Pour les organisations impliquées dans une transaction, un litige, une fusion, une acquisition ou une restructuration, la valeur de l'entreprise concernée et de ses actifs sera une considération commerciale importante. Une vision claire et réfléchie de la valeur respective est donc essentielle dans de telles situations.
La due diligence permet d'identifier les risques et d'examiner les pièges financiers, fiscaux, juridiques ou opérationnels potentiels. Nous proposons des services de due diligence solides et clairement adaptés aux besoins de nos clients.
Le remaniement de la structure de votre groupe peut vous permettre de réaliser d'importantes économies et/ou d'améliorer votre efficacité. Les dispositions du Code des sociétés et des associations en matière de restructuration (fusion, scission, apport ou transfert de branche d'activité, etc.) vous offrent les moyens juridiques d'y parvenir.
Les fusions et acquisitions représentent un défi pour les organisations dynamiques. En tant que manager ou entrepreneur, vous souhaitez aborder ce défi sous tous les angles afin d'obtenir les meilleures conditions. C'est pourquoi nos professionnels travaillent sur la base d'une gestion intégrale des processus de fusion, de vente ou d'acquisition.
Une bonne compréhension de la valeur de votre entreprise est essentielle pour prendre des décisions stratégiques. Ces décisions déterminent l'évolution future de votre patrimoine. Il est important de noter que la valeur est le résultat d'un calcul et qu'elle varie en fonction de la méthode d'évaluation. Le prix qu'une personne est prête à payer peut-être différent de la valeur et est généralement le résultat de négociations.
Nos experts vous aident à documenter vos prix de transfert et à organiser vos transactions et rapports intra-groupe. Ils conçoivent et mettent en œuvre des structures de prix de transfert, tant pour les entreprises locales qu'internationales.
L'emploi international est devenu une pratique courante dans les politiques de ressources humaines d'aujourd'hui. Néanmoins, il soulève plusieurs questions, tant pour l'expatrié que pour l'employeur.
Si votre entreprise est déjà active à l'échelle internationale ou si vous envisagez de vous installer à l'étranger, vous souhaitez constamment maximiser vos efforts. Si la législation nationale en matière d'impôt sur les sociétés est déjà complexe, les règles étrangères et la législation fiscale internationale la rendront encore plus complexe.
En tant que grande organisation, vous êtes tenu par la loi de nommer un auditeur chargé de présenter un rapport à l'assemblée générale sur les états financiers (consolidés).
En tant qu'entrepreneur ou directeur, vous pouvez confier des travaux spécifiques à l'auditeur de votre entreprise. La nature, l'étendue et la portée de ces activités ou procédures font toujours l'objet d'un accord mutuel.
Les normes européennes d'information financière internationales (IFRS) sont obligatoires pour les sociétés cotées en bourse dans l'Union européenne depuis 2005. Toutefois, ces normes offrent également des avantages spécifiques aux entreprises non cotées ou aux PME.
Lorsque des événements importants se produisent, la loi sur les sociétés impose à votre entreprise des obligations de contrôle et de reporting. Dans quels cas un rapport est-il exigé ?
Nos services en matière de conseil vous permettront d'atteindre vos objectifs, de la création de valeur à la croissance, en passant par la gestion des risques.
En tant que conseillers indépendants, nos spécialistes en transactions donnent des avis indépendants. Ils tiennent compte de l'ensemble du cycle de la transaction et pas seulement de ses éléments financiers. Une due diligence indépendante est dans l'intérêt de l'acheteur et du vendeur.
Sur base de notre analyse “to-the-point”, nous travaillons avec vous pour identifier les options de restructuration appropriées pour vous aider à améliorer les flux de trésorerie, les résultats et la situation de trésorerie à court terme.
Quels sont les risques pour mon entreprise ? Quelles mesures dois-je prendre pour éviter ces risques ? Nos conseillers en risques d'entreprise se feront un plaisir de vous aider à démarrer.
Les entreprises disposent d'une énorme quantité de données, et cette quantité d'informations augmente chaque jour. L'analyse des données permet d'approfondir les connaissances et d'accroître la valeur, les enjeux commerciaux et le niveau de compréhension de l'entreprise.
Les organisations durables doivent régulièrement revoir leurs stratégies et leurs objectifs, ce qui leur permet d'optimiser leurs tactiques, processus, contrôles internes et systèmes
Misez sur la durabilité avec l’aide de Grant Thornton. Optez pour nos solutions concrètes sur mesure et ancrez l’ESG dans votre stratégie d’entreprise.
Évitez les effets désastreux d’une cyberattaque avec notre gestion des cyberrisques. D’un suivi et d’une prise en charge non-stop à des solutions sur mesure.
Les fraudeurs deviennent plus inventifs et peuvent adopter différentes stratégies en fonction des faiblesses de leur cible. Il est donc crucial de s'assurer que le niveau approprié de mesures de prévention du risque de fraude est en place au sein de votre organisation.
Nos services en matière fiscale vous aideront à gagner la confiance de vos investisseurs tout en assurant une gestion transparente et éthique de votre...
Une gestion et un suivi constants est nécessaire afin de s'assurer que votre organisation respecte les obligations de la législation fiscale. Nos conseillers vous fournissent des conseils sur mesure, vous aident à remplir vos obligations déclaratives, entre autres, ou prennent en charge l'ensemble de votre processus de conformité.
