir cesrisques dans le plan d’audit. .

Audits intégrés ou audits ciblés, deux méthodes adéquates pourappréhender un audit de sécurité

Chez Sodexo, nous couvrons le sujet principa-lement grâce à deux types d’audit : de manière intégrée lors des revues d’enti-

tés, ou plus généralement au travers d’auditregroupant plusieurs thématiques dont l’in-formatique ;

en faisant un focus particulier sur la sécuritéIT.

Dans ces deux cas, les fondamentaux sontrevus en priorité. Lors des audits intégrés,nous apprécions le niveau de risque lié aucontexte de l’entité afin de déterminer quellessont les zones où une revue de la sécuritéprend son sens.

En revanche, certains audits 100 % sécuritésont parfois nécessaires notamment lorsqu’ils’agit d’avoir une vision globale et consolidéedu niveau d’exposition. L’approche retenueest alors de revoir l’ensemble des grandesthématiques couvrant les sujets de : gouvernance ; sensibilisation ; gestion de projets ;

rôle de 2ème ligne, tandis que l’audit interne estcomplètement intégré dans cette démarche,dans son rôle de 3ème ligne. Mais comment l’audit interne intervient-ildans cet environnement si particulier ?

Un axe non négociable : l’audit des fondamentaux IT

Le sujet est complexe, car il couvre denombreux domaines et des risques très variés.Comment aborder ce sujet surexposé que cesoit par effet de mode, de médiatisation ou desurenchères. Le premier axe, que nous qualifierons de« non négociable », est celui des fondamen-taux : ces « basiques » de l’IT communémentappelés les IT General Controls. Rien ne sert des’intéresser aux risques spécifiques de la cybersécurité si le socle de base n’est pas déjà enplace. Avant même de parler d’audit de lasécurité, il faut surtout s’assurer que ces fonda-mentaux existent, C’est bien là, la mission del’audit interne. Ce premier niveau est capitalet constitue ce que l’on pourrait appeler lepre-mier étage de la fusée. Il existe déjàdepuis de nombreuses années et a étérenforcé au moment du déploiement desdispositifs SOX. Vient seulement ensuite laquestion de la sécurité et du niveau d’exposi-tion des infrastructures, des systèmes, desapplications et autres composants formantl’écosystème IT. Via l’internalisation deressources dédiées et jouissant d’une exper-tise dans le domaine, l’audit interne est enmesure d’être un vrai partenaire pour l’auditéallant au-delà de la simple relation auditeur /audité.

Cette contribution de l’audit interne s’illustreau travers de : la qualité des observations ; la pertinence des recommandations.

Dans un autre registre, cela permet de contri-buer à la sensibilisation des auditeurs non ITet non experts qui, petit à petit, développe-ront des postures plus appropriées face auxsituations à risques. Il s’agit là d’une opportu-nité idéale de sensibiliser de manière pérenneces dirigeants en devenir du Groupe quisauront apprécier à leur juste valeur cesaspects parfois négligés.

Face à l’évolution actuelle en matière dedigitalisation, il apparait de plus en plus critiquede maîtriser l’environnement de contrôle des systèmes d’information

«»



De même, de nouvelles méthodes de travailseront introduites par cette ressource, quiconduiront à un investissement ponctuel et àun aménagement des moyens mis à sa dispo-sition. On fait ici notamment référence àl’achat de licences et d’outils propres aux testsde pénétration et/ou aux scans de vulnéra-bilité qui apporteront une réelle vision indé-pendante au département d’audit interne.Face à une demande croissante de missionsen sécurité informatique, les contraintes dedisponibilité de cette même expertise obli-gent à auditer différemment par le biais d’ou-tils spécifiques et/ou une assistance àdistance. L’idée étant de permettre aux audi-teurs réputés « non-experts », une foisconfrontés à une technologie traitant de fluxfinanciers et/ou opérationnels, de pouvoir

croissance du chiffre d’affaires, au détrimentde la protection de l’outil de travail. L’argu -ment budgétaire est le premier rempart, maissouvent cela peut être dû à un manque decapacité à apprécier correctement les risquesencourus. Partant de ce constat, est-il raison-nable que les entités opèrent elles-mêmes larevue d’un sujet dont elles sont pleinementresponsables ?L’audit interne, organe indépendant peutjustement veiller à ce que ces risques soientcorrectement identifiés, connus et considéréspar les entités du Groupe. A noter que pourtoutes les raisons évoquées plus haut, il n’estpas rare de faire face à de la résistance sur cessujets délicats. C’est là qu’il est nécessaire dejouer sur la corde fine du partenariat plus quede l’audit, en apportant une vraie valeur.

Quels challenges, quellesopportunités pour l’auditinterne ?

L’intégration d’une expertise pointue en sécu-rité informatique au sein du départementd’audit interne n’est pas neutre et doit béné-ficier d’un suivi tout particulier afin de setransformer en opportunité pour améliorer lefonctionnement de l’audit et finalement del’entreprise.

L’audit interne doit lui aussi s’adapterpour mieux couvrir ce sujet

La vision d’un expert en sécurité informatiquesur les contrôles de même nature ne sera pasla même que celle d’un auditeur informatiqueplus classique ou un auditeur financier, géné-raliste. Il en découle une refonte préalable etnécessaire des programmes de travail afin d’yintégrer ce « prisme » sécurité : revue desdroits d’accès, sécurité des réseaux, configu-ration des équipements informatiques, etc.Une période de transition s’ouvrira en fonc-tion de l’acteur à la manœuvre (expert sécu-rité ou auditeur interne) avec un périmètreainsi couvert, et une granularité des conclu-sions, sur des contrôles IS&T standards qui

seront différents. Parallèlement, le bénéfice àmoyen terme est un nivellement par le hautde l’ensemble des compétences de l’auditinterne, et en premier lieu celles de l’auditinformatique, qui devront se référer aux testsainsi remaniés.

infrastructure ; sécurité des applications ; fournisseurs de services ; terminaux utilisateurs.

Grâce à nos ressources internes connaissant àla fois nos besoins métiers et les enjeux opéra-tionnels, nous sommes à même de déclinerune vision adaptée du risque sécurité et desplans d’action.

L’enjeu de la couverture complète des risques

Ces audits ne sont pas adaptés à toutes lessituations, notamment pour évaluer le niveaude résilience d’une application web oumobile. Bien que nous disposions des compé-tences pour réaliser des tests intrusifs avancés,nous avons évité de les faire car il s’agit là d’au-dits très spécifiques pour lesquels lesressources devraient être rapidementaugmentées s’il était question d’intégrer cetype de revue de manière systématique.La définition des rôles et responsabilitésdevient alors clé dans la maîtrise des risquescyber sécurité, car si l’audit interne n’est pasen mesure de réaliser ce type d’évaluationalors un autre acteur de l’organisation doit s’enassurer, que ce soit la seconde ligne demaîtrise ou par l’intermédiaire d’auditeursexternes spécialisés.

Internalisation des ressources : un avantage ou un challenge ?

