L'interview de Nicolas Defresne, chef de mission audit IT

Je suis Nicolas Defresne, et je travaille comme cef de missioon audit des Systèmes d’Information (SI) à La Banque Postale. Après une première vie professionnelle en tant que commercial dans l’informatique, je me suis réorienté vers ce métier en 2017 et j’ai eu la chance d’intégrer l’Inspection Générale de La Banque Postale, où je m’épanouis au sein du pôle « Quantitative & IT ». J’y ai commencé comme inspecteur, et depuis janvier 2021, je suis chef de mission d’audit.

J’ai repris mes études en 2016 pour effectuer un Master 2 SIEE (Système d’Information de l’Entreprise Etendue) à Paris Dauphine dans le cadre d’un contrat d’alternance. J’ai intégré la direction des risques de CNP Assurances, avant son acquisition par La Banque Postale. C’était pour moi la découverte du secteur assurances, qui m’était complètement inconnu, ainsi que l’exploration des lignes de défense, et des enjeux réglementaires associés, y compris sur le fonctionnement du système d’information… C’est lorsque j’ai intégré La Banque Postale que j’ai poursuivi sur la découverte du monde bancaire avec une autre culture, d’autres métiers et d’autres contextes réglementaires. Je dois avouer que j’en apprends encore tous les jours après 4 ans d’expérience dans l’audit.

Un master en finance ne sera pas suffisant pour accéder à un poste d’auditeur des systèmes d’information en banque, ou dans tout autre secteur. La particularité du domaine est d’être très structuré, avec une myriade de référentiels, de bonnes pratiques très matures, reconnus mondialement, et adressant tous types d’activités : la gouvernance, l’exploitation, la gestion de projet, la cybersécurité… La connaissance d’au moins une partie de ces bonnes pratiques est un prérequis pour auditer les activités d’une DSI. Il existe des cursus qui proposent des formations mixtes de gestion d’entreprise et d’audit du SI, comme le Master SIEE de Dauphine qui m’a appris mon métier, mais l’idéal est d’obtenir une double spécialisation : la première en finances, et la seconde en gestion ou audit du SI. Un parcours intéressant, que l’on voit de plus en plus, consiste à cumuler un diplôme de juriste et d’audit SI, ce qui permet de comprendre précisément les attendus réglementaires, de plus en plus nombreux et complexes, et de les traduire en exigences SI.

C’est l’une des missions fondamentales du contrôle périodique, et surtout un attendu du régulateur. Les processus informatiques font partie de l’univers d’audit, mais surtout, le système d’information est au cœur des activités de tout type d’organisation, et plus particulièrement dans le secteur bancaire, où les parcours clients et process sont de plus en plus digitalisés. Les enjeux, et donc les risques, sont considérables, et cet écosystème doit donc faire l’objet d’une attention particulière lors des audits.

Tout d’abord, la Banque Postale est une banque jeune, qui doit sans cesse évoluer pour se diversifier, gagner en maturité et améliorer l’expérience de ses clients. Dans son plan stratégique 2030, La Banque Postale vise un objectif : devenir la banque préférée des Français. Pour y parvenir, l’une de ses priorités est de se hisser parmi les leaders de la satisfaction client en intégrant le top 3 pour les services à distance dès 2023.  Par conséquent, le SI de La Banque Postale doit s’adapter, s’enrichir, et améliorer son efficacité. Ces phases de transformation successives engendrent des risques, mais aussi beaucoup d’opportunités. Surtout, La Banque Postale s’inscrit dans un contexte particulier : elle est filiale du Groupe La Poste, qui n’est pas une structure financière, contrairement aux autres établissements de la place. De ce fait, sa distribution de produits et services s’appuie sur le canal des agences bancaires de La Poste situées au sein des bureaux de poste, qui a son propre système d’information. Les environnements mutualisés - et notamment le réseau national qui alimente 7 600 bureaux de poste - sont donc parfois opérés par La Poste. Nous sommes donc amenés à auditer régulièrement la gestion de ces infrastructures administrées par notre maison mère, ce qui requiert une posture particulière. Mais nous maîtrisons heureusement plutôt bien cet exercice, les enjeux sont communs !

La différence vient surtout du contexte réglementaire : l’arrêté du 3 novembre 2014 impose aux établissements bancaires un contrôle périodique, qui vient concourir au dispositif global de maîtrise des risques. A ce titre, l’Inspection Générale cible dans ses investigations en priorité des catégories de risques identifiées dans la réglementation, par exemple le risque de crédit, de taux ou de liquidité, mais également tous les risques opérationnels. Un audit interne classique, hors contexte réglementaire, aura plus vocation à identifier les entraves à l’atteinte aux objectifs métier, et les sources d’inefficacité opérationnelle. L’Inspection Générale, quand elle en a la possibilité, effectue aussi ce travail, mais ce n’est pas sa vocation principale.

Pour être franc, c’est difficile de se maintenir informé par soi-même. Nous avons la chance de bénéficier de diverses cellules de veille réglementaire et juridique, aussi bien au sein de notre IG qu’à la direction des risques groupe ou à la conformité, ainsi que des formations régulières, qui nous permettent de garder à jour nos connaissances. Cela étant, identifier et décrypter les nouveautés réglementaires, comme DORA qui doit intervenir en 2022, et leurs évolutions régulières, nécessite un investissement en temps important. Durant le cadrage et la préparation des missions, nous effectuons également ce travail, afin de pouvoir ensuite décliner les attendus réglementaires en programmes de travail.

Effectivement, la cybersécurité fait l’objet de l’actualité ; il est désormais l’un des principaux sujets de préoccupation pour toute entité exposée sur le net, qu’il s’agisse d’une banque ou autre. Les ransomwares sont particulièrement difficiles à contrer, compte tenu de leur mode de propagation rapide et large, et de leur impact sur tout type de donnée. La Banque Centrale Européenne a d’ailleurs renforcé le cadre réglementaire en 2021, en précisant ses attendus en matière de sécurité informatique, et de cadre de contrôle. De plus, sur le marché de l’emploi, cette spécialité est de plus en plus recherchée.

De mon point de vue, le premier prérequis est d’avoir une vraie curiosité et une soif d’apprendre. Par exemple, j’utilise un écosystème d’équipements personnels, un « SI domestique » qui me permet d’expérimenter, et de comprendre ce que je retrouve dans le monde de l’entreprise. Ensuite, suivre un cursus qui aborde de façon approfondie l’audit est un atout indéniable : c’est un métier passionnant, qui inculque beaucoup en matière de méthodologie de travail, de relationnel, de synthèse, de déontologie…  Enfin, ce qui peut faire la différence, c’est l’engagement personnel : préparez-vous à un métier exigeant, ne comptez pas vos efforts, sortez de vos zones de confort…Cette force de travail vous servira particulièrement au sein d’une Inspection Générale, mais également tout au long de votre carrière professionnelle.