Notre équipe de spécialistes de la TVA peut vous aider dans différents domaines, du conseil et de la gestion des risques à la mise en œuvre et à l'optimisation. Outre les conseils, nous offrons également de l'assistance : nous pouvons également vous aider à accomplir les formalités.
Si votre entreprise est déjà active à l'échelle internationale ou si vous envisagez de vous installer à l'étranger, vous souhaitez constamment maximiser vos efforts. Si la législation nationale en matière d'impôt sur les sociétés est déjà complexe, les règles étrangères et la législation fiscale internationale la rendent encore plus complexe.
Pour recruter et fidéliser les meilleurs talents, il est essentiel de proposer des rémunérations globales optimisées et compétitives. Grant Thornton vous aide à mettre en place des rémunérations attractives, adaptées à votre activité, au profil et au niveau d'expertise de vos collaborateurs.
Nos experts vous aident à documenter vos prix de transfert et à organiser vos transactions et rapports intra-groupe. Ils conçoivent et mettent en œuvre des structures de prix de transfert, tant pour les entreprises locales qu'internationales.
L'emploi international est devenu une pratique courante dans les politiques de ressources humaines d'aujourd'hui. Néanmoins, il soulève plusieurs questions, tant pour l'expatrié que pour l'employeur. Un permis de travail est-il nécessaire ? Quel est le droit du travail et de la sécurité sociale applicable ? ...
Les entreprises familiales sont des générations d'entrepreneurs qui construisent leur organisation au fil des années et des générations, prenant souvent des risques personnels pour réaliser leurs ambitions de croissance. Nos conseillers comprennent que pour une entreprise familiale, les priorités sont différentes et que votre entreprise a souvent plus d'importance.
Le soutien juridique n'est pas seulement important dans les moments clés tels que les acquisitions, les transactions d'actions et les fusions. Votre activité opérationnelle normale peut également avoir des implications juridiques.
Les organisations doivent rendre des comptes à différentes parties prenantes tant internes qu’externes. Le soutien d’un expert pour remplir les obligations de rapportage peut apporter une véritable valeur ajoutée à votre entreprise.
Le droit belge du travail et de la sécurité sociale est un dédale de réglementations dans lequel un employeur peut facilement se perdre. Nous vous donnons des réponses précises sous la forme de conseils pratiques et clairs en la matière et ce, du début de la relation de travail avec vos collaborateurs à la fin de celle-ci (licenciement, pension...).
Toute entreprise dépend de soutien informatique. Compte tenu de la nature critique de nombreuses applications TIC, la conclusion de contrats solides est une nécessité absolue. Grant Thornton possède une grande expertise en matière de conseil et de rédaction de divers types de contrats TIC.
Votre entreprise a-t-elle besoin d'un généraliste 'spécialisé' engagé à 100% qui connaît vraiment les tenants et les aboutissants de votre entreprise? Quelqu'un qui raisonne du point de vue de votre entreprise et fournit un soutien juridique pragmatique en étant au courant de votre stratégie commerciale, des opérations et des spécificités de votre entreprise.
Une boîte à outils commerciale est un ensemble de documents et de modèles essentiels que les entreprises utilisent pour gérer leurs relations et transactions commerciales. Cela comprend les conditions générales de vente, les contrats de prestation de services, les modèles de contrats clients, les politiques en matière de cookies et d'autres documents juridiques.
Que vous choisissiez de faire appel à nos experts pour traiter l'ensemble de vos rapports financiers ou que vous souhaitiez les utiliser comme soutien pour un projet spécifique ou une partie de votre comptabilité : nous avons les connaissances et l'expérience nécessaires pour vous fournir un soutien de qualité adapté à vos besoins.
En tant que PME dynamique, vous souhaitez pouvoir compter sur l'expertise d'un CFO ? Mais un CFO à temps plein est encore une étape trop importante pour votre organisation ? Grant Thornton vous offre CFO-as-a-service.
Vos informations financières constituent un outil de gestion important. Il est donc important que l'ensemble du processus de reporting, de la budgétisation au dépôt de comptes annuels et de déclarations, soit en parfaite adéquation avec la stratégie de l'entreprise et ses besoins en matière d'information.
Vous faites face au défi de mettre à disposition les chiffres (consolidés) de plus en plus vite, et ceci dans un environnement réglementaire qui est sujet à une évolution permanente. Vous devez prendre les bonnes décisions techniques afin de rester flexible en ce qui concerne les systèmes d'information et l'organisation de processus.
En tant qu’entrepreneur implanté dans différents pays, vous êtes souvent confrontés à de nombreuses règlementations locales. Grâce à nos services de conformité et de reporting internationaux, nous vous offrons la solution dans cet imbroglio réglementaire.
En tant qu’entrepreneur, vous travaillez chaque jour sur le core business de votre entreprise. En conséquence, vous n’avez pas souvent le temps de rechercher...
Jeune diplômé, professionnel expérimenté ou manager chevronné ? Grant Thornton vous fait progresser et respecte votre équilibre vie privée/vie professionnelle.
Nos valeurs sont dans le monde entier la boussole qui nous permet de guider nos clients et d’évoluer nous-mêmes, tant individuellement qu'au sein de nos équipes.
