Le Forum des Compétences est avant tout une association au sein de laquelle se regroupent les plus grands établissements financiers de la place française à savoir la Société Générale, BNP Paribas, Crédit Agricole SA, la Banque Postale, la Banque de France,…
Pour Gil Delille, Président du Forum et RSSI de Crédit Agricole SA, les objectifs de l’association sont clairs car « plus on connaît les sujets relatifs à la sécurité et de la continuité, plus on sait que chaque décision, chaque solution est le fruit d’un compromis entre progrès et régression. C’est pour cela que les gens les plus compétents dans le domaine cherchent à échanger en permanence. Par exemple, s’ouvrir à la clientèle sur Internet est une prise de risques, trop sécuriser provoque un rejet de la solution. De même, si l’on construit des PCA (Plan de Continuité de l’Activité) et qu’on ne les teste jamais, il sera impossible d’avoir la moindre certitude sur leur qualité. Pis encore, si l’on teste de façon inappropriée, on fait prendre des risques à l’entreprise. »
La complexité du SI, son ouverture à l’Internet, le recours massif à la sous-traitance, ce sont là des questions que tout le monde se pose. Le choix du Forum est d’accepter ces situations, de tenter de faire travailler tout le monde sur ces sujets et de manière coordonnée. Avec un objectif : éviter le risque systémique, faire en sorte que les établissements bancaires s’entendent entre eux, confrontent leurs pratiques.
Des « groupes » sur les questions pointues
Tous les mois, une réunion plénière regroupe les adhérents, réunion durant laquelle sont proposés des thèmes intéressants à explorer. Les suggestions retenues sont ensuite débattues lors de sessions de groupes de travail, dans lesquels se regroupent les personnes considérées comme étant les plus compétentes et les plus expérimentées dans le domaine considéré. Ainsi en janvier 2009, un groupe ayant planché sur l’archivage électronique des documents publie un guide de bonnes pratiques. Le 24 mars, un second groupe présente une étude sur la continuité d’activité
Deux autres groupes travaillent respectivement sur l’authentification et les habilitations. Enfin, la gouvernance et le pilotage global des risques du Système d’Information constituent un nouveau thème de travail.
« Par ailleurs, le Forum offre également un canal de communication entre la BdF et les banques. La Banque de France elle-même adhère au Forum des Compétences. »
« L’Institution est à l’initiative de nombreuses actions dont l’émission de plusieurs livres blancs à la rédaction desquels le Forum des Compétences a notablement participé » nous rappelle Wilfrid Ghidalia, Secrétaire Général du Forum.
Il y a de cela moins de deux ans, le Forum des Compétences a agrandi la famille en créant une association affiliée, le « Cercle » du Forum. Un cercle qui regroupe les banques de taille plus modeste telles Fortis France, Groupama, Finama, BGPI (Banque de Gestion Privée Indosuez), BIA. Ces établissements, qui ne sont pas nécessairement concernés par les mêmes questions que les grands établissements, recherchent des guides directement exploitables. Ils apportent aussi leur savoir faire et leur compétence car leur taille plus humaine leur permet de déployer des solutions dont le déploiement dans les grands établissements est problématique. Ce brassage du savoir est souhaité par la Banque de France au sein de laquelle Jean-Claude Hillion, Vice-président du Forum des Compétences, exerçait la responsabilité d’Inspecteur Général.
Les « livrables » que fournissent les Groupes de Travail en fin de session sont essentiels et destinés à tout établissement intéressé par le sujet traité. Outre une rédaction soignée des rapports, le choix des thèmes est également crucial. « Le système des groupes de travail est assez commun. La différence dans la réussite de ce genre d’exercice se joue sur le choix des thèmes étudiés. Nous ne nous focalisons pas sur des sujets essentiellement techniques. Plutôt sur des questions très typées « organisation » ou dont la pluridisciplinarité est évidente Ainsi nous travaillons, par exemple, sur les jonctions entre la sécurité des Systèmes d’Information et la gestion globale des risques opérationnels. Ce sont en général des thèmes assez délicats à traiter, comportant une forte composante prospective (juridique, gestion globale des risques, intelligence économique …). Lorsque l’on aborde des sujets plus concrets de type authentification, c’est dans une logique de confrontation des idées aux réalités du terrain, et non pas dans une optique de promulgation de théories. Par exemple, le Single Sign On, une technique qui ne sera pas répandue avant un moment tant que l’on sera tributaire de centaines applications héritées du passé. Nous acceptons les contraintes existantes et cherchons comment faire au mieux pour gérer les identifiants et effectuer les contrôles nécessaires dans un parc applicatif qui n’est pas idéal. Là , on peut descendre dans le détail pratique mais au moins c’est utilisable. »
Ainsi, la prochaine session de présentation du groupe de travail PCA parlera de la valeur probante des tests. La question est de savoir si ce que l’on teste est bien représentatif d’une situation réelle et permet bien d’évaluer la capacité de l’entreprise à redémarrer ses activités. Mais le test induit lui-même sa part de risques. On ne peut incendier un centre de calcul simplement pour voir si « ça marche ». Se pose donc la question de savoir si un test est bien représentatif d’une situation réelle et permet d’évaluer la capacité de survie de l’entreprise.