Gestion des risques numériques

Une gouvernance, une gestion des risques et une conformité (GRC) IT efficaces permettent aux organisations de renforcer leur gouvernance, de valoriser leurs activités, de saisir les opportunités et de réduire les pertes grâce à une prise de décision éclairée et à des solutions technologiques de soutien.
La gouvernance, le risque et la conformité représentent toujours des défis pour les entreprises. L’introduction de nouvelles lois et réglementations impose aux conseils d’administration une transparence, une objectivité et un professionnalisme accrus. La responsabilité accrue et les risques juridiques obligent les administrateurs à veiller au respect des standards de gouvernance et à la mise en place de systèmes de gestion de la conformité robustes.

Défis auxquels vous pourriez faire face et questions clés à considérer:

• Comment les fonctions de risque et de conformité peuvent-elles répondre de manière dynamique aux risques émergents et à des réglementations toujours plus complexes?
• Comment répondre à la méfiance des parties prenantes quant à la gestion de leurs données, et comment la fonction risque peut-elle apaiser leurs craintes?
• Comment valoriser les données de risque et de conformité pour éclairer les décisions de votre entreprise?
• Comment faire évoluer l’état d’esprit et la culture de l'organisation pour intégrer la gestion des risques dans toutes les opérations?
• Comment gérer de manière proactive l’ampleur des risques, des obligations de conformité et des enjeux auxquels mon entreprise est confrontée?

Chez KPMG, nous comprenons l’importance de définir le niveau de risque acceptable sans compromettre les performances. Notre équipe IT GRC vous aide à identifier les risques, à définir des cadres de contrôle, à améliorer les concepts d’autorisation, à sélectionner des fournisseurs et à mettre en œuvre des plateformes technologiques GRC & IAM afin de soutenir vos processus de gestion des risques et de conformité.

Nous aidons votre entreprise à mettre en place son cadre de contrôle des risques, avec un accent particulier sur l’amélioration des contrôles et la conformité aux réglementations (SOX, PSD2, RGPD, COBIT, IT SREP, etc.).

• Conception et mise en place des contrôles IT généraux
• Conception et mise en place des contrôles des processus métier IT
• Reconception du cadre de contrôle dans le cadre d’implémentations systèmes
• Reconception du cadre de contrôle suite à des réglementations externes

Nous (re)concevons un concept d’autorisation sécurisé, transparent, mais également flexible et durable pour votre organisation.

• Évaluation et révision des configurations et processus de sécurité
• Conception et mise en place des processus de gestion des accès utilisateurs
• (Re)conception du concept d’autorisation
  Soutien lors des transformations ERP pour les considérations liées à l’autorisation et à la sécurité.

Nous mettons en place un environnement technologique conforme lors des transformations et améliorations ERP.

• Identification des risques processus et mesures d’atténuation lors des projets ERP
• Renforcement de l’appétence au risque et du niveau de conformité des processus métier

Notre équipe sélectionne la solution GRC et/ou IAM la plus adaptée selon vos exigences stratégiques, tactiques et opérationnelles. Nous vous accompagnons également dans la mise en œuvre de cette solution.

• Identification des besoins GRC
• Sélection d’outil GRC et de fournisseur
• Élaboration du business case de l’outil GRC
• Implémentation et configuration de l’outil GRC

Nous renforçons les capacités de conformité de votre organisation en exploitant les fonctionnalités d’analyse et d’automatisation intégrées aux ERP.

• Rapports de contrôle intégrés pour tous les niveaux de management
• Exécution et reporting automatisés des contrôles de processus (via RPA et l’apprentissage automatique)
• Utilisation des capacités RPA pour un suivi de conformité en continu

Les processus métier sont de plus en plus pilotés par la technologie. Les auditeurs internes et financiers ont donc besoin d’un soutien croissant d’experts IT afin de fournir des analyses pertinentes. Il y a une pression accrue pour évaluer la gestion des risques technologiques. Notre modèle d’audit technologique est conçu pour répondre aux besoins d’audit (interne) en matière de technologie. Nous combinons des auditeurs IT qualifiés, les dernières normes d’audit, des outils technologiques de pointe, et des experts thématiques spécialisés.