Flexibilité et responsabilité sont nos valeurs fondamentales, au travail et en dehors. Vous pouvez être ambitieux, tout en ayant un bon équilibre vie privée/vie professionnelle.
Nous apprenons et évoluons avec nos clients. C'est pourquoi vous avez un portefeuille de clients diversifié, avec des entreprises de secteurs très différents.
62.000 collègues dans plus de 140 pays : vous bénéficiez de cette expertise au sein de l'une des plus grandes organisations d’experts-comptables et de bureaux de conseil au monde.
Junior en audit, comptabilité, fiscalité, matières juridiques ou conseils aux entreprises ? Chez Grant Thornton, vous évoluez en gardant un bon équilibre vie...
Vous êtes un professionnel expérimenté et souhaitez franchir une nouvelle étape de votre carrière ? Avec un plan de carrière adapté, vous évoluez à votre...
Expérimenté en audit, comptabilité, fiscalité, matières juridiques ou conseils aux entreprises ? Faites partie de notre projet de croissance et rejoignez un...
Tendances en risque technologique : vos priorités des priorités pour 2025
Contents
Gouvernance du cloud
En mai 2024, Gartner prédisait que les dépenses des organisations consommatrices de services cloud augmenteraient de 20% en 2024 et de 22,1% en 2025. Son rapport indiquait aussi que les technologies de pointe, comme l’IA générative, et la modernisation des applications stimulaient cette hausse. Ces facteurs s’ajoutent à ceux qui, tels l’évolutivité et le rapport coût-efficacité, ont dopé par le passé la confiance dans les infrastructures cloud publiques.
Un rapport de Flexera a révélé que la grande majorité (89%) des entreprises sondées suivent une approche multicloud. Si une approche de ce type apporte aux organisations une meilleure résilience, elle accroît la complexité et oblige, en matière de gestion opérationnelle et de conformité, à consentir des efforts potentiellement redondants. Cela peut, à son tour, entraîner des faiblesses au niveau de la sécurité, des incohérences dans la conformité entre plateformes cloud et des lacunes dans les mesures de contrôle de la résilience.
Un pourcentage croissant d’organisations utilisent à la fois une combinaison de plusieurs clouds publics et un cloud unique. L’usage du cloud privé est passé de 19% en 2023 à 23% en 2024 et cette hausse devrait se poursuivre. Si les instances cloud privées peuvent tourner à un coût moindre que le cloud public, migrer vers le privé pourrait impliquer la réintroduction de mesures de contrôle de la sécurité physique et de l’infrastructure technologique.
Un nombre grandissant d’organisations lancent des initiatives d’optimisation des coûts du cloud et constituent des équipes FinOps dédiées à la gestion de ces frais. Ces initiatives consistent à identifier et à éliminer les ressources inutilisées, à dimensionner correctement les services informatiques, à exploiter l’effet de levier des remises et à mettre en place un suivi automatisé des coûts.
Des outils de gestion des postures de sécurité du cloud (CSPM) ont été adoptés pour gérer les risques liés au cloud et éviter des activités de mise en conformité faisant double emploi entre les plateformes cloud. Ils servent à surveiller en continu les risques liés à la sécurité et à la conformité dans les infrastructures cloud, à les identifier et à y remédier.
Voir si la stratégie multicloud s’appuie sur un argumentaire stratégique et économique comportant des corrélations claires pour permettre d’élargir les objectifs commerciaux
Évaluer les processus de budgétisation des FinOps cloud, de prévision et d’affectation des coûts afin de s’assurer qu’ils sont alignés sur les politiques internes
Passer en revue les stratégies visant à optimiser les ressources cloud et à maximiser le retour sur dépenses, par exemple en identifiant les ressources sous-employées, en éliminant les dépenses inutiles, etc.
Déterminer si des mécanismes de rapport et structures de justification clairs ont été mis en place à propos de la gestion des coûts, des risques et de la conformité du cloud
Tester l’efficacité des mesures de contrôle du suivi du cloud, du comblement des lacunes repérées et des procédures d’acceptation des risques du cloud
IA générative
L’intelligence artificielle (IA) offre de nombreuses possibilités de transformation, mais comporte aussi des risques non négligeables. Pour réaliser tout le potentiel de l’IA, les entreprises doivent veiller à atténuer ces risques, ainsi qu’à la développer et à la déployer d’une façon qui soit sûre, équitable et digne de confiance.
Les préoccupations portent sur un manque de compréhension de la complexité des modèles sous-jacents à l’IA, y compris sur la possibilité de sorties inexactes, inappropriées ou biaisées ainsi que sur leur prédisposition aux attaques et à l’exploitation. Les cybercriminels et les États-nations tirent aussi parti de l’IA à des fins malveillantes, notamment pour créer des hypertrucages (deep fakes), pour élaborer du contenu plus crédible dans le cadre de campagnes d’hameçonnage, ainsi que pour profiler et cibler des personnes de haut niveau parmi les cadres supérieurs. À mesure que l’IA générative est intégrée à divers secteurs, il est essentiel de comprendre ces risques et de les atténuer pour maintenir la confiance, préserver la vie privée et garantir un déploiement responsable.