La question de l’utilité d’internaliser desressources spécialisées au sein de l’auditinterne, se pose naturellement en raison de lapossibilité de s’appuyer sur un autre organede l’entreprise, ou sur des auditeurs externesavec une expertise plus forte. La réponseréside dans la nature même de la fonctiond’audit interne : l’indépendance !Hors des programmes réglementaires parfoiscontraignants, les entreprises ont de nom -breux arbitrages stratégiques à faire, et ceuxliés aux sujets de la sécurité informatique en

font partie. Les investissements dans la sécu-rité informatique sont à arbitrer avec ceux dela R&D pour un produit futur, un nouveausystème, une acquisition, etc. Les directionslocales en sont parfaitement conscientes maispeuvent arbitrer en faveur des seuls sujets de

La conduite de missions d’audit ayant trait à lasécurité informatique doit pleinement s’inscriredans la stratégie informatique du groupe

«»



préalables : Lors d’une mission, la réalisation de tests

liés à des scans simulant une intrusion n’estpas sans effet. Compte tenu de la nature« agressive » des tests, il est essentiel d’aler-ter la direction informatique auditée afin deconvenir d’un créneau horaire pour réaliserces tests durant lequel les ressourcesmétiers seront le moins impactées en casd’indisponibilité des applications scannées.De même, les fonctions centrales de lasécurité informatique devront être préve-nues afin que leurs radars ne les alertentpas inutilement sur une attaque potentielle(« faux positif ») suite à la conduite de cesmêmes tests.

A la suite de ces tests, et en cas de vulnérabi-lité avérée mais surtout si l’auditeur peut

tique demeure néanmoins une fonction deniche au sein de laquelle l’auditeur devrapouvoir se projeter à sa sortie de l’auditinterne (RSSI Groupe, Directions informa-tiques locales par exemple). Une autre optionpossible demeure celle de son évolution ausein de l’audit interne à condition de pouvoircontinuellement « alimenter » son appétencesur des sujets complexes à forts enjeux stra-tégiques.

Auditer la sécurité informatique : savoircommuniquer avec les parties prenantes

En lien avec les nouvelles méthodes de travailprécédemment citées, la communicationavec les différents « clients » de l’audit interneest primordiale et nécessite des ajustements

bénéficier du soutien du référent en sécuritéinformatique sans requérir nécessairement saprésence physique durant la mission. Cela estrendu possible, avec néanmoins certaineslimites, à travers une phase de préparation –voire de formation – adaptée conduisant àune coordination efficiente entre les auditeursdurant le déroulement de la mission.Autre enjeu majeur : les ressources humaines.L’audit interne est souvent un vivier de talentsqui cherchent à évoluer en interne aprèsquelques années passées dans le départe-ment. Il en va de même pour un auditeur ensécurité informatique. L’entreprise devradisposer d’une certaine visibilité sur ses pers-pectives d’évolution au sein du Groupe. Bienque transversale et omniprésente dans toutesles strates de l’entreprise, la sécurité informa-



interne a un rôle important à jouer dans cecontexte de complexification de l’environne-ment et de risques de plus en plus divers. Safaçon de travailler doit évoluer.

L’entreprise et son audit interne n’ont plus lechoix : ils subissent également la pressiongrandissante des clients, des consommateurset des régulateurs.

Avant même de parler d’audit de la sécuritéinformatique, il y a lieu a minima de s’assurerque les fondamentaux sont en place. Sansune bonne maitrise des contrôles d’accès, dela gestion du changement ou de la séparationdes tâches, aucun audit des couches supé-rieures n’aura de sens.

Une fois cette étape atteinte, le choix de l’ap-proche d’audit, en interne ou en externe, doitse faire. Choix difficile entre investir dans sespropres ressources ou confier cette mission àun tiers considéré comme mieux expéri-menté. Ces audits doivent permettre d’établirun constat objectif sur les vulnérabilités del’entreprise. Quoi qu’il arrive, il faudra ensuiteêtre en mesure de partager les constats avecla direction générale, car le type d’observationlevé est souvent à portée stratégique et peutdemander des investissements significatifs.L’audit interne doit se montrer explicite, clair,pédagogue pour que le sujet puisse êtreadressé au mieux. L’audit interne dans son rôlede conseil doit pouvoir engager cette discus-sion et faire bouger les lignes pour mieuxprotéger l’entreprise.

Enfin, la conduite de missions d’audit ayanttrait à la sécurité informatique doit pleine-ment s’inscrire dans la stratégie informatiquedu Groupe. En effet, cette compétence vapermettre la découverte de points d’unenouvelle nature qui nécessiteront un pland’action(s) approprié(es). Ces points néces-site-ront généralement un investissementsubstantiel afin de permettre à la fois unerefonte de l’architecture informatique et/ouune amélioration des systèmes de détectionet de prévention liés aux failles informatiques.Or, sans le soutien appuyé des directions à la

fois Générale et Informatique du Groupe etdes moyens nécessaires débloqués, les plansd’action – ainsi que les risques inhérents –demeureront ouverts. Au-delà même desrisques, l’absence d’action concrète suite à cetype d’audit remettrait en cause la stratégiedu département d’audit interne ainsi que l’en-gagement des auditeurs qui la soutiennent.

* **

Il n’y a pas de recette miracle pour traiter dusujet de la sécurité informatique. L’audit

démontrer qu’elle a été exploitée par un tiers,l’auditeur expert devra pouvoir participer àune réunion de crise avec les différentesparties prenantes (locales, centrales) afind’évoquer plus en détail les failles de sécuritésainsi découvertes, et ainsi travailler sur le plande remédiation dans les plus brefs délais.

Lors des réunions de restitution suite à unemission, l’auditeur expert en sécurité devrafaire preuve de pédagogie envers l’équipeauditée. Par nature, la sécurité informatiquereprésente un domaine complexe pour desnon-initiés qui, si l’on y rajoute l’utilisation

de termes et autres techniques propres àcette discipline, peut rapidement conduireà un monologue de l’auditeur alors mêmeque l’on recherche une véritable interactionafin de faciliter la prise de conscience desrisques liés à la sécurité informatique. Demême, l’expérience de l’auditeur seraessentielle pour démontrer concrètementl’impact des risques soulevés à travers desscénarii réalistes et réalisables d’attaquesinformatiques. En effet, une des difficultésde ce type d’audit est de convaincre lesparties prenantes des risques qu’ellesencourent sans action de leur part.

Avant de parler d’audit de la sécuritéinformatique, il y a lieu de s’assurer que les fondamentaux sont en place

«»



De l’évolution du risque desûreté à sa communication auxinterlocuteurs Corporates :la contribution du Risk manager

L’exposition de la responsabilité pénale desdirigeants et la vulnérabilité potentielle descollaborateurs, des emprises physiques, de l’in-formation et de la propriété intellectuelle sont

parmi les impacts majeurs de l’augmentationet de la diversification du risque de sûreté.

A l’instar de la compliance, de la corruption ouencore de fraude, la sûreté1 et les risques asso-ciés se sont invités de plus en plus dansl’agenda des Comités exécutifs et dans lescartographies des risques et les budgets, aucours de ces dernières années.

Si la population française a majoritairementpris conscience récemment de la survenancedu risque de sûreté sur le territoire national,certaines entreprises y sont fortement sensi-bilisées de tout temps et gèrent ce risqueselon leur secteur d’activité, leurs implanta-tions et leur personnel. D’autres entreprisespar contre, concentrées essentiellement surl’assistance aux collaborateurs et la sécurité deleur périmètre informatique, ont dû dévelop-per de nouvelles politiques sous l’effetconjoint de la croissance de l’activité auniveau international, de la diversification et del’aggravation des menaces potentielles ouavérées en matière de sûreté.

A titre d’illustration, un effet conjugué dessituations rencontrées par les expatriés dansleur pays de résidence (conflits locaux deve-nant violents, augmentation du terrorisme,ciblage des intérêts économiques occiden-

La gestion de la sûreté

Maîtriser le risque de sûreté exige la contribution de plusieurs fonctions clés de l’entre-prise. L’audit interne y joue un rôle non négligeable, l’auteure en fait ici une excellentedémonstration.

