A moins d’un an de l’entrée en vigueur du règlement européen sur la protection des données personnelles et face aux nombreuses cyberattaques mondiales très offensives (en mai et juin notamment cette année), les risques financiers liés au numérique et à un système d’information non sécurisé, non conforme ou pas suffisamment contrôlé, sont de plus en plus prégnants.

En mars 2017, un groupe de travail « audit informatique » a été lancé par la Compagnie régionale des commissaires aux comptes de Paris (CRCC) en partenariat avec l’AFAI, rassemblant des spécialistes du contrôle interne informatique et de l’analyse de données informatiques.

Leur objectif est de sensibiliser la profession à ce rôle de vigilance et de conseil auprès des entreprises, pour les inciter à mettre en place des outils d’aide à la gestion et la maîtrise des risques en interne.

Le groupe de travail publie aujourd’hui les résultats de ses travaux dans un livre blanc regroupant 10 fiches pratiques. Une série de questionnaires par thème y est insérée, visant à aider les entreprises et leurs dirigeants à évaluer leur niveau de risque de fraude et de cyberattaques.

« Dans un monde qui change, notamment face à la révolution du digital, les entreprises évoluent et les méthodes de travail aussi. Les commissaires aux comptes engagent aujourd’hui leurs compétences auprès des TPE et PME notamment, vulnérables face aux cyberrisques, pour répondre à leurs nouveaux besoins. En se formant et en se sensibilisant à l’évaluation des risques liés aux systèmes d’information tout comme à l’utilisation d’outils de data mining - analyses de données - dans le cadre de leurs missions, nos confrères seront en capacité de les aider à répondre au défi des nouvelles technologies, et à se prémunir face aux risques élevés de fraude et de cyberattaques », commente Frédéric Burband, vice-président de la CRCC de la Paris, à la tête du groupe de travail « Audit informatique ».

Le livre blanc proposé par la CRCC de Paris se décompose en 10 fiches pratiques illustrées d’exemples mais également de questionnaires permettant aux lecteurs d’établir un premier diagnostic de leur exposition aux risques :

FICHE 1 – Ouverture sur la transformation numérique : enjeux, facteurs clés de criticité, analyse de la performance
FICHE 2 - Gouvernance des systèmes d’information : rôles et responsabilités, gouvernance des données, contrôle interne des SI
FICHE 3 - Contrôle des accès : illustration sur les cycles d’achats et de vente
FICHE 4 - Conduite de projets : périmètre, ressources, risques, conformité et tiers externes…
FICHE 5 - Utilisation des outils d’audit de données : validation des fichiers transmis avant analyse, préparation des données pour l’analyse, identification et analyse des doublons anormaux…
FICHE 6 - Protection des données personnelles
FICHE 7 - Législation fiscale et SI
FICHE 8 - Exploitation des systèmes d’information : externalisation, sous-traitance, Cloud… les risques associés sont-ils évalués et des clauses de réversibilité sont-elles prévues ?
FICHE 9 - Plan de continuité d’activité
FICHE 10 - Cybersécurité

Le livre blanc de la CRCC est disponible ici.

Hugues ROBERT