Il est crucial de prêter attention à ces préoccupations en temps voulu pour éviter toute conséquence involontaire, pour se prémunir des utilisations malveillantes et pour établir des cadres robustes en vue de l’implantation éthique et sécurisée des technologies de l’IA générative dans le paysage numérique, en mutation rapide, d’une organisation.
IA générative
Au cours de l’année écoulée, le paysage des risques liés à l’IA a connu des changements considérables. En août 2024, la loi sur l’IA est entrée en vigueur dans l’Union européenne. Elle ouvre une nouvelle ère de surveillance juridique et réglementaire en forçant les entreprises européennes à s’aligner sur les normes et orientations nouvellement établies, des sanctions financières potentiellement lourdes étant prévues pour celles qui ne les respecteraient pas.
En mettant encore plus en relief le besoin d’obtenir des retombées commerciales des investissements dans les technologies de l’IA, cette évolution fait peser sur les chefs de file de l’IA une pression de plus en plus forte pour justifier leurs dépenses. Beaucoup d’entreprises voient dans l’IA générative un moyen de retirer des avantages en matière d’efficacité et de mise en capacité, mais il est aussi nécessaire qu’elles aient conscience de ses risques. Dans un contexte de sécurité et de confidentialité, elles élaborent des stratégies défensives et offensives pour tirer parti des capacités de l’IA et en recueillir des retombées commerciales, tout en plaçant des garde-fous afin d’atténuer les risques naissants que l’IA présente.
La prolifération d’outils d’IA basés sur la Toile et aisément accessibles a aussi fait apparaître le risque d’une "IA fantôme". C’est là que l’utilisation de l’IA, en court-circuitant les services IT et les politiques internes, augmente la possibilité que des informations sensibles d’une entreprise soient divulguées sans autorisation. Ces évolutions soulignent la nécessité d’une gouvernance sans faille et d’investissements stratégiques dans l’IA afin d’atténuer efficacement les risques naissants.
Examiner comment l’organisation prend les devants en vue de respecter les exigences légales et réglementaires proposées dans les pays où elle opère
Tester l’efficacité des mesures de contrôle de la gouvernance de l’IA en se focalisant sur l’éthique, la sécurité, l’explicabilité, la transparence, la responsabilisation et la contestabilité.
Utiliser des techniques et outils d’audit en "boîte noire" pour donner des assurances sur des scénarios spécifiques d’utilisation de l’IA dans l’entreprise
Se tenir au courant de l’évolution des technologies d’IA en collaborant avec des experts en mégadonnées et mener régulièrement des évaluations des risques
Investir dans la formation des employés aux risques de l’IA et intégrer des audits sur l’IA dans des processus normaux de gestion des risques afin d’assurer une atténuation proactive de ceux-ci
Cybersécurité
La cybersécurité reste un risque commercial critique pour la Belgique et les organisations internationales. Le Centre pour la Cybersécurité Belgique (CCB) a pointé les rançongiciels et l’hacktivisme comme des cybermenaces clés pour les entreprises belges aujourd’hui.
Selon un rapport publié par Sophos en 2024, 59% des organisations dans le monde ont été touchées par une attaque au rançongiciel l’an dernier, les agresseurs ayant réussi à crypter des données dans 70% des cas et le montant des rançons ayant quintuplé depuis l’an dernier.
Les risques pour la cybersécurité sont d’une complexité croissante. Beaucoup d’organisations appliquent déjà des programmes de cybersécurité en vol pour rehausser leurs mesures de contrôle et leur aptitude à se défendre contre des cyberattaques, à les détecter, à y réagir et à en récupérer.
Toutefois, des outils plus raffinés, dont ceux utilisant l’IA, facilitent la réalisation de cyberattaques plus performantes en matière d’ampleur et de cadence, et accroissent leur degré de technicité. Les organisations auront besoin d’un cadre de contrôle plus efficace, utilisant une stratégie de défense en profondeur pour protéger leurs données et leurs opérations.
Dans ce contexte, les organisations adoptent des approches plus proactives pour assurer leur cybersécurité en mettant en œuvre une surveillance continue et des capacités plus perfectionnées de détection des menaces.
Dresser un tableau unifié des processus d’assurance de la cybersécurité de l’organisation et définir des plans d’audit interne complémentaires pour faire fond sur l’assurance existante, en réduisant les doubles emplois
Jouer un rôle clé en donnant des assurances sur les investissements dans la cybersécurité et sur les programmes de transformation pour aider à livrer des capacités efficaces
Pratiquer des bilans de santé cyber opérant en parallèle avec des cadres éprouvés afin d’assurer une communication cohérente sur le cyberrisque
Évaluer les modalités existantes pour se défendre contre une cyberattaque, la détecter, y réagir et en récupérer, notamment en recourant à des sauvegardes immuables et à des processus de réaction aux attaques
Tiers critiques
La gestion des risques par des tiers critiques est une composante cruciale d’une stratégie globale de gestion du risque. Souvent, le conseil d’administration et la direction n’ont pas une visibilité suffisante sur les risques gérés par des tiers critiques et sur les niveaux d’assurance existants qu’ils fournissent.