Marie-Laure Vacherot, Group Internal Audit Director, Altran

De l'émergence du risque de sûreté à son management

dans le périmètre des sociétés intermédiaires

internationales

1 Notion à différencier de la sécurité.



impacts potentiels estimés, il convient d’éva-luer l’efficience des mesures de protectionsmises en œuvre et le degré de vulnérabilitérésiduel des diverses cibles : populations decollaborateurs, emprises (sièges, lieu deproduction et de stockage, flotte, héberge-ments temporaires ou permanents), systèmesd’information et données.

Les objectifs des missions d’audit consistentnotamment à évaluer la fiabilité du processusd’évaluation des menaces, l’efficience desmesures de protection, leur degré de résis-tance aux tentatives d’agression et pénétra-tion ainsi que l’adéquation et la maitrise duprocessus de gestion des crises possibles.

Les programmes de travail des missions d’au-dit couvrent en particulier les thèmessuivants : le référentiel de sûreté du Groupe et des

entités locales : procédures, modalités desuivi des risques de sûreté, sous-traitance &gardiennage ;

la sûreté humaine : la pertinence, laconnaissance et l’application des consignesde sureté par les personnes sous la respon-sabilité de l’entreprise : les collaborateurs,les expatriés et leurs familles, les binatio-naux, les sous-traitants, etc. ;

la sûreté physique : l’adéquation du plande protection des emprises locales, la capa-cité de résistance des infrastructures auxmenaces, le respect des plans de sûreté parles responsables internes et les prestataires,l’efficience des solutions technologiques(leurs performances technologiques, laqualité de leur entretien, leurs coûts) ;

la sécurité informatique : la fiabilité de lacartographie des systèmes d’information,l’application régulière des patchs de sécu-

tions des pays et de la veille locale des risquesde sûreté instaurée par les dirigeants de filialesinstallés dans les pays à la culture de sureté età l’exposition critique éprouvées.Selon l’exposition au risque de chaque entre-prise et la maturité des Comités exécutifs,l’analyse des risk managers et les plans d’ac-tions requis seront perçus différemment.

De la révélation de la communication formalisée du risque de sûreté par le riskmanager à l’évaluation desvulnérabilités en termes desûreté : la contribution de l’auditinterne

L’audit interne tient un rôle irremplaçabledans la phase d’évaluation du degré brut etrésiduel d’exposition des collaborateurs, de laprotection des actifs et de la maturité desprocessus de prévention et de gestion de crise.Pour atteindre ces objectifs, il s’assure duconcours d’expertises externes en synergieavec les ressources internes existantes.

Les risques potentiels de sûreté (physique,informatique…) étant identifiés et leurs

taux et prise à partie des ressortissants étran-gers), et des pénétrations possibles desemprises est constaté. A ce niveau d’évalua-tion des risques, les seuls programmes d’as-sistance aux voyageurs et d’acculturationavant expatriation dont la gestion a long-temps été dévolue aux Directions desressources humaines ne suffisent plus.Désormais, les entreprises instaurent unegestion en propre de la sureté. Elle est menéeà l’échelle de l’intégralité des actifs de l’entre-prise et s’incarne par des plans d’actions etdes programmes de gestion de la sûretéactualisés au fur et à mesure de l’évolution desmenaces ; de même qu’il en est pour le traite-ment du risque de fraude.

Cette révolution a été souvent générée par ladouble prise en compte des risques de sûretéphysique et des risques pénaux encourus parles mandataires sociaux (jurisprudenceKarachi - 2004) et par les dirigeants locaux desfiliales étrangères.

Dans le cas des entreprises intermédiaires(SBF 120) hors secteurs réglementés et pourlesquelles les périmètres internationaux sontplus fréquemment envisagés en termes derisque et d’opportunité opérationnels que desûreté, c’est le risk manager qui a formalisé lepremier ce risque lors de l’exercice de l’évalua-tion régulière des risques ces dernièresannées. Dans certains cas, il aura porté à l’at-tention des dirigeants, la criticité de ce risquedevenu insuffisamment couvert et nécessi-tant des actions rapides. Les risk managersayant réévalué la criticité de l’exposition deleurs entreprises, de leur personnel et de leursdirigeants ont notamment fondé leursanalyses sur des benchmarks professionnels etles remontées des dirigeants des filiales despays les plus exposés. Les facteurs locaux d’ex-position résultent essentiellement des législa-

Scénarii demenaces

Emprises - Mobilité

Informatique -Données

Propriétéintellectuelle

Obligationsréglementaires

Mandatairessociaux———

Dirigeantsdes filiales

Risque de sûreté

Scénarii demenaces

Emprises

Mobilité

Informatique

Données

Obligationsréglementaires

Mandatairessociaux———

Dirigeantsdes filiales

Risque de sûreté

Audits :- Sûreté- Sécurité

informatiqueGouvernance

Sûreté



A titre d’illustration, une réponse particulière-ment efficiente fut celle d’un groupe interna-tional qui a fait preuve d’une forte réactivitédans un délai limité. Moins de 9 mois lui ontsuffi pour : déceler et évaluer l’augmentation du risque

de sûreté : le risk management ; prendre en considération le niveau d’en-

jeux atteint par la sûreté et les limites de lapolitique de gestion existante : le Comitéexécutif ;

octroyer un budget supplémentaire pourdes audits de sûreté ajoutés au plan d’auditannuel et couvrir l’intégralité des filiales

installées dans les zones les plus exposées :le Directeur administratif et financier ;

pratiquer une première « vague » d’auditsde sûreté co-traités avec des expertsexternes : l’audit ;

établir une gouvernance de la sûretécomprenant la nomination d’un Directeurde la sûreté chargé notamment d’assurer lamise en œuvre du plan d’action post-auditet de permettre une maitriser optimale durisque de sûreté dans la durée.

Leurs impacts s’aggravant mutuellement, ilsdoivent être réévalués régulièrement, demême que les mesures de prévention et derésilience auditées.

Par contre, la gestion du risque de sûreté et lecontrôle interne s’y rapportant diffèrent de lagestion des autres risques : Les plans d’actions et les mesures préven-

tives évoluent en permanence pour s’adap-ter aux incertitudes des menaces. Unecommunication spécifique auprès des diri-geants est fréquemment requise pour justi-fier l’augmentation constante des budgets

et la permanence des actions préventivesà mener. De même, les compétencesinternes doivent être actualisées, tant cellesdes responsables Sûreté que des risk mana-gers ; les ressources allouées aux auditsdoivent aussi être adaptées.

La collaboration entre le risk manager, lecontrôle Interne, l’audit et le Directeur desûreté est essentielle et le benchmark entrepairs est incontournable. Il est opportund’acquérir une sensibilité opérationnelleface à ce risque croissant et en constanteévolution, de développer les compétencesprofessionnelles adaptées et d’apprendre àgérer l’émotivité que le sujet peut générerchez certains interlocuteurs.

rité, les tests de pénétration des systèmeset d’altération des données, l’application dela Politique de Sécurité des Systèmesd’Information (PSSI).

L’audit du processus de gestion de crise desûreté peut évaluer par ailleurs : l’adéquation du processus aux natures de

crise et périmètres potentiels, le degré d’actualisation du processus de

gestion de crise aux menaces les plusrécentes,

l’efficience des retours d’expérience desincidents et crises gérés,

un test des plans de continuité et de reprised’activité,

un exercice de simulation de gestion decrise dont les conclusions donneront lieu àun plan d’action évalué ensuite dans lecadre du suivi des recommandations.

