À l’occasion des 60 ans de l’association, des adhérents nous parlent de leur parcours et de ce que l’IFACI leur apporte. Patrick Soenen, adhérent depuis plus de 25 ans, spécialiste des systèmes d’informations, formateur et coach de services d’audit interne, ainsi que responsable de la communauté IFACI RGPD, évoque les grands défis de nos métiers et le rôle que joue l’association en soutien des professionnels.
Pouvez-vous nous parler de votre parcours et de votre rôle actuel ?
Patrick Soenen : Mon parcours se divise en deux périodes. À partir des années 80, j’ai travaillé dans le domaine informatique, en tant que DSI, pendant une douzaine d’années, notamment à Cergy-Pontoise, au sein d’une multinationale américaine. La deuxième phase a commencé à partir des années 2000, lorsque j’ai pris la décision de passer « de l’autre côté », en devenant auditeur des systèmes d’information. Par la suite, puis j’ai travaillé à la sécurité de ces mêmes systèmes, ainsi qu’au respect des libertés individuelles… La loi informatique et libertés existait déjà, et le RGPD est entré en vigueur en 2018..
Aujourd’hui, je suis jeune retraité. J’ai arrêté en partie mes activités d’audit, mais je continue à transmettre mes compétences. Je délivre ainsi toujours des formations, je coache des services d’audit interne, que ce soit sur le RGPD, la sécurité, la cybersécurité ou la gouvernance informatique, qui reste un sujet compliqué dans beaucoup d’organisations.
Qu’est-ce que vous diriez des grands défis du métier aujourd’hui ?
P.S. : Ce que l’on a surtout constaté, c’est l’évolution de toute la réglementation. Le RGPD a sans doute été l’une des premières grandes réglementations européennes, mais depuis, il y en a eu beaucoup d’autres : NIS21 sur la cybersécurité, Dora2, qui me concerne un peu moins car la réglementation est limitée aux institutions financières… Et puis, évidemment, il y a le Data Governance Act3. On constate que les organisations ont toujours beaucoup de difficultés à gérer leurs données, à en assurer la qualité, et ne savent pas toujours comment en retirer de la valeur.
Et puis, comment ne pas citer l’intelligence artificielle. Toutes les organisations s’y intéressent : on expérimente ChatGPT ou d’autres solutions comme Copilot, même si, dans la plupart des cas, on ne sait pas encore très bien ce qu’on pourrait en obtenir.
Quant au RGPD, les organisations estiment aujourd’hui qu’il y a d’autres priorités. Elles subissent les conséquences directes d’une cyberattaque, et la cybersécurité prend le pas sur le RGPD.
« L’audit est aujourd’hui beaucoup plus axé sur l’évaluation et la maîtrise des risques »
Que diriez-vous de l’évolution de la profession ces dernières années ?
P.S. : Quand j’ai commencé dans l’audit, il y a 25 ans, la gouvernance, et notamment la gouvernance informatique, était au centre des préoccupations, du fait du début de la transformation numérique. J’ai eu l’opportunité de réaliser de nombreuses missions d’audit dans des grandes structures, que ce soit dans le domaine des services ou dans celui de l’énergie. Nous étions face à des transformations importantes, avec la libéralisation, les compteurs intelligents, les smart grids4, l’éolien… Les organisations rencontraient la difficulté de mise en œuvre de toute cette transformation, le modèle de prise de décision étant beaucoup trop basé sur du consensus entre tous les acteurs. Et le consensus, cela prend beaucoup de temps, alors que l’innovation et l’évolution sont beaucoup plus rapides. Puis il y a eu l’internet, le cloud, la robotique, aujourd’hui l’intelligence artificielle, les réglementations, la cybersécurité… Aujourd’hui, l’audit est beaucoup plus axé sur l’évaluation et la maîtrise des risques. On ressent très fortement ce besoin d’évaluer et de réagir, de maîtriser les risques, et ceci constitue quand même une orientation plus tournée vers le conseil. Les comités de direction, les comités d’audit, les conseils d’administration sont aussi plus à l’écoute.
Quelles sont les compétences indispensables pour réussir dans votre domaine ?
P.S. : Je parlerai principalement de mon expertise d’auditeur IT. Une connaissance de base des systèmes du digital est manifestement nécessaire. Il faut ensuite pouvoir les combiner, évidemment, avec les compétences de l’audit. Et dans toutes ces sociétés, qu’elles relèvent du secteur énergétique ou industriel, on constate aussi que la robotique et l’innovation digitale se sont considérablement développées avec l’IoT, l’internet des objets.
En tant qu’acteur dans ces secteurs, qu’il s’agisse de robotique ou de systèmes de contrôle, il faut pouvoir auditer ces environnements, qui sont aussi confrontés de plus en plus souvent à des problèmes de cybersécurité, des cyberattaques… Une maîtrise de tout ce qui concerne l’architecture des systèmes d’information, l’urbanisation des SI, l’interopérabilité interne et externe est primordiale.
Et puis, il y a évidemment toute l’évolution dans le domaine de l’audit, la gestion des risques… Et enfin, parallèlement à cela, les compétences humaines et relationnelles restent fondamentales.
« La base documentaire de l’IFACI est extrêmement riche »
En quoi l’IFACI vous apporte-t-il un soutien concret ?
P.S. : Ce qui m’a attiré à l’IFACI, par rapport à l’IIA en Belgique, mon pays d’origine, c’était, à l’époque, le catalogue de formation. En effet logiquement, l’IFACI compte beaucoup plus d’adhérents, et est en mesure d’offrir un catalogue plus riche, plus large, plus vaste, avec des formations de qualité. Donc, ça a été ma première motivation pour adhérer.