Dans l’environnement professionnel interconnecté d’aujourd’hui, beaucoup d’entreprises font appel à des prestataires et fournisseurs de tierce et quatrième parties pour se procurer des services et produits technologiques critiques. La gestion efficace des risques associés à ces relations externes quant à la continuité des opérations, aux cybermenaces et à la sécurité des données revêt une importance primordiale. En 2024, la panne de CrowdStrike, qui était un prestataire critique de quatrième partie pour de nombreuses entreprises, a eu une incidence planétaire significative, même pour celles qui n’avaient pas de rapport direct avec CrowdStrike. L’externalisation de la responsabilité des services technologiques n’externalise pas les risques associés. Les organisations doivent étendre la gamme de leurs activités d’assurance en conséquence afin d’y englober les fournisseurs critiques de tierce et quatrième parties.
Les organisations faisant de plus en plus appel à des tiers, tels que des solutions cloud (SaaS, PaaS et IaaS) ainsi que d’autres services sous-traités, leurs opérations commerciales dépendent de plus en plus de fournisseurs externes, ce qui les rend vulnérables en cas de défaillance des mesures de contrôle chez ces tiers.
La directive SRI 2 souligne le rôle essentiel de la surveillance exercée par le conseil d’administration pour gérer les risques de tiers critiques. Il importe d’assurer une gouvernance et une surveillance efficaces des relations avec ces tiers critiques, y compris par le biais de revues et mises à jour régulières de leur statut.
Les organisations mettent en place toujours plus de capacités et fonctions internes (combinant expertise en gestion des fournisseurs et assurance de la sécurité) pour évaluer ces tiers critiques et donner des assurances à leur sujet.
Examiner et aider à définir la méthodologie servant à identifier et à catégoriser les tiers suivant leur incidence et le niveau du risque qu’ils posent, eu égard à des facteurs comme la continuité des opérations, les cybermenaces et la sécurité des données
Identifier les tiers critiques (qui ne seront pas forcément ceux qui correspondent au plus gros poste de dépenses)
Veiller à impliquer les fonctions d’achats et à incorporer les évaluations des mesures de contrôle des tiers critiques dans le processus de leur intégration
Veiller à ce que des activités d’assurance continues soient exécutées sur les environnements de contrôle des tiers critiques en étudiant les rapports d’un auditeur de services (tels que des rapports SOC2), en menant des tests de pénétration fondés sur la menace et en restant à jour moyennant les attestations et les exigences de conformité pertinentes
Veiller à ce que des mesures appropriées soient prises quand il est mis fin à la relation avec un fournisseur (restituer ou détruire les données, couper l’accès utilisateur, etc.)
Les équipes gérant les tiers devraient se livrer à des activités relatives à d’autres risques liés à la chaîne logistique (comme l’ESG, la LBC et l’esclavage moderne)
Résilience opérationnelle
La capacité à prévenir une perturbation de services commerciaux critiques, à y résister, à en récupérer ou à s’y adapter est vitale pour garantir la continuité des activités, réduire à un minimum la perte financière et conserver le crédit et la confiance des parties prenantes et des clients. Les aspects clés de la résilience opérationnelle comprennent :
l’identification et l’évaluation des risques
la planification de la continuité des activités
la redondance et les systèmes de sauvegarde
la réaction aux incidents et la reprise sur incident
la gestion de crise de la gestion de la chaîne d’approvisionnement
la gouvernance et la culture adaptatives
Les organisations doivent identifier le niveau de perturbation tolérable pour elles et évaluer ce qui constitue une menace à cet égard. La perturbation des activités se manifeste sous des formes variées et les organisations doivent avoir, de la planification de la résilience, une approche holistique multidimensionnelle qui englobe la technologie, les opérations et les prestataires ou fournisseurs. Alors que l’on se concentre intensivement sur les perturbations malveillantes des services, les cyberattaques par exemple, les perturbations non malveillantes peuvent avoir une incidence tout aussi notable.
En juillet 2024, la panne de CrowdStrike a perturbé les opérations de secteurs entiers partout dans le monde avec, à la clé, des pertes financières significatives. L’incident a mis à l’épreuve la résilience des entreprises touchées et fait ressortir les lacunes potentielles de la planification de leurs scénarios de résilience opérationnelle. En d’autres termes, il a illustré l’absence de recensement adéquat des risques et de leur incidence en ce qui concerne les processus automatisés et les prestataires ou fournisseurs critiques.
L’incident a aussi révélé à quel point beaucoup d’organisations dépendent de processus automatisés, ainsi que les risques potentiels en cas de défaillance de ces processus ou si une brèche y est créée, avec une incidence sur les opérations commerciales allant potentiellement au-delà de niveaux tolérables. Dans beaucoup d’organisations, les plans d’atténuation élaborés pour ces processus se sont avérés inadéquats, étant donné le niveau significatif de la propagation du risque.
Cela fait des années que les sociétés de services financiers ont compris l’importance, soulignée par des exigences réglementaires, de la résilience opérationnelle. Les organisations d’autres secteurs se sont mises à adopter des approches similaires.