L’objectivité de l’audit du processus de sûretésera optimale lorsque ces missions serontintégrées au plan d’audit groupe et de sesfiliales. Conformément aux Normes d’audit, ilconvient d’adjoindre aux compétences desauditeurs généralistes et à leur connaissanceinterne du groupe, des experts en sûretéphysique ou en sécurité informatique appli-quées au secteur d’activité. Le recours à desexperts externes associés à des « auditeursinvités » placés sous la supervision de l’auditinterne permet d’augmenter les compé-tences internes et favorise l’amélioration de lagestion préventive du risque.

De l’évaluation desvulnérabilités de l’organisation à l’action de l’exécutif : de l’élaboration de lagouvernance de la sûreté à sonaccompagnement dans la durée

Au-delà des alertes ponctuelles mobilisatrices,le risk management et l’audit Interne sont lescontributeurs fonctionnels de référencepouvant agir auprès du Directeur de la sûreté.L’objectif est de l’assister et de rendre comptedes enjeux de la sûreté dans la continuité dela cartographie des risques et des plans d’au-dit réguliers.

A l’image des risques de fraude ou de corrup-tion, le risque de sûreté et les scénarii possi-bles évoluent en fonction de facteurs etd’acteurs internes ou externes à l’entreprise.

Emprise : Ensemble des périmètres physiques (d’une entreprise) àsécuriser afin d’y préserver l’intégrité physique des personnes etdes actifs s’y trouvant et d’y maintenir la sûreté globale de l’envi-ronnement professionnel.



Le système demanagementde la sûretéde SchneiderElectric

Le Vice-président Global Sûreté Schneider apporte un éclairage instructif surle système de management de la sûreté dans le groupe. Il souligne le rôle etl’implication des différents acteurs en premier lieu la fonction sûreté avec leconcours éventuel selon le type de missions, de la fonction Risques &Assurances ou de l’audit interne.

Maurice Dhooge, Senior Vice-president, Global Security, Schneider Electric

Revue « Audit, Risques & Contrôle » : Par quiet comment les audits de sûreté sont-ils réali-sés chez Schneider Electric ?

Maurice Dhooge : Les audits de sûreté sur sitesont actuellement essentiellement effectuéspar la fonction sûreté elle-même. La fonction« Risques & Assurances » participe égalementà la réalisation d’audits Sûreté simplifiés, lorsdes audits spécifiques « protection incendie ».Les sites sont également invités à réaliserrégulièrement leur propre « auto-évaluationsûreté » en utilisant un outil spécifiquedéployé par la direction Sûreté du groupe. Cesaudits s’appuient sur des référentiels consti-tués de directives mondiales émises par ladirection de la Sûreté (protection d’un site,protection des voyageurs internationaux,protection des expatriés, protection de l’infor-mation sensible, gestion de crise...).

Les équipes d’audit interne ne réalisent, à cejour, que des audits de sûreté très cibléscomme par exemple ceux qui ont été récem-ment réalisés sur la préparation réelle de l’en-treprise à la gestion de crise (la fonctionSûreté étant, chez Schneider-Electric, proprié-taire de ce processus).

AR&C : Combien d'audits de sûreté sont-ilsréalisés dans le temps ? Quelles sont les clefsde la sûreté ?

M. D. : Le nombre d’audits réalisés est assezvariable d’une année sur l’autre : entre 50 et150 environ. Il dépend beaucoup des axesd’effort ou de vigilance qui sont définis par ladirection de la sûreté. Les audits sont ciblés enfonction d’une problématique particulière : le niveau de sûreté physique d’un site (en

fonction de sa nature, de sa sensibilité pourle business, de sa localisation...) : il s’agirad’évaluer les contrôles d’accès, la surveil-lance électronique et humaine (détectiond’intrusion, de comportements suspects),les procédures d’alerte et d’urgence, le trai-tement des incidents, la maintenance deséquipements de sûreté, etc. Ces sujets ontdes exigences plus élevées en fonction decertifications spécifiques dont le site doitéventuellement se prévaloir (C-TPAT :Customs Trade Partnership Against Terrorism ;OEA : Operated Agreed Economy ; Habili -tation au secret de défense...) ;

la sécurisation des voyageurs internatio-naux se rendant dans des pays classés àrisques : il s’agira d’évaluer la robustesse etla fiabilité de l’accueil des voyageurs, l’adé-quation des mesures d’accompagnementmises en place, le professionnalisme et lafiabilité des prestataires spécialisés, leniveau de sûreté des hôtels utilisés et les



manquements à l’éthique ; le suivi desdossiers et le partage des conclusions auprèsdes managers concernés sont assurés par ceComité fraude. Toutes les décisions, au sein dece comité, sont prises à la majorité des voix.Compte-tenu du nombre de dossiers traitéschaque année (près de 250 en moyenne),notre coopération est permanente. Uneforme de solidarité s’est également dévelop-pée au cours du temps car nous avons, régu-lièrement, des dossiers complexes ou à fortsenjeux qui la nécessite parfois.

De même, une bien meilleure connaissancede nos organisations réciproques, de nosenjeux et de nos missions s’est égalementdéveloppée. Ainsi, par exemple et depuisplusieurs années maintenant, le département

Audit et Contrôle Internes délègue au dépar-tement Sûreté l’élaboration du volet « RisqueMalveillance » intégré dans la « Risk Matrix »globale de l’entreprise.

Entretien mené par Olivier Hassid, directeur conseil Sécurité &Sûreté chez PwC

prise, accompagnés par un juriste pendanttoute la durée de leur investigation (le« Compliance Officer »). Ce juriste a troismissions spécifiques dans ce type decontexte : offrir à l’investigateur une possibilitéde débriefing régulier, s’assurer qu’aucunélément de preuve ne sera obtenu par desmoyens illégaux et anticiper les procéduresqui pourront être rendues nécessaires du faitdes découvertes au cours de l’investigation.L’audit interne est pleinement impliqué dansce type de processus en tant que membrepermanent du « Comité fraude », instance depilotage dudit processus.

AR&C : Justement, quels sont les bénéficesescomptés de la collaboration entre la Sûretéet l'audit interne ?

M. D. : Le point de départ d’une coopérationquasi quotidienne entre nos deux départe-ments a été la création, en 2009, d’un proces-sus complet de traitement des alerteséthiques au sein de l’entreprise. Plus particu-lièrement, pour assurer le pilotage de ceprocessus, nous avons créé un Comité fraudeau sein du groupe. Ce comité est composé dudirecteur juridique, du directeur de l’audit etdu contrôle internes et du directeur de lasûreté. L’analyse des alertes reçues ; les dési-gnations officielles des investigateurs chargésde rassembler les preuves d’éventuels

procédures d’urgence (protection, confine-ment, exfiltration...) ;

la sécurisation des expatriés séjournantdans les pays ou zones à risques : l’enjeusera de vérifier leur niveau de connaissancedes consignes de sécurité, le niveau desécurisation de leur résidence ainsi que lamatérialité de certaines exigences (safe-rooms, panic buttons, moyens de commu-nication d’urgence...), l’existence et lasolidité des procédures d’urgence ;

le niveau de préparation des équipeslocales à gérer des crises : il s’agira de véri-fier l’existence d’une planification adaptée,la réelle appropriation par les acteurs clésdu plan de crise, le réalisme et l’efficacitédes protocoles d’urgence, la complétude etl’actualisation régulière des documents, l’or-ganisation de tests ou d’exercices.

