Speaker #0Les trois lignes de défense. Dit ainsi, on se croirait dans un vestiaire d'une équipe sportive. Mais tu ne t'es pas trompé, je ne vais pas te parler de rugby, de foot ou de basket ici, ni de guerre. Quoique, si je te parle de défense, c'est bien qu'il y a des attaques à un moment donné. Oui, tu es bien dans Compliance Without Coma, et aujourd'hui, je vais te parler des trois lignes de défense en gouvernance. Voir dans sa mise à jour des trois lignes et de ses six principes fondateurs. Il y a un peu plus que trois lignes dans cet épisode, mais je te l'offre quand même. Bonjour à toi, bienvenue dans Compliance Without Coma, le podcast qui parle de cybersécurité de gouvernance de normes ISO sans jargon et sans coma. Si tu me découvres, je suis Fabrice De Paepe et tu m'as peut-être déjà aperçu avec un bonnet bleu sur certains réseaux sociaux. Mon défi pour ce jour, donc, est de te parler des trois lignes de défense sans t'endormir. Allez, défi relevé, c'est parti. Aujourd'hui, on va explorer un modèle qui a profondément marqué le monde de la gouvernance et de la gestion des risques. Le Treeline Models de l'IIA, l'Institut des auditeurs internes. D'ailleurs, tu connais peut-être de nom sa version d'origine, le fameux "Three lines of Defense", les trois lignes de défense. Comme un rasoir d'une célèbre marque, trois lames qui coupent le poil. Mais en 2020, l'IIA l'a revisité de fond en comble. Alors qu'est-ce que c'est ? Qu'est-ce qui change ? Pourquoi ce modèle est-il essentiel aujourd'hui ? Et surtout, comment l'utiliser concrètement dans ton organisation ? Que tu sois une PME, une grande entreprise, Ou même une institution publique. Ah non, pas vous. Vous, c'est COBIT. C'est vrai, j'ai oublié. Donc, c'est ce qu'on va voir ensemble, tranquillement. Mais rentrons dans le cœur du modèle et ses six principes fondateurs. Je vous les résume, puis je les détaille. Le premier, gouvernance forte et claire. Le deuxième, un rôle central pour l'organe de gouvernance. Le troisième, les deux premières lignes. Management plus contrôle en collab, comme sur Insta. Quatrième, la troisième ligne, assurance indépendante via l'audit interne. Cinquième, indépendance et objectivité de l'audit. Sixième, l'objectif ultime, créer et protéger de la valeur. C'est bizarre, j'aurais commencé par le point 6 moi, mais avançons. Prenons-les un par un. Principe 1, la gouvernance. La gouvernance, c'est l'ossature. Sans clarté sur qui décide quoi et qui rend des comptes à qui, Tu crées un joli château de cartes. Ce modèle rappelle que la gouvernance, ce n'est pas juste des organigrammes. C'est un système vivant de transparence, de reporting et de responsabilité. Je te donne un petit exemple. Une PME qui confie la cybersécurité à son DSI, sans jamais appliquer son conseil d'administration, résultat, les risques stratégiques ne sont pas couverts. Principe numéro 2. Le rôle de l'organe de gouvernance, le conseil, le board ou la direction générale. voire le directoire pour mes auditeurs français, ce sont eux qui fixent le cap. Ils ne sont pas là pour micromanager, mais pour approuver les grandes orientations, allouer les ressources, et garantir l'indépendance de l'audite interne. C'est un peu comme le capitaine d'un navire. Il ne tient pas la barre en permanence, mais c'est celui qui trace la route et s'assure que l'équipage est compétent. Et d'ailleurs, Sénèque ne disait-il pas, il n'y a pas de vent pour les marins qui ne savent pas où aller. Principe 3, la première et la deuxième ligne. Grande nouveauté, la distinction entre première et deuxième ligne est devenue beaucoup plus flexible. La première ligne, ce sont les opérationnels. La deuxième ligne, ce sont ceux qui apportent expertise, surveillance et challenge. Mais le modèle dit clairement, selon la taille et la structure de l'organisation, ces rôles peuvent être séparés ou combinés. Exemple concret. Dans une startup de 20 personnes, il est illusoire d'avoir une fonction Risk Manager séparée. Souvent, c'est le CTO ou le CFO qui... porte cette casquette en plus de la sienne. Souvent, il en porte plus que deux. Et c'est autorisé par l'ISO 27001. Pour autant que tu aies bien identifié les rôles et responsabilités, la matrice de séparation des tâches dans ton organisme, de la sécu, voire dans ton risque-register. Principe 4, la troisième ligne, l'audit interne. L'audit interne reste la pierre angulaire. Son rôle ? Donner une assurance indépendante et objective que la gouvernance, la gestion des risques et les contrôles internes fonctionnent. L'idée ? Ce n'est pas d'être la police interne, mais de contribuer à l'amélioration continue et il te tire vers le haut avec une vision business. Le principe 5, l'indépendance de l'audit. Ce point est clé. Pour être crédible, l'audit interne doit être libre de toute influence. Cela veut dire accès direct au conseil ou au comité d'audit. Droits de regard sans censure et surtout, la possibilité de dire les choses qui dérangent. Le principe 6, créer et protéger de la valeur. Le changement le plus fort. On ne parle plus seulement de défense. Sinon, on est dans une forte réserve au banc et on ne fait que défendre cette vision de siège. Un peu comme certains CISO ou même des CIO, qui ne sont pas au board d'ailleurs, et qui n'ont pas le choix, ils font ce qu'ils peuvent les pauvres, et ils ne siègent pas plus haut pour la stratégie. Le modèle insiste sur... l'équilibre entre protéger l'organisation et créer de la valeur durable. Un risque bien géré, ce n'est pas seulement éviter une catastrophe, c'est aussi permettre à l'entreprise d'innover, de se développer en confiance. Soit, c'est leur modèle. Perso, j'aurais commencé par cela comme principe, avec le fameux Start with Why de Simon Sinek. Pourquoi fait-on les choses ? Quelles valeurs je compte défendre, apporter ou protéger ? Et pourquoi ? Mais... Je respecte l'ordre de l'IIA dans son modèle. Alors, ce qui change vraiment par rapport à l'ancien modèle, 1. Il est plus flexible. Les rôles s'adaptent à la taille et à la maturité de l'organisation. 2. Il est moins militaire. Fini la ligne de défense. Place à un modèle de collaboration. 3. Il est plus stratégique. On relie la gestion des risques à la création de valeur. Je sais, en sécurité, c'est un challenge de démontrer un retour sur l'investissement de la Sécu de l'Info, le fameux ROSI. Tu dois souvent prouver que tu n'es pas une dépense pour l'entreprise, mais un investissement. Encore pas plus tard pour moi la semaine passée d'ailleurs. Et 4. Ce modèle est plus interactif. Communication fluide entre les lignes et avec le board. Alors comment l'appliquer concrètement ? Si t'es une PME, par où commencer ? Cartographies les rôles, qui fait quoi aujourd'hui ? Clarifie la gouvernance, est-ce que les risques sont discutés au conseil ? Renforce la deuxième ligne, même sans équipe dédiée, identifie un référent, risque et conformité, par exemple ton équipe. ISMS avec le CISO. Appuie-toi sur l'audit interne ou externe. Même si tu n'as pas d'équipe interne, fais-toi auditer régulièrement. Ou bien, pars dans l'ISO. Et là, tu n'auras pas le choix entre tes audits internes et de certification. Alors j'ai un exemple. Une PME industrielle qui met en place un petit comité de risque trimestriel avec le DAF, le DSI et un administrateur indépendant. Ce n'est pas lourd, mais ça change tout. Et pourquoi c'est vital aujourd'hui ? Parce que les risques sont devenus transversaux et rapides. Cyber, compliance, réputation, durabilité, ESG. Un modèle comme celui-ci donne un langage commun et un cadre pour ne pas se perdre. Et surtout, il rassure les parties prenantes, les actionnaires, les régulateurs, les clients, les financiers. Conclusion. Le 3-Line Models n'est pas une révolution, mais une évolution intelligente. Il garde la clarté du modèle original, tout en apportant la souplesse et la vision stratégique dont on a besoin aujourd'hui. Retiens ceci. La première ligne agit. La deuxième ligne soutient et challenge. La troisième ligne assure et conseille. Et le board garde la responsabilité globale. Merci d'avoir suivi cet épisode de Compliance Without Coma. Si tu as aimé, partage-le, abonne-toi et surtout, rappelle-toi, la conformité n'est pas là pour endormir, mais pour créer de la valeur. A vendredi pour un nouvel épisode.
