Responsable d’une équipe d’audit interne au sein de Lafarge, Michel Juvin a découvert la difficile mais passionnante tâche d’écouter pour convaincre. Des qualité qui l’on conduit à oeuvrer aujourd’hui comme évangéliste maison au niveau du groupe, sous le titre de Group Information Security Officer. Il aborde pour SecurityVibes les différences culturelles en matière de sécurité, la différence essentielle entre COBIT et ISO et son rôle en tant que GISO.

SV : Michel Juvin, vous avez commencé au sein de Lafarge comme responsable d’une cellule d’audit interne. Comment concilier la rigueur de l’audit aux cultures très différentes à travers les différentes filiales du groupe dans le monde ?

MJ : L’audit doit en effet être très carré, très cartésien, et d’un pays à l’autre toutes les cultures ne sont pas aussi ouvertes à cette approche. Et pourtant, elles ont aussi leurs méthodes, et sont efficaces même sans être aussi structurées. Il y a donc un vrai travail d’écoute et d’accompagnement à faire pour que l’équipe d’audit apporte malgré tout une valeur ajoutée dans la formalisation des processus.

C’est par exemple le cas dans le suivi des jobs d’exploitation. Même si l’exploitation ne pose aucun problème, il est très important en terme de niveau de service d’être en mesure de s’assurer que les Systèmes d’Information délivrent correctement les données après avoir réalisé les traitements attendus. On peut gérer le problème à l’anglo-saxonne (« tel processus a terminé, quel est son statut ? Et s’il n’est pas le bon voilà comment j’ai recouvré après l’erreur, et la reprise s’est faite avec tels points de commit »), ou avec une approche plus exotique (« ah oui, là je sais que quand il se arrive cela je peux en général redémarrer comme ceci »).

Dans les deux cas la méthode peut fonctionner du point de vue de l’exploitation mais pour l’auditeur interne l’objectif est l’efficacité opérationnelle du SI. Et il faut alors pousser les entités qui n’ont pas une telle structuration de leurs processus afin de les amener à avoir progressivement cette approche cartésienne dans la production de l’information.

SV : Comment y parvient-on ?

Cela exige de bien communiquer. La racine latine du mot « auditeur » vient du verbe écouter : il faut beaucoup écouter afin de proposer une solution qui soit adaptée à l’objectif du Groupe tout en prenant en compte l’aspect culturel de l’entité. Et la tâche est encore plus complexe, et passionnante, dans les pays où se sont « empilées » plusieurs cultures différentes au fil des siècles.

SV : Par exemple ?

La comparaison entre le Brésil, l’Afrique du Sud, la Malaisie ou les Philippines, par exemple, est intéressante. Au Brésil nous sommes dans un pays 100% latin où le management passe beaucoup par la confiance. En Afrique du Sud on a une culture anglo-saxonne, ou plutôt néerlandaise, sur laquelle se greffe un mode tout à fait africain de management des processus qui conduit à une approche très différente. Pareil aux Philippines, mais en plus complexe car on y retrouve des influences asiatiques, portugaises et américaines ! Quant à la Malaisie, la situation est complexe parce que 60% de la population est de confession musulmane (il s’agit souvent des opérateurs) tandis que les 40% restants sont plutôt catholiques, chinois, et sont aux commandes des processus.

Tous ces contextes sont très riches, et ils demandent une grande adaptation de la part de l’auditeur pour faire accepter son rapport par le management local !

SV : Au delà des capacités d’écoute et d’adaptation, quels étaient vos outils ?

Il n’y avait aucun guide pour encadrer les pratiques d’audit lorsque je suis arrivé, j’ai donc eu à créer cet outil. Je me suis basé pour cela sur la méthode COBIT, qui contient de manière la plus large possible les différents points de contrôle d’un SI. Mais ce fut un travail itératif et nous avons sans cesse remis notre guide en question au fil de la vingtaine de missions d’audit que j’ai réalisé en quatre ans.

SV : On oppose parfois COBIT et ISO 27001 / 2, quel est votre opinion sur ces deux approches ?

COBIT est plus tourné vers l’opérationnel de la sécurité, tandis que ISO est plus adapté au management des processus. On peut gérer n’importe quel processus avec ISO, tandis que COBIT est très concret et très spécifique.

J’apprécie la norme ISO notamment parce qu’elle permet, à la suite d’une erreur, de mettre en place un processus capable de corriger de manière récurrente cette anomalie. Alors que COBIT a une vision plus courte qui consiste à dire « vous avez telle situation, il faut y répondre comme cela ». Mais c’est très bien adapté aux audits en revanche.

SV : Après l’audit, et après un passage dans l’opérationnel et le pilotage d’un projet, vous êtes nommé Group Information Security Officer. Un retour aux sources ?

En tant que GISO, je rapporte au responsable technique de notre infrastructure. Mais j’ai aussi une casquette de contrôle interne, qui va bien avec la sécurité et qui complète le rôle. L’objectif est d’être un évangéliste de la sécurité au sein de l’organisation.

SV : C’est un rôle que l’on s’attend plutôt à trouver dans un groupe qui fait de l’information son coeur de métier, ce qui n’est pourtant pas le cas de Lafarge, non ?

Oui, mais nous sommes en cela similaires à tous les grands groupes hors banque, assurance, finance, etc… Nous nous rendons compte que malgré tout la chronique des faits divers au sujet de la sécurité IT est si riche qu’elle créée une demande de la part de nos utilisateurs. Ce qui facilite la communication sur le sujet, même si le groupe n’est pas directement concerné.

Mais c’est aussi tout simplement un risque (le risque IT, ndlr) qui doit être couvert, au même titre qu’un autre. Certes, il est aujourd’hui en progression et l’investissement suit donc la même tendance, mais nous nous appuyons pour cela, comme tous les grands groupes, sur une matrice des risques classique.