AR&C : Juvenal1 se demandait « qui garde lesgardiens » ? Dans cette perspective, la Sûretéest-elle contrôlée ? Si oui, est-ce le rôle de l'au-dit interne ?

M. D. : Chez Schneider Electric, les fonctionscentrales sont toutes « verticalisées » saufune : la Sûreté. Mise à part une petite équipecentrale (6 personnes), les autres managersdédiés aux opérations de sûreté dépendentdes équipes de management locales desdifférents pays (le responsable Sûreté d’unpays est en général rattaché hiérarchique-ment au directeur local des Ressourceshumaines. Les autres responsables Sûretédépendent en général des directeurs de siteet dépendent fonctionnellement du respon-sable Sûreté pays). L’équipe centrale « groupe » exerce un mana-gement « fonctionnel » sur l’ensemble de cesresponsables Sûreté. Ce double management(direct et fonctionnel) oblige à un certainniveau de transparence et permet lescontrôles croisés. Bien qu’étant rattachés à la fonction RH del’entreprise, les représentants de la fonctionSûreté n’ont aucun droit d’accès au fichier dessalariés. En cas de besoin de certaines de cesdonnées, ils sont obligés d’en faire lademande auprès d’un responsable RH en luijustifiant la raison de ce besoin. Le ou laresponsable RH peut refuser de fournir cesinformations si ce besoin leur semble insuffi-samment légitime. Par ailleurs, le département Juridique, autravers du correspondant Informatique &Libertés (CIL), exerce son pouvoir de contrôleà tout moment. Enfin, les représentants de la fonction Sûretéen position temporaire « d’investigateurfraude interne » sont, comme tous les investi-gateurs officiellement désignés par l’entre-

1 Juvenal : Poète latin (Aquinum v60 – v130), auteur de Satires où ilattaque les mœurs corrompues de Rome.



Qui n’a pas encore fait sa cartogra-phie du fameux risque de fraude ?Vous avez certainement mêmefait ou commencé à faire celui du

risque de corruption pour répondre à une desexigences de la loi Sapin 2. Mais la fraude n’in-clut-elle pas aussi la corruption ? La corrup-tion n’est-elle pas un risque multiple ?

Allez-vous limiter votre ligne d’alerte à justeune catégorie ? La corruption ? Que ferez-vous des autres alertes qui vont arriver,comme celles pour harcèlement qui sont deplus en plus fréquentes (surtout qu’on osemaintenant en parler), ou encore sur laviolence en entreprise ?

Qui va s’en occuper ? La Conformité ? LaSûreté ? L’Audit interne ? Un autre départe-ment ?

Toutes ces questions doivent être posées, etnous pourrions les multiplier. Mais pourquoiles prendre une à une ? Peut-on faire autre-ment ?

Chez Roquette, lors des discussions au sein duComité des risques du groupe, il nous est trèsvite apparu qu’il fallait viser beaucoup pluslarge et regarder les risques de malveillanceet de mauvaise conduite, c’est-à-dire l’ensem-ble des problèmes cités plus haut, d’autantque certains se recoupent (vol avec violence,

harcèlement pour ne pas dénoncer unecorruption, etc.).

Le Comité des risques de notre groupe n’estpas un Comité du Conseil d’administration,mais un Comité opérationnel composé dedifférents directeurs de département commele directeur de la Sûreté, le directeurAdministratif et Financier, etc. Il revoit réguliè-

Cartographie des risques demalveillance

Pourquoi ?Comment ?

De manière alerte, l’auteur propose une approche inédite pour l’élaboration de la carto-graphie des actes de malveillance, sous la houlette de la direction de l’audit interne,avec le concours de « guest auditors » et une finalisation par un cabinet externe pouréviter toute remise en cause des résultats.

Pierre-Arnaud Cresson, Directeur de l’audit interne , Groupe Roquette



de répondre aux besoins de nombreux dépar-tements, sans oublier qu’on les « force » ainsià travailler ensemble. Bien sûr, le résultat finalsera partagé en bonne intelligence dans lesens du bien commun.

C’est à l’audit interne qu’a échu la missiond’établir cette cartographie, notamment enraison de son impartialité et son objectivité.Ceci étant, pour éviter tout écueil, le directeurde l’audit interne a de suite pris la décisiond’adjoindre à l’auditeur chargé de mission,deux auditeurs internes « invités » : le directeurde la Sûreté du groupe et le directeurJuridique corporate du groupe (plus particu-lièrement chargé de définir les besoins deconformité et de lutte anti-corruption). Demême, pour éviter toute remise en cause desrésultats, il a été décidé de faire établir laditecartographie par un cabinet externe derenom sous la coordination du chargé demission avec le soutien des deux auditeursinvités. Le cabinet a été choisi sur appel d’of-fres préparé avec le département des achats.Lors de l’appel d’offres, nous nous sommesvite rendu compte que notre démarche étaitassez nouvelle.

La mission s’est déroulée sur environ troismois et a comporté plusieurs phases en paral-lèle : Des entretiens avec une cinquantaine de

directeurs, choisis pour couvrir à la fois lesfonctions et les opérations, le siège et lesdifférents pays, les usines, la R&D et lesfiliales commerciales. Le choix a été fait enconcertation avec le cabinet et l’équiped’audit interne.

Un questionnaire a été établi en communet a été adressé à plus de deux cents sala-riés du groupe choisis par le cabinet afind’être représentatifs, ces derniers répondantde manière anonyme à des questionsfermées ou ouvertes et directement aucabinet. Nous avons insisté pour recevoirleurs commentaires.

Une revue des cas de malveillance et demauvaise conduite connus au niveau dusiège.

Le résultat (récent), i.e. la cartographie, futprésenté à l’équipe dirigeante du groupe sousforme d’un écran « radar », et des plans d’ac-tions sont en cours d’élaboration. Un résultatqui a réservé quelques petites surprises.

au moins pour avoir un message clair vis-à-visdes employés), le harcèlement (moral et/ousexuel), la dégradation volontaire des équipe-ments et matériels de la société, la violence,et d’une manière générale tous les actesvolontaires qui peuvent nuire sous une formeou une autre à la réputation de l’entreprise. En ratissant large de cette manière, on a l’as-surance raisonnable de couvrir tous les cas et

rement les risques remontés par les opéra-tions et les fonctions. Il produit sa proprecartographie des risques au niveau groupe,puis suit la mise en œuvre des plans d’actions.

Nous avons donc décidé de faire une carto-graphie couvrant tous les types de malveil-lance et de mauvaise conduite, interne ouexterne : la fraude (qui inclut la corruption –


Témoignages

Les bonnes pratiques et les règles d’hygièneinformatique, élémentsincontournables ducontrôle interne