Identifier les processus commerciaux ou informatiques où des risques similaires de panne n’ont peut-être pas été repérés ou affectés d’un score approprié
Réévaluer les risques pour les opérations, y compris en inventoriant les relations avec des tiers, afin d’estimer l’incidence de la propagation de risques
Identifier et appliquer des mesures de contrôle pour atténuer ces risques sur la base de leur score
Examiner les plans actuels de continuité des activités et les mettre à jour de la façon nécessaire pour englober de multiples scénarios, dont la perte de systèmes IT
Donner des assurances sur la capacité démontrée à résister aux perturbations, par validation de la réussite des plans de résilience
Procéder périodiquement à des revues et mises à jour pour prendre en compte de nouveaux risques, de nouvelles dépendances ou la modification des incidences
Programmes de transformation
Il est essentiel de ne pas rater sa mue informatique si l’on veut préserver sa résilience organisationnelle. Une transformation IT robuste fait en sorte que les nouveaux systèmes et les systèmes évolutifs soient résilients, sécurisés et capables de s’adapter à la mutation des défis commerciaux. Quand des systèmes IT sont transformés convenablement, ils peuvent résister aux perturbations, aux cybermenaces et aux défaillances techniques, ce qui est le gage de la continuité des opérations et de la prestation des services.
Une transformation IT de qualité aligne aussi les progrès technologiques sur les stratégies commerciales, ce qui facilite leur intégration harmonieuse et rehausse l’efficacité globale. Cet alignement réduit à un minimum les périodes d’indisponibilité et atténue les risques associés aux pannes des systèmes. En donnant la priorité à la précision dans la transformation IT, les organisations peuvent édifier une infrastructure résiliente qui soutient la croissance, l’innovation et la satisfaction client.
L’incapacité à mener à bien une transformation IT peut entraîner des problèmes significatifs de résilience, tels que des perturbations opérationnelles, des violations de la sécurité et une perte financière. Il est dès lors essentiel d’investir dans une transformation IT précise et stratégique pour préserver sa stabilité organisationnelle et assurer sa réussite à long terme.
La rapidité du progrès technologique, conjuguée à des comportements du consommateur et à une dynamique du marché en mutation au cours des 12 derniers mois, a poussé les organisations à épouser la transformation numérique en tant qu’impératif stratégique. Cette tendance est portée par le besoin de renforcer l’efficience opérationnelle, d’améliorer les expériences clients et de rester compétitif dans un paysage numérique en constante évolution.
On a assisté récemment à une transition notable vers la mise en œuvre de PGI basés sur le cloud. Ces systèmes ont de plus en plus la faveur des entreprises en raison de leur évolutivité, de leur rapport coût-efficacité et de leur flexibilité. À l’inverse des solutions internes traditionnelles, les PGI cloud offrent une accessibilité aux données en temps réel et une intégration sans hiatus entre diverses fonctions commerciales. Ce glissement est motivé par le besoin de renforcer l’efficience opérationnelle, d’améliorer la sécurité, de pouvoir s’adapter promptement à l’évolution des marchés et de rationaliser ses processus dans un paysage numérique en perpétuelle mutation.
Nous avons également observé un recentrage vers une forme plus disciplinée de livraison agile, puisque les comités de gouvernance et les parraineurs réclament une meilleure gestion des risques, le modèle agile s’étant révélé exagérément flexible.
Se glisser dans le rôle d’un partenaire commercial plus fiable dans le but de donner des assurances en continu et en temps réel pendant tout le cycle de vie du programme
Surveiller proactivement le profil de risque des projets et des programmes pour garantir que les activités d’assurance soient alignées sur les risques clés du programme et planifiées en des points appropriés de son cycle de vie
Aligner les démarches et méthodologies d’assurance sur la cadence des approches organisationnelles de la livraison, ce qui peut consister à renforcer l’agilité du plan d’assurance ou à faire rapport plus régulièrement sur un périmètre de risque plus petit
Adopter une approche multidisciplinaire de l’assurance pour garantir que des assurances adéquates soient données sur des aspects techniques ou spécifiques des solutions, comme la résilience, la sécurité des données et la cybersécurité, en plus de la gouvernance des programmes et des risques liés à la livraison
Gouvernance des données
Sans gouvernance mature des données, l’intelligence artificielle (IA) et la prise de décision pilotée par les données font face à des risques notables. Une gouvernance médiocre peut conduire à des modèles d’IA biaisés, puisque des données non équilibrées ou faussées peuvent produire des résultats discriminatoires. Cela sape la prise de décisions et peut nuire à la crédibilité d’une organisation.
En outre, une gouvernance inadéquate accroît le risque de violation de la confidentialité des données, puisque des informations sensibles pourraient être mal gérées ou divulguées. L’absence de traçabilité et de gouvernance claires des données peut aussi se traduire par un processus décisionnel opaque, d’où des difficultés à retracer et interpréter les décisions de l’IA. Cela peut mener à des résultats contraires à l’éthique ou préjudiciables avec, pour conséquence, une surveillance réglementaire intensifiée et des charges d’exploitation accrues.
Les risques liés à la gouvernance des données ont sensiblement évolué l’année dernière en raison de plusieurs facteurs. L’examen approfondi des investissements dans l’IA a souligné la nécessité d’appliquer une gouvernance robuste pour faire en sorte que les retombées commerciales ne soient pas compromises.
L’attention croissante accordée à la publication d’informations ESG a également amplifié le besoin, pour la direction, de veiller au caractère complet et exact des informations non financières publiées. Une documentation rigoureuse est nécessaire pour démontrer l’intégrité et la traçabilité des données.
