Bale II visait à définir les risques de contrepartie et d’autres parts les risques d’inadéquation ou de défaillance des systèmes. La réalité actuelle est qu’aucun établissement bancaire n’est engagé, 7 ans plus tard, dans une démarche d’identification des actifs / risques / impacts.

Sarbanes-Oxley Act, publié en juillet 2002 (connu aussi sous le nom Public Company Accounting Reform and Investor Protection Act of 200) dans sa section 302  » Internal control certifications  » et 304  » Assessment of internal control « ) oblige aussi à mettre en oeuvre un contrôle interne s’appuyant sur un cadre conceptuel. En pratique le COSO (référentiel de contrôle interne) est le référentiel le plus utilisé avec la vocation de définir :

     L’environnement de contrôle, qui correspond, pour l’essentiel, aux valeurs diffusées dans l’entreprise ;

     L’évaluation des risques à l’aune de leur importance et fréquence ;

     Les activités de contrôle, définies comme les règles et procédures mises en oeuvre pour traiter les risques, le COSO imposant la matérialisation factuelle des contrôles ;

     L’information et la communication, qu’il s’agit d’optimiser ;

Son évolution, le COSO 2, « Enterprise Risk Management Framework » fait aujourd’hui référence dans le cadre de la gestion des risques, l’objectif étant :

     d’identifier les événements potentiels pouvant affecter l’organisation

     de maîtriser les risques afin qu’ils soient dans les limites du  » Risk Appetite  » (appétence au risque) de l’organisation

     de fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation

En France, La loi de sécurité financière (LSF), du 17 juillet 2003 a pour objectif de renforcer les dispositions légales en matière de gouvernance d’entreprise. La loi de sécurité financière repose principalement sur:

     Une responsabilité accrue des dirigeants

     Un renforcement du contrôle interne

     Une réduction des sources de conflits d’intérêt

Cette pléthore de dispositifs soulève une question: pourquoi les les résultats sont à l’opposé des engagements escomptés ? La réponse tient dans le rappel d’un principe fondamental, hélas non respecté : la séparation des pouvoirs. Les banques n’ont à ce jour pas encore jugé utile, de sortir la sécurité et la gestion des risques de la DSI. Cela revient un peu à imaginer que le maître d’oeuvre va rapidement se  » passer  »   des aspects sécurité et gestion des risques priorisant la mise en oeuvre de ses projets, avec des résultats attendus à courts termes.

Pourtant le respect d’un certain nombre de règles pourrait conduire à un meilleur contrôle. Elles sont au nombre de 5:

Règle N°1 : sortir la gestion des risques et la sécurité de la DSI. Sans cette mesure, l’évaluation des risques sur les actifs demeurera un voeu pieux. Le travail de mise en oeuvre (et la maintenance) n’étant pas une charge négligeable, la priorité est donné aux fameux  » Quick Win « .

Règle N°2 : Mettre en place un véritable référentiel des actifs, le maintenir et le faire contrôler régulièrement. La classification des actifs n’étant pas engagée (signée par le métiers et pas par la DSI), les analyses d’impacts sont grossièrement effectuées par des RSSI dont l’expertise en la matière nécessiterait un petit retour aux sources, avec des formations adéquates et des mesures d’impacts complexes à évaluer mais devant faire l’objet d’étude.

Règle N°3 : Après la constitution d’un référentiel complet des actifs (se référant à l’ISO pour les familles, informations, applications, physiques…) les analyses d’impacts, sur le métier d’une part, et sur le système d’information d’autre part, permettront de mettre en place les contres mesures adéquates. L’industrialisation par processus, visant à décrire les activités sous forme de logigramme ne semble pas encore relever d’une culture naturelle dans le microcosme de la sécurité. Pourtant chaque activité étant décrite, les indicateurs de suivi prennent de fait une cohérence liée aux modes opératoires qu’ils décrivent. Trop souvent des tableaux de bord sans lien avec les opérations critiques, sont réalisés, au détriment des indicateurs réellement stratégiques.

Règle N°4 : décrire par processus les activités critiques et contrôler leur conformité à travers leurs indicateurs naturellement produits et évaluables, afin de pallier aux limites de l’auto déclaratif. Suite aux réglementations SOX, Bale II, LSF, la remontée des contrôles est apparue. Il eut été naturel de créer une structure interne (souvent existante dans les banques, contrôle permanent …) dont la responsabilité repose sur la pertinence des informations remontées, tant en terme de fraicheur que de qualité. Cela a été très largement usurpé (pour des raisons de budget) et contourné par le mode auto déclaratif. Il est demandé à chacun d’évaluer ses contrôles et de déclarer combien de stop et de feux de rouge ont été grillés et ce sont ces valeurs qui sont remontées à la direction….il est facile d’imaginer que les informations remontés sont à la hauteur de la méthode !

Règle N° 5 : Définir les contrôles à remonter hors de la DSI (Surveillance permanente), supprimer l’auto déclaratif au profit de véritables équipes en charge de la remontée de ces informations vitales en terme de pilotage des risques opérationnels.