La combinaison entre multiplicitédes moyens de conservation /diffusion de l’information (sanslimitation de mémoire) et banali-sation d’usage de ceux-ci, asso-ciée au mélange vie privée et vieprofessionnelle forment un cock-tail détonnant au regard descontraintes de préservation desinformations stratégiques d’uneentreprise. Les réseaux sociaux pratiquentun mélange des genres difficile àgérer pour leurs utilisateurs, et lenombre « d’amis » que l’on s’y faitest une porte ouverte à l’épan-chement dont on ne mesure pastoujours les conséquences. Cettesituation concerne toutes lesstrates de l’entreprise, et unevision pyramidale liant positionhiérarchique et qualité des infor-mations détenues n’est plusadaptée au regard des capacitésd’analyse, de collecte et derecoupement aujourd’hui dispo-nibles. La technique n’est qu’un moyen,le facteur humain reste l’essentielet peut être, à la fois, le point de

vulnérabilité ou le maillon fortd’une entreprise. Ordinateur, smartphone, réseauxsociaux, clefs USB, Internet…autant d’appareils ou outils quioffrent des protections standardi-sées mais qui sont souvent insuf-fisantes pour éviter le piratagepar des tiers, surtout que celui-ciest souvent favorisé par desnégligences résultant du non-respect de règles, si elles existent.Les logiciels peuvent être infec-tés, les réseaux peuvent êtrebranchés et écoutés, une clefUSB peut copier en quelquessecondes toutes les informationsd’un disque dur. Les informationsdiffusées sur des réseaux sociauxpermettent de reconstituer desorganigrammes, de comprendredes projets, de schématiser desrelations, de favoriser la fraude au« président ». Un téléphone, unPC, même éteint peuvent êtreécoutés, géolocalisés, piratés. Lerecours à un helpdesk non sécu-risé qui prend « la main » sur votreordinateur, le choix de matérielsnon vérifiés, l’emport en déplace-ment d’outils informatiques nonconçus spécialement pour cela,la négligence, la non sécurisationdes espaces de travail, du maté-riel ou le prêt sont autant derisques avérés.

Sécuritéinformatique

et contrôleinterne

Bernard Attali, consultant en Gouvernancedes Organisations, ancien auditeur del’INHESJ, conférencier en sécuritééconomique labélisé EUCLES, chargéd’enseignement en audit interne à l’IAE d’Aixen Provence et à la Faculté de Droit de ParisDescartes

Nicolas Leregle, avocat au barreau de Paris,ancien auditeur INHES, conférencier ensécurité économique labélisé EUCLES,Président de la commission intelligenceéconomique de l’ACE

Stephane Bellanger, Expert-comptable,Commissaire aux comptes, Analyste financier

Un consultant en gouvernance, un avocat au barreau de Pariset un commissaire aux comptes se sont unis pour nous faire part,chacun dans leur domaine de compétence, des menacesauxquelles sont confrontées tous les jours les entreprises, et nousindiquer comment on peut y faire face.

Témoignages


Tout ceci est connu mais souventcelà ne doit arriver « qu’auxautres ». Mais comme cela n’estpas le cas, la question sur la sécu-rité informatique et le contrôleinterne se pose avec acuité.

Sécurité des systèmesd’information etcontrôle Interne

Selon les définitions issues duRéférentiel COSO et du référentielde l’AMF (Autorité des MarchésFinanciers), le contrôle interne nese limite pas à un ensemble deprocédures ni aux seuls proces-sus comptables et financiers.Aussi les menaces liées à la cyber-criminalité et la prise en comptedes risques liés à la sécurité infor-matique sont bien des sujets quiconcernent l'ensemble desacteurs du contrôle interne etnotamment en premier lieu lesmembres en charge de lagouvernance de l'entreprise, ainsique les acteurs impliqués aupremier chef dans les probléma-tiques de contrôle interne : audi-teurs internes, contrôleursinternes, risk managers.Dans le cadre d’une définitionélargie reprise par MonsieurFranck Pavero, Administrateur del’Institut National des HautesEtudes de la Sécurité et de laJustice (INHESJ), dans l‘Auditeur,revue de l’Association Nationaledes auditeurs de l’INHESJ, ondistingue généralement : le cyber sabotage qui consiste

à rendre inopérant tout oupartie d’un système d’informa-tion d’une organisation via uneattaque informatique offensivecomme celles à l’encontre dela société saoudienne Aramcoou TV 5 Monde ;

le cyber espionnage dont a étévictime en Chine le GroupeVolkswagen ;

la déstabilisation et la désinfor-mation notamment par satura-tion des sites web.

Ces nouvelles menaces quiconcernent les organisations,doivent donc être prises encompte par l'ensemble desacteurs de la gouvernance et ducontrôle interne de l’entreprise et

ne sont pas du seul ressort de laDirection des systèmes d’infor-mation.

Aussi, afin de diffuser les« bonnes pratiques » l‘ANSSI,Agence Nationale de la Sécuritédes Systèmes d'Information,élabore à l’usage des entreprisesdes guides et supports d’informa-tion et diffuse des « règles d’hy-giène informatique » concernanttous les membres de l'entreprise.Elle a ainsi publié sous son égide,

en juillet 2011, un document inti-tulé : « Intégrer la sécurité infor-matique en démarche agile ».

Les acteurs garants du bon fonc-tionnement du contrôle internesont les premiers concernés parces « règles d’hygiène informa-tique » à respecter car les respon-sables du contrôle interne del’entreprise sont notamment lesgarants du bon fonctionnementdes processus concourant à lasauvegarde des actifs.

Le cadre juridique et son évolution

Il n’y a pas de cadre juridiquespécifique. Ce sont les outilsofferts par l’ensemble des droitset des réglementations qui ontvocation à s’appliquer selon lescas de figure observés. Mais ils nesont pas suffisants ayant vocationà être essentiellement utilisés aposteriori, suite à un problème.Il appartient dès lors aux entre-prises de se doter des moyens

internes pour sensibiliser les sala-riés aux risques que des compor-tements dévoyés associés à ladigitalisation peuvent faire courirà leur entreprise.

Cela suppose la rédaction derègles de bonne conduite, laquestion essentielle étant desavoir ce qui est secret et doit lerester et, ce qui l’est moins, carune entreprise doit aussicommuniquer, échanger, parta-ger.

Le secret des affaires

Le secret des affaires est unenotion qui revient depuis desdécennies comme un serpent demer du droit des affaires. Lesecret des affaires est complexecar il pose des questions simplespour lesquelles les réponsessont… complexes : Qu’est-ce qu’une information

stratégique justifiant d’êtreclassée comme relevant dusecret des affaires ?

Comment concilier identifica-tion de ces informations etdésignation de ceux qui en ontla charge et de quels outilsdisposent-ils ?

Comment concilier ce secretdes affaires et un univers decommunication qui pose latransparence, la diffusion desinformations comme un prin-cipe absolu (lanceurs d’alerte –loi Sapin II) ?

La transposition de ladirective européenne2016/943 du 8 juin 2016

Cette directive doit être transpo-sée dans le droit français d’ici àquelques mois. Elle qualifie lesecret des affaires comme un« enjeu vital » pour les entreprisesqui se doivent de disposer desmoyens de protéger les informa-

Les menaces liées à la cybercriminalité concernentl’ensemble des acteurs du contrôleinterne

«»


Témoignages

tions qui leurs sont indispensa-bles pour la poursuite et le déve-loppement de leur activité. Elleviendra se substituer à denombreuses dispositions conte-nues dans la loi dite de blocage(qui encadre la diffusion d’infor-mations à des juridictions étran-gères par exemple), dans le droitde la propriété intellectuelle (leplus élaboré à l’heure actuelledans les moyens de préserver sarecherche et développement).