Évidemment, aujourd’hui, en fin de carrière, ce sont moins les formations qui m’intéressent, mais surtout la base documentaire, qui est extrêmement riche, et à laquelle je me réfère encore très régulièrement quand j’ai des demandes spécifiques de clients. Et puis il y a aussi un outil fantastique, c’est la plateforme d’échange, Workvivo. Aujourd’hui, cela permet également de partager des expériences, des connaissances, et de rester au courant aussi de l’actualité.
GAIA est également une belle initiative, parce que cela permet de trouver plus facilement ce dont on a besoin dans la base documentaire. Je n’en suis pas encore un grand utilisateur, mais c’est vrai que c’est un outil qui est très prometteur.
Quelle est, selon vous, la valeur de votre métier pour les entreprises ?
Face à l’importance de la transformation numérique et de l’innovation, l’auditeur IT a un rôle important à jouer en matière de maîtrise des risques. Dans les organisations, les acteurs ne sont pas toujours conscients de toutes les implications, ils ne sont pas toujours pleinement conscients des difficultés et, finalement, des risques que tous ces investissements engendrent. Il est fréquent de dégager des budgets pour des projets de transformation de grande envergure, pour des programmes qui vont impacter l’organisation, mais toutes les implications concrètes ne sont pas toujours prises en compte. Je pense que là, en tant qu’auditeurs, nous avons un véritable rôle à jouer.
Quels sont les défis ou transformations que vous anticipez dans les prochaines années ?
P.S. : L’audit doit pouvoir agir comme un filet de sécurité avant qu’un risque se concrétise. Mais, malheureusement, on constate encore souvent que beaucoup de ressources sont gaspillées, que beaucoup de projets n’aboutissent pas. Ou aboutissent avec beaucoup de difficultés, en dépensant plus, avec des retards considérables. Souvent, dans le passé, on auditait post mortem, quand un projet était terminé. C’est peut-être utile en tant que retour d’expérience, mais cela n’apporte plus rien pour le projet.Aujourd’hui, de plus en plus d’audits se font durant le cycle de vie du projet. Cela permet de le réorienter et, espérons-le, dans un certain nombre de cas, d’éviter des erreurs.
Deuxième élément, c’est aussi la nécessité de contribuer en tant qu’auditeur à un meilleur pilotage. Tout d’abord par une gestion sécurisée des données par rapport aux exigences réglementaires, comme le RGPD ou NIS21. Et également en contribuant à l’alignement des enjeux technologiques avec les objectifs de transformation dans de nouveaux marchés, dans de nouveaux métiers qui impliquent de la digitalisation.La transformation technologique s’accélère de fait. L’intelligence artificielle, je pense que nous n’en sommes qu’au début, avec les véritables réalisations qui n’interviendront que dans quelques années, quand les produits auront plus de maturité et que les acteurs une meilleure compréhension.
« Il faut d’abord travailler quelques années dans le métier pour bien le comprendre »
La grande difficulté qui existe encore également, et que nous avons déjà évoquée, c’est de transformer les données brutes que l’on collecte en des informations de qualité qui peuvent véritablement servir à la prise de décision. Il manque encore énormément de compétences dans ce domaine-là au sein des organisations.
Enfin, dernier point, l’évolution de la pression réglementaire. J’ai parfois l’impression qu’à un certain moment, ça va exploser, et que l’Europe va devoir faire un pas en arrière, peut-être face à la pression des États-Unis ou de la Chine, qui n’ont pas les mêmes exigences. En tout cas, c’est un autre défi qui représente une charge, un coût pour les organisations, surtout pour les plus petites structures.
Quel conseil donneriez-vous aux nouvelles générations intéressées par l’audit ?
P.S. : Je pense que si l’on veut devenir véritablement un auditeur compétent, notamment dans le domaine des systèmes d’information qu’est le mien, il faut d’abord travailler quelques années dans le métier afin d’en acquérir une compréhension approfondie. Consacrer un moment pour se familiariser avec la transformation numérique avant de s’engager en tant qu’auditeur. Il y a des grands cabinets, notamment les Big Four, qui recrutent des jeunes universitaires talentueux et qui les forment. Mais je ne pense pas que ce soit pour autant la bonne approche. Je crois qu’il est préférable de travailler quelques années d’abord dans le secteur afin d’acquérir une bonne maîtrise du métier. L’IFACI offre ensuite tout un ensemble de formations, une base de connaissances. Cela permet d’apporter une véritable valeur ajoutée aux entreprises et d’acquérir une vraie légitimité vis-à-vis des audités. Il s’agit en effet d’un domaine spécialisé qui dépasse les aspects techniques de l’audit.
En conclusion, un petit message pour les 60 ans de l’IFACI ?
P.S. : À 60 ans, l’IFACI offre un savoir-faire de qualité et d’excellence qui lui donne la faculté de préparer les acteurs clés de demain du contrôle et de l’audit interne.L’IFACI, plus que jamais, est un acteur aujourd’hui incontournable.
1 Législation européenne en matière de cybersécurité, NIS2 est une mise à jour de la directive sur la sécurité des réseaux et de l’information NIS. Avec pour objectif de créer un niveau commun de cybersécurité entre les États membres de l’Union.
2 Règlement destiné à renforcer la résilience opérationnelle numérique des entités financières face aux cybermenaces et aux risques liés aux technologies de l’information et de la communication.
3 Règlement européen sur la gouvernance des données, visant à créer un cadre facilitant la disponibilité et le partage sécurisé de données au sein de l’Union.
4 Réseaux de distribution d’électricité qui permettent la circulation d’information entre fournisseurs et consommateurs afin d’ajuster le flux en temps réel.
