Retour sur la Création du Département d'Audit Interne des Systèmes d'Information au sein de l’Inspection générale, Direction de l’audit du Groupe Caisse des dépôts et consignations

Yamina Nohu, Responsable du département d’audit interne des systèmes d’information et sciences de la donnée de la Caisse des Dépôts et Consignations, revient pour le blog IFACI sur les raisons qui ont menées à la création de ce département, ses spécificités et enjeux futurs.

Qu’est-ce qui a poussé à la création d'un département d’audit dédié aux systèmes d’information ?

YN : La décision de créer un département d’audit des systèmes d’information a été motivée par une volonté stratégique de renforcer notre gouvernance et notre gestion des risques SI et SSI (Sécurité Informatique et Sécurité des Systèmes d’Information). Avant 2022, l'audit informatique était fragmenté au sein d’un département plus largement dédié aux risques opérationnels liés aux fonctions support, avec une équipe restreinte en expertise informatique. De plus, notre GIE (groupement d'intérêt économique) Informatique disposait de son propre dispositif d’audit interne mais avec des ressources très limitées. Si ce modèle a pu fonctionner par le passé, il était devenu inadéquat face à l’évolution de nos environnements technologiques, aux exigences réglementaires toujours plus strictes, et par le fait que le risque SI était devenu le premier risque opérationnel de la Caisse des Dépôts et Consignations.

En créant ce département, nous avons franchi une étape décisive dans notre démarche de gestion des risques. Nous avons centralisé et renforcé notre expertise en intégrant l’audit interne du GIE Informatique au sein d’une entité unifiée, tout en garantissant une indépendance accrue de l’audit interne des systèmes d’information.

Quels sont les principaux rôles et responsabilités de ce nouveau département ?

YN : Le cœur de notre mission est clair : auditer nos systèmes d’information avec une expertise technique pointue. En termes d'objectifs, nous cherchons à évaluer la sécurité, la performance ainsi que la conformité de nos systèmes d’information et voulons contribuer à améliorer la résilience de nos systèmes et prévenir les risques de cybersécurité.

De plus, notre département a la charge de l’élaboration et du déploiement de notre feuille de route numérique, démarche qui transforme progressivement notre façon de travailler en intégrant l’automatisation et l’intelligence artificielle dans nos processus d’audit.

Pouvez-vous nous en dire plus sur cette feuille de route numérique et ses objectifs ?

YN : La feuille de route numérique est notre « révolution silencieuse ». Notre ambition est de moderniser et d’optimiser l’Inspection générale à travers plusieurs initiatives stratégiques.

Nous souhaitons intensifier l'utilisation des outils de data science pour optimiser notre couverture assurantielle : en perfectionnant la précision et l'efficacité de nos analyses lors des missions d'audit et des travaux de programmation d’audit, ces outils nous aideront à mieux identifier et anticiper les risques, à détecter les anomalies avec une fiabilité accrue et à produire des rapports plus détaillés et pertinents.

Nous utilisons déjà des outils de visualisation de données dynamiques, mais nous souhaitons aller encore plus loin. Dans cet objectif, nous développons et déployons actuellement une infrastructure de data lake (plateforme permettant le stockage et l'analyse de données sans contrainte de type ou de structure, ndlr), visant à produire des analyses quantitatives plus approfondies.

Notre transformation digitale nous amènera à identifier et exploiter les synergies avec les autres acteurs du contrôle interne, ce qui renforcera ainsi la gouvernance et la gestion des risques. Cela nous fera tendre vers des systèmes d’audit en continu pour une surveillance permanente des données ainsi que des processus, qui nous permettront d’accroître l’utilisation du process mining.

Enfin, nous voulons optimiser les étapes du processus d’audit afin de diminuer le temps consacré aux tâches répétitives et administratives. Divers projets d’automatisation sont en cours, incluant la modélisation des tests d’audit, la génération automatique de comptes rendus, de rapports de synthèse, ainsi que l’automatisation des saisies manuelles de constats et recommandations dans les outils de suivi.

Quels sont les principaux défis rencontrés dans cette transition ?

YN : Chaque réorganisation comporte ses défis, et la nôtre n’a pas fait exception. L’un des plus grands défis a été d'intégrer pleinement l'audit des systèmes d’information dans notre écosystème. Il était crucial qu’il soit perçu non seulement comme une fonction de contrôle, mais aussi comme un partenaire stratégique.

Nous avons dû constituer une équipe compétente, dotée d’expertises en systèmes d’information sur toutes les couches, et en sécurité des SI, dans un contexte où ces expertises sont rares et très demandées.

Pour pallier les difficultés à recruter des talents spécialisés en cybersécurité, nous avons diversifié les profils recherchés : nous intégrons désormais des candidats aux parcours diversifiés, incluant des experts techniques, des collaborateurs disposants d’une expérience en tant que consultants indépendants apportant une perspective unique, des collaborateurs ayant acquis une riche expérience dans des entreprises de service d’intérêt public et/ou bancaires…

Nous avons également renforcé notre processus de sélection en introduisant des exercices de mise en situation, permettant une évaluation plus précise des compétences pratiques des candidats. La particularité de notre processus est qu’il associe aux recrutements les auditeurs du département, ce qui a l’avantage de donner au candidat une vision très opérationnelle de l’activité et du collectif. Ça participe à l’attractivité de notre organisation.

Enfin, un travail conséquent a été réalisé pour améliorer notre processus de recrutement en réduisant les délais de recrutement de sorte à être plus réactif et là aussi plus attractifs.

L’équipe d’audit compte désormais 10 équivalents temps plein et 2 apprentis (en cours de recrutement), avec une répartition de 60% d’auditeurs informatiques et 40% d’auditeurs en cybersécurité. À titre de comparaison, le département se situe maintenant dans la moyenne des quatre autres départements de l’Inspection générale Groupe.

Comment voyez-vous l'évolution de votre département dans les prochaines années ?

YN : Deux ans après sa création, le département d’audit des systèmes d’information poursuit une stratégie ambitieuse de développement d’une cellule d’expertise data science interne afin de répondre aux défis croissants des risques liés aux algorithmes d’intelligence artificielle. Les contraintes règlementaires en matière de conception, d’entrainement et de déploiement de solutions d’intelligence artificielle et leur développement au sein du Groupe Caisse des Dépôts justifient désormais cette internalisation de ces compétences.

Notre cellule d’expertise data science aura aussi vocation de mieux accompagner les auditeurs métiers de la Caisse des Dépôts dans l'adoption de nouvelles pratiques d'audit, en partageant notre expertise et nos outils innovants. Notre objectif est d’harmoniser et de renforcer l’efficacité de nos audits à travers toute l’Inspection générale en produisant des analyses de données à la demande des auditeurs.

Si vous deviez prodiguer un seul conseil, à une organisation envisageant une restructuration similaire de son audit interne, quel serait-il ?

YN : Si je devais donner un unique conseil, ce serait d'obtenir d'abord un sponsoring au plus haut niveau, ce dont j’ai pu bénéficier. Un soutien fort de la direction est crucial pour assurer la légitimité et le succès de la démarche. Ensuite, miser sur l'engagement et le développement de ses collaborateurs, ce que je me suis efforcée de réaliser. Leur compétence, leur motivation et leur engagement sont essentiels. Valoriser leur contribution, encourager l'innovation et l'amélioration continue, car la satisfaction professionnelle est la clé de la réussite du projet.