La logique de cette directive (etde sa transposition) est donccaractérisée par : l’intégration de dispositions

issues de la loi de blocage pourêtre opposables aux juridic-tions étrangères. Le recours àdes procédures pour essayerde découvrir des secrets defabrication sous prétexte deviolation de propriété intellec-tuelle est un moyen simple etefficace, parfois coûteux, denuire à un concurrent ;

la modification du Code deProcédure Civile pour que cequi relève du secret des affairesne soit pas évoqué publique-ment mais en Chambre duConseil ou à huis clos (procès

pénal). Cela suppose que leséléments relevant du secretsoient suffisamment connus etdistingués au sein de l’entre-prise pour ne pas être commu-niqués lors d’une procédureou justifier auprès des magis-trats que leur divulgation soitle but recherché par une autrepartie ;

la réflexion en cours quant à lapossibilité d’avoir deux rédac-tions des jugements, unepublique qui ne contiendraitpas les éléments couverts parle secret des affaires et uneprivée pouvant comporter desinformations sensibles et confi-dentielles ;

la recherche d’une alternativepour concilier la mise en placed’un véritable mécanisme deprotection du secret desaffaires et, en parallèle, le rôledes lanceurs d’alerte (loi SapinII). Cela suppose que ne soit

couvert que ce qui est réelle-ment justifié. Le secret desaffaires ne doit pas être utilisépour couvrir des actes injusti-fiables voire répréhensibles.Des affaires récentes ontdéfrayé la chronique dans lesdomaines de la pharmacie, del’agroalimentaire, de l’agrochi-mie et la crainte que le secret

des affaires soit mis en avantpour préserver ce qui nedevrait pas l’être existe réelle-ment. Cet équilibre va êtredélicat ;

la sanction pénale desatteintes au secret des affairessur la base des textes qui régis-sent la violation des droits depropriété intellectuelle.

Des solutions propres à l’entreprise

Les textes sont une chose maisne sont pas suffisants en eux-

mêmes si les entreprises nemettent pas en œuvre des procé-dures internes pour identifier etprotéger leurs secrets. Aussi, lesentreprises vont devoir faire unimportant travail de recensementet de classification des informa-tions relevant du secret desaffaires. Il convient donc demettre en place un managementad hoc de ce secret avec unepersonne en charge des relationsavec les autorités administratives,judiciaires qui souhaiteraientavoir accès aux informations(secret professionnel + secret desaffaires) – type « Commissaire auxdroits » comme il existe un« Commissaire aux comptes ».

Cette mutation est en cours.Même si elle n’est pas encoredans la culture des entreprises,elle s’apparente dans sa logiqueà ce qui a été fait depuisquelques années dans ledomaine de la compliance et del’éthique. En effet il ne faut pasmasquer une réalité à savoir quela sécurité informatique reposequasi exclusivement sur le bonvouloir de ceux qui en sont lesacteurs à savoir les salariés.

Le secret des affaires ne doit pasêtre utilisé pour couvrir des actesinjustifiables, voire répréhensibles

«»

Témoignages


Le Commissaire auxcomptes et la Sécuritéinformatique

Le Commissaire aux comptes(CAC) qui est également unacteur du contrôle interne, esttout naturellement amené àcoopérer avec la Direction del’audit interne. Les Normes d’exercice de cesdeux professions prévoientformellement une coopérationentre ces deux acteurs ducontrôle interne.Ainsi, la NEP (norme d’exerciceprofessionnel) 610 : prévoitexpressément la prise en comptepar le CAC des travaux effectuéspar l’audit interne. La MPA 2050/1 de l’IIA/IFACI)prône la multiplication deséchanges entre les deux profes-sions ; selon cette norme la coor-dination des travaux de l’auditexterne et de l’audit interne estun rôle qui incombe au Directeurde l’audit Interne Concernant plus précisément lesmissions du CAC, en matière desystème d’information, elles sontdéfinies par la NEP 315 etcomportent notamment lespoints suivants :

la prise de connaissance dusystème d'information ;

l'évaluation du contrôleinterne du système d'informa-tion ;

la revue de la conformité régle-mentaire du système d'infor-mation ;

l’audit par les données afin defiabiliser l'audit, gagner enimage de marque et améliorerla productivité ;

le support méthodologique etla formation informatique pourles collaborateurs auditeursfinanciers ;

la mise en place d'outils detravail pour prendre connais-sance du système d'informa-tion de l'entreprise.

Les travaux reposent principale-ment sur les informations collec-tées au travers d’entretiens avecdes personnes de la société, surun premier niveau de revue desdocumentations mises à notredisposition. Compte tenu de laportée de ces travaux, ceux-ci nemettent pas en évidence l'en-semble des faiblesses existanteset des améliorations potentielles

des procédures et des systèmes,qu'une série de tests et qu’uneétude plus approfondie pour-raient éventuellement révéler nitoutes les améliorations qui pour-raient être apportées.

Or, incidemment, plusieursrapports récents ont démontréque les menaces de la cybercri-minalité ne sont plus dirigéesexclusivement vers les grandsgroupes ou les entreprises lesplus importantes. D’après l’étudeEuler Hermes / DFCG1 2017 « dela cybercriminalité à la fraude : unemenace en pleine mutation », 57 %des entreprises françaises ont étévictimes d’une cyberattaque en2016 : 8 entreprises sur 10 ont subi au

moins une tentative de fraude

en 2016 ; 25 % des entreprises ont subi

plus de 10 tentatives de fraudeen 2016.

Au cours des derniers mois, desfailles de sécurité dans les sitesInternet de sociétés ont causédes dommages conséquents(suppression de fichiers, ajout dedonnées erronées, récupérationdes coordonnées bancaires desclients…). Face à ce nouveau risque, forceest de constater que : les entreprises ne sont pas

organisées pour prévenir unrisque et faire face auxnouvelles obligations régle-mentaires, celles notammentinscrites dans le RGPD2 ;

les entreprises ne sont pas pluspréparées à assumer, vis-à-visdes tiers, la responsabilité desdommages que peut occa-sionner la défaillance de leursystème informatique ;

les compagnies d’assurancesont réticentes à couvrir lesconséquences financières liéesà une défaillance causée parles brèches de sécurité.

Il s’agit donc pour le Commissaireaux comptes d’être particulière-ment vigilant : En ce qui concerne le volet

réglementaire, faire réaliser unaudit de sécurité informatiquepermettant de vérifier si lesmoyens ont été mis en placepour garantir la confidentialité,l’intégrité et la disponibilité desdonnées. De la même façon,l’existence d’un plan de conti-nuité et de reprise d’activité nesuffit pas. Encore faut-il qu’ilsoit opératoire et que l’entre-prise ait la capacité de lemettre en œuvre, c’est l’objet

de l’audit du plan de conti-nuité et de reprise.

En matière de conformitélégale, l’existence d’un audit desécurité informatique permetde conforter la fiabilité et l’inté-grité des données financièresutilisées dans l’établissementdu rapport du CAC. En casd’externalisation des moyensinformatiques, le rapport d’au-dit de sécurité viendracompléter le rapport de l’auditISAE3 3402 que ne manquerapas de solliciter le CAC. Pour cequi concerne la mise en placede la loi Sarbanes Oxley au seindu SI de l’entreprise, il fautnoter un point clé de la loiportant sur la gestion desaccès aux ERP, et sur la traçabi-lité des accès aux applicationsfinancières et ressourceshumaines.

Enfin, au titre du rôle de conseilet de veille juridique duCommissaire aux comptes, ilfaut noter une récente juris-prudence dans laquelle l’ab-sence de fraude (intention defrauder) a été invoquée parcequ’il n’y a pas de moyens enplace pour détecter, préveniret empêcher la fraude (TGI deCréteil, 11ème chambre correc-tionnelle, jugement du 23 avril2013).

* **

En temps de guerre il estcoutume de rappeler que « lesmurs ont des oreilles », noussommes, même si les motsgênent, en temps de guerreéconomique. La conquête desmarchés, l’acquisition de savoir-faire sont des champs de bataillequi justifient l’emploi de moyensqui ne relèvent pas toujours desrègles de concurrence loyale.Dans ce contexte il est bon de serappeler que « les réseaux ontdes oreilles » et qu’il faut doncs’en prémunir !