Enfin, on demande de plus en plus que les données soient rendues plus accessibles à un spectre plus large de parties prenantes, tant des collègues en interne que des parties externes comme les partenaires logistiques. Baptisée "démocratisation des données", cette tendance vise à permettre aux équipes non techniques de pourvoir elles-mêmes à leurs besoins en données, tout en conservant des mesures de contrôle efficaces de gouvernance des données.
Se réunir avec leur directeur des données (CDO), leur directeur informatique ou leur chef de service pour s’entretenir des sujets de préoccupation et des points nécessitant des assurances sur les données
Passer en revue la stratégie de l’organisation en matière de données et voir si une gouvernance appropriée est en place pour réaliser et surveiller sa progression
Identifier les lacunes de la gestion des données par rapport aux bonnes pratiques et aux cadres sectoriels
Tester l’efficacité des mesures de contrôle de la gouvernance des données en se focalisant sur la politique, les normes et la qualité, la surveillance, la conformité, l’architecture des données, la gestion des problèmes, la culture des données, l’éducation aux données et la valorisation des données comme actifs
Sécurité dès la conception
La sécurité dès la conception est une approche qui intègre les principes de sécurité dès le tout début du cycle de vie du développement d’un logiciel ; c’est le gage d’une sécurité inhérente aux systèmes. Dans le cadre du DevSecOps et de l’infrastructure en tant que code, cela revient à incorporer la sécurité dans chaque phase de développement et de déploiement, à automatiser les contrôles de sécurité et à mettre en œuvre des configurations sûres et harmonisées dans tous les environnements. Sans les principes de la sécurité dès la conception, les systèmes sont plus sujets aux violations de sécurité, aux pertes de données et aux perturbations opérationnelles.
En incorporant les principes de sécurité d’entrée de jeu, la sécurité dès la conception aide à prévenir l’accumulation de dettes techniques en rapport avec la sécurité. La dette technique accroît le coût de la maintenance, réduit l’agilité, introduit des failles de sécurité, diminue la productivité et entrave l’innovation.
Avec l’adoption croissante d’outils adossés à l’IA, ceux-ci peuvent servir à renforcer les pratiques de sécurisation à la conception en automatisant les contrôles de sécurité et en repérant les failles à un stade précoce du processus de développement. Ils peuvent analyser un code à la recherche de problèmes de sécurité potentiels, appliquer des pratiques sécurisées de codage et guetter continuellement les menaces, garantissant ainsi l’intégration de la sécurité tout au long du cycle de vie d’un logiciel.
Le recours à l’IA pour développer et tester les logiciels peut aussi introduire des failles de sécurité en produisant du code non sécurisé ou en dévoilant des données sensibles. De plus, ces outils peuvent être exposés à des attaques externes, telles l’empoisonnement de données, qui sont susceptibles de compromettre l’intégrité des systèmes. Des contrôles robustes du code généré par l’IA sont essentiels pour identifier et corriger les erreurs et les biais ainsi que pour préserver la sécurité des pratiques de codage.
Collaborer avec les experts en matière de technologie et de sécurité pour voir si cette dernière a été intégrée d’un bout à l’autre des processus de développement
Fournir des recommandations pragmatiques sur la façon de mieux intégrer les exigences de sécurité dans le cycle de vie du développement logiciel sans le ralentir indûment
Comprendre le niveau d’adoption des outils IA dans les processus de développement de logiciel et le devoir de vigilance exercé à propos de la fiabilité de ces outils.
Examiner les politiques et cadres de leur organisation concernant l’utilisation de l’IA, ce qui assure la conformité aux réglementations et aux règles de sécurité interne
Tester l’efficacité des mesures contrôlant la sécurité de la conception, la qualité du code, les tests de sécurité, etc.
Identifier les lacunes dans la formation et la sensibilisation à la sécurité dès la conception et à l’utilisation d’outils de développement alimentés par l’IA
Talent
En dépit du rythme rapide auquel les aptitudes techniques requises changent, la plupart des organisations n’investissent pas dans la technologie ni n’en tirent parti avec efficacité pour identifier et développer les compétences clés. Certaines n’identifient et ne recensent pas non plus adéquatement les talents existants par rapport aux exigences internes sur les compétences. Une étude de Gartner montre que 15% seulement des organisations procèdent à des activités de planification de leur personnel stratégique afin d’identifier les talents qu’elles doivent recruter à l’extérieur ou développer en leur sein.
Dans l’espace technologique, le perfectionnement des compétences est même plus crucial à la suite de la rapidité et de l’ampleur inédites du passage à l’automatisation, de l’intelligence artificielle et d’autres technologies.
Si les organisations ne sont pas résilientes et ne s’adaptent pas de manière rapide et efficace, il se peut qu’elles soient confrontées à d’importants risques en matière de personnel. Cela peut gêner leur capacité à répondre à des priorités opérationnelles à court, moyen et long terme.
En faisant du perfectionnement des compétences une priorité, les organisations peuvent s’adapter plus rapidement et rester résilientes face à des besoins opérationnels en évolution et aux progrès technologiques, comme l’IA et la cybersécurité.
Les professionnels des formations s’attendent à ce que la gestion des compétences catalysée par l’IA devienne cette année une priorité clé en matière d’investissement. Pour comprendre quelles compétences les organisations détiennent en ce moment, et où résident les déficits sur ce plan, il faut se focaliser sur cette thématique, ce qui fait de la planification du personnel stratégique une priorité.
Si beaucoup d’organisations appliquent un certain niveau de planification de leurs effectifs, celle-ci tend à se centrer sur le nombre de postes plutôt que sur les aptitudes exigées à moyen et long terme. Il existe dès lors un risque d’incapacité à mettre en place les compétences requises pour prendre en charge les activités opérationnelles.
En outre, certaines organisations commencent à utiliser des technologies fondées sur l’IA pour assister l’activité de planification du personnel stratégique.
On n’en est toutefois qu’au début. La plupart continuent d’employer des processus manuels, ce qui prend du temps, se fait peu fréquemment et complique singulièrement l’incorporation de données de marché externes dans les stratégies de perfectionnement des compétences.
Si les organisations n’agissent pas maintenant pour intégrer des technologies comme l’IA générative, elles pourraient avoir du mal à maximiser les possibilités d’identifier les compétences de leur personnel interne et de donner la priorité à leur renforcement, ou à attirer de nouveaux talents. Cela augmente le risque de voir se creuser le déficit de compétences, d’échouer à utiliser avec efficience les compétences déjà présentes en interne ou de rater l’occasion d’attirer des candidats en leur soumettant une irrésistible proposition de valeur aux travailleurs capable de démarquer une organisation de ses concurrents.
Eu égard à leurs propres compétences et capacités, les fonctions chargées des audits internes et des risques technologiques devraient :
mener des activités de planification du personnel stratégique pour identifier les compétences présentes et tout déficit de compétences au regard des besoins stratégiques de leur entreprise
déployer des outils pour s’attaquer aux déficits au sein de leurs équipes en renforçant les compétences internes et en recrutant (en interne et en externe), des revues et des actions étant régulièrement entreprises en conséquence
Plus globalement, les fonctions chargées des audits internes et des risques technologiques devraient :
examiner les activités de planification du personnel stratégique menées par l’entreprise et évaluer si celles-ci permettraient de pourvoir aux diverses fonctions voulues pour répondre aux besoins stratégiques à court, moyen et long terme
évaluer comment les résultats des activités de planification du personnel stratégique et les détails des exigences sur les compétences sont intégrés à la stratégie RH de l’organisation
évaluer la mesure dans laquelle de nouveaux domaines de compétences, comme l’IA, ont été pris en considération par l’entreprise
évaluer l’utilisation de l’IA par l’entreprise pour aider à identifier les déficits actuels et attendus de compétences, pour pratiquer une analyse des tendances en matière de compétences et pour permettre une prise de décision fondée sur les données
Séparation des tâches inter-applications
Le renforcement de la réglementation, comme avec la directive SRI 2 et les exigences de contrôle, amplifie le besoin, pour les grandes entreprises, d’adopter et de maintenir des pratiques efficaces de séparation des tâches (SOD), celles-ci étant cruciales pour la conformité, la gestion des risques et l’intégrité financière. Les risques clés liés à la séparation des tâches sont la fraude, les erreurs, le manque de responsabilisation et la possibilité, pour un utilisateur, d’exécuter un processus de bout en bout sans aucune surveillance managériale.
L’analyse de la SOD inter-applications consiste à évaluer et gérer les risques SOD entre de multiples applications commerciales au sein d’une organisation. Ce processus garantit qu’aucun individu n’a la main sur tous les aspects critiques d’une quelconque transaction commerciale, même si celle-ci est à cheval sur différents systèmes. Le contrôle efficace de la SOD inter-applications est typiquement piloté par des outils. Il nécessite des compétences spécialisées transcendant l’administration système et les processus commerciaux.
Alors qu’auparavant, les organisations se focalisaient sur la SOD au sein d’applications en silo, le recours accru à des applications SaaS (logiciel en tant que service) a fait naître le besoin de s’intéresser davantage à la SOD inter-applications. Le paysage système typique d’une grande organisation consiste désormais en une association de PGI, de SaaS et d’une multitude d’applications standards ou développées en interne. Ce paysage majore le risque SOD parce qu’il devient plus complexe de gérer et de surveiller les identités et les autorisations d’accès entre ces systèmes.
On recourt de plus en plus au tooling pour définir de nouvelles recertifications, plus efficaces, des utilisateurs et des droits d’accès. Les organisations commencent à évoluer vers un examen des anomalies de l’accès utilisateur par référence à un concept convenu de sécurité d’accès. Ce processus doit s’accompagner d’une revue périodique complète de ce concept par des spécialistes des risques.
Identifier les domaines de risque liés à la SOD inter-applications et quantifier le niveau de ce risque
Évaluer régulièrement les risques SOD entre applications clés pour identifier de potentiels conflits et suggérer des actions correctives
Utiliser des outils spécialisés pour automatiser la détection et la gestion des conflits SOD entre plusieurs applications
Collaborer étroitement avec les experts des technologies et des processus commerciaux pour concevoir et appliquer des politiques et mesures de contrôle efficaces en matière de SOD
Là où la séparation n’est pas possible, mettre en œuvre des mesures de contrôle compensatoires telles qu’un suivi additionnel des activités