Défis auxquels vous pourriez faire face et questions clés à considérer:

• Comment valoriser mon audit IT et en tirer des actions concrètes?
• Quels sont nos risques IT?
• Notre stratégie IT est-elle alignée sur les risques métier et IT?
• Quel est notre niveau de maturité en termes de risques et de contrôles IT? Comment nous situons-nous par rapport à nos pairs?
• Avons-nous besoin d’une fonction d’audit IT interne?
• Notre feuille de route IT (y compris transformations et nouvelles technologies) prend-elle suffisamment en compte les risques et contrôles?
• Peut-on remplacer des contrôles métier manuels par des contrôles automatisés?
• Qui est responsable des nouveaux risques IT?

Chez KPMG, nous comprenons l’importance de déterminer le niveau de risque acceptable sans compromettre les audits FSA ou (J)SOX. Notre équipe d’audit IT vous aide à identifier les risques, tester les cadres de contrôle et améliorer l’approche de contrôle pour les audits externes.

Nous pouvons aider votre organisation à évaluer les risques informatiques dans votre environnement métier, soit par notre service de conseil, soit dans le cadre d’engagements FSA ou (J)SOX. Notre champ d’évaluation et de reporting couvre l’ensemble des risques, contrôles, processus et technologies liés à l’informatique.

Dans le cadre de nos évaluations des risques informatiques et des processus métier, nous auditons les contrôles généraux de gestion informatique (GITC) et les contrôles d’applications informatiques (ITAC), y compris les rapports spécifiques requis à des fins financières et de reporting. Nous couvrons également les projets de transformation IT à haut risque, les projets de migration et de qualité des données, les centres de données et les audits de sécurité cloud.

Nous réalisons aussi des évaluations spécifiques sur la cybersécurité, l’automatisation des processus (RPA), les algorithmes, le reporting réglementaire, la confidentialité des données, la gouvernance IT, les implémentations ERP (SAP S/4HANA, Oracle, MS AX, JDE, Infor M3, etc.).

Nous adaptons continuellement nos procédures d’audit pour intégrer de nouveaux outils et technologies, et fournir des analyses pertinentes de la manière la plus efficace possible.
Notre plateforme mondiale KPMG Clara nous permet de fournir un large éventail d’analyses de données, incluant l’analytique prédictive, l’audit et la surveillance continus, ainsi que l’analyse comparative des indicateurs de performance (KPI).
Nous utilisons également des outils de pointe pour des besoins spécifiques tels que la robotique (pour minimiser les tâches manuelles) ou le Business Process Mining (afin d’identifier les différents flux de données au sein d’un processus).

Votre organisation gère-t-elle des systèmes critiques, stocke-t-elle ou traite-t-elle des données privées et/ou confidentielles de clients, ou effectue-t-elle des transactions pour plusieurs clients? Si oui, vous faites partie de ceux qui doivent aujourd’hui faire face à des exigences accrues d’assurance à destination des clients, auditeurs et régulateurs, afin de garantir que des contrôles internes appropriés ont bien été mis en place.

Défis auxquels vous pourriez faire face:

• Vos clients sont de plus en plus sensibles aux mesures prises pour protéger leurs informations privées et assurer la disponibilité continue de leurs systèmes.
• La gestion de la cybersécurité et la conformité au RGPD sont devenues des enjeux majeurs.
• Des violations de sécurité réelles ou perçues peuvent donner l’impression que votre organisation n’est pas en mesure d’opérer de manière sûre et responsable.
• Vous êtes confronté à de multiples audits clients ou à des questionnaires détaillés concernant votre environnement de contrôles.
• Vous devez démontrer que vous êtes capable de répondre aux exigences de conformité de vos clients et renforcer leur confiance.
• Vous devez prouver