1 Association des Directeurs Financiers et Contrôleurs de Gestion.2 Règlement européen sur la Protection des Données Personnelles.3 L’ISAE 3402 est une norme permettant aux utilisateurs de prestations externalisées d’obtenir une

assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services.

Les menaces de la cybercriminaliténe sont plus dirigées exclusivementvers les grands groupes

«»

La fin de l’année approche et il estcertain que le département d’auditinterne est en pleine préparation deson plan d’audit. Plan pour une

année ou plus mais plan !

Et c’est parti : analyse des risques, calculs d’en-jeux, d’impacts, de probabilités, discussionsavec le management, revue du contrôleinterne, analyse des rapports d’audits sortis,

benchmarking, et j’en passe. Au bout du bout,le constat est le même chaque année : troppeu d’auditeurs pour tout couvrir, commentcouper dans les missions à faire, pourquoicelles-ci plutôt que celles-là, etc. Alors quefaire ?Qui ne fait pas religieusement ce fameux pland’audit sans lequel nous ne vivrions pas etsans lequel nous ne pourrions pas être certi-fiés IFACI ?

Qui ne part pas d’une analyse des risques ?Mais n’est-elle pas incomplète puisque déjàdésuète le jour où elle est publiée ? Lesrisques majeurs d’un groupe que le départe-ment des risques a soigneusement « consoli-dés » sont-ils ceux à retenir par l’audit internedu groupe ? Ne devrait-on pas plutôt prendreceux du Conseil d’administration ? Il y a degrandes chances qu’ils soient différentspuisqu’ils se placent sous un angle différent


LIBRES PROPOS

Mon plan d’audit,quel plan d’audit ?

Pierre-Arnaud Cresson, Directeur de l’audit interne , Groupe Roquette

LIBRES PROPOS


de celui du Top management. Et nous les audi-teurs, nous avons aussi notre propre angle devue sur les risques. Alors que faire ?

Non seulement, on n’a pas assez d’auditeurspour couvrir tout l’univers d’audit, mais enplus on se bat sur le choix des processus àrisques à auditer et enfin il faudra faire faceaux imprévus qui vont tout chambouler, voireremettre en question tout le plan. Qui n’a pas,pour se prémunir contre ce « risque », décidéde garder un pourcentage de temps nonalloué dans son plan d’audit pour faire faceaux imprévus ? Quel pourcentage pour cesmissions non prévues ? Existe-t-il un bon chif-fre ? 10 % bien trop faible, au-delà de 40 %plus la peine de faire un plan, 20 %, 30 %,autres ? Proposition 26,72 %... Plus sérieuse-ment il n’y a pas de bon pourcentage. Onpeut toujours regarder les résultats de l’annéequi s‘écoule voire des années précédentes,mais cela ne fait pas l’avenir. Ce qui est certainpar contre, c’est qu’il faut qu’il ne soit pas tropbas car il ne voudrait rien dire. Cependant,plus il est important, plus il rogne sur les

missions possibles que l’on peut planifier, etplus il rend inutile l’exercice du plan d’audit.Alors que faire ?

Enfin, il y a tout le temps passé à établir ceplan d’audit dont on rêve. Avez-vous fait lecalcul ? C’est tout simplement colossal.N’oubliez pas de bien conserver tout ce quevous avez fait, d’avoir des minutes des entre-tiens, etc. Pensez à votre certification IFACI…On aurait pu au moins faire une bonnemission d’audit supplémentaire pendant toutce temps-là. Cela n’aurait-il pas été plus utileà la société ? Certains diront bien sûr que leplan c’est l’avenir, c’est la vision, c’est lebudget, c’est la détermination du « head-count », c’est la mission avec un grand M, etj’en passe. Et pourtant nous savons bien qu’àpeine approuvé, ce plan va évoluer pour nepas dire être remis en question. Alors quefaire ?

Il y a quelque temps dans une tribune d’unerevue d’audit interne étrangère, un directeurd’audit interne de renom et ayant un nombre

d’auditeurs internes conséquent, lançait unpavé dans la mare : plus de plan d’audit ! Pourtous les motifs indiqués ci-dessus. En résumé,son commentaire était le suivant : je verraibien ce qui me sera demandé ! Je vouspropose pour ma part de réfléchir plutôt à laconstruction d’un « rolling forecast » (légerpour ne pas retomber dans certains destravers exprimés plus haut). C’est-à-dire unplan en évolution permanente avec uneréunion au minimum trimestrielle avec sonCEO et son Comité d’Audit pour proposer /discuter les missions à venir, ce qui permet des’adapter en continu sans jamais passer tropde temps. Résultat, les vrais problèmes dumanagement sont regardés, sans retard.Coller à la réalité, aux nouvelles menaces, auximprévus, à ces nouveaux risques qu’on aoubliés ou qu’on n’a pas identifiés, etc. L’auditinterne peut ainsi jouer son rôle de vraisupport au management pour atteindre sesobjectifs.


ACTUALITÉ

Le 25 septembre dernier, en ouverture de la Conférencenationale qui avait lieu à Edmonton, Mireille Harnois,Présidente de l’UFAI 2012-2016, a reçu le prix de« Reconnaissance pour l'ensemble des réalisations au coursde la carrière » (Lifetime Achievement Award), décerné parl'Institut des auditeurs internes du Canada.

Ce prix vise à récompenser les membres de l'Institut pourl'ensemble de leur carrière dont les réalisations dans le domainede l'audit interne et le dévouement envers la profession ont euune incidence directe sur l'ensemble de la profession etl'organisation de l'IAI au Canada.

Dans son discours de remerciements, Mireille Harnois anotamment rappelé l'importance de contribuer à la professionafin de traduire en actes la devise de l'IIA : « Le progrès par lepartage ». Ses paroles lui ont valu une ovation debout de la partde plus de 500 auditeurs présents.

Toute l’équipe de l’UFAI félicite chaleureusement MireilleHarnois pour cette reconnaissance amplement méritée !

Félicitations à Mireille Harnois

De g. à d. : Jeff Erdman, Président de IIA Canada, Carmen Abela,Présidente de IIA Canada, Mireille Harnois, Récipiendaire du Prixreconnaissance, J. Michael Peppers, 2017-18 Chairman of theGlobal Board

La Banque Centrale Européenne a choisi IFACI Certification afin de réaliser la certification qualité de sa Direction d’audit interne.

Suite à la première mission réalisée en 2013, la Banque Centrale Européenne renouvelle sa confiance au consortium composé de l’IIAUK and Ireland, l’IIA The Netherlands et l’IIA Spain, piloté par IFACI Certification.

Cette mission intervient dans le contexte des évolutions de politiques monétaires, de montée en puissance du Mécanisme deSupervision Unique et des attentes prudentielles, ainsi que de conception de nouveaux systèmes de transactions et d’échanges dedonnées.

IFACI Certification offre de manière régulière, à près d’une centaine de directions d’audit interne, des services de Certification Qualité,d’Évaluation Maturité et d’Évaluation Performance.

Ces services permettent aux services d’audit interne, pour un rapport qualité prix optimal, de se conformer aux exigencesprofessionnelles et de déployer des démarches d’amélioration continue, d’innovation et d’efficacité.

La menace est omniprésente dans les organisations · sûreté Une priorité pour l’audit interne...

Documents

Transcript of La menace est omniprésente dans les organisations · sûreté Une priorité pour l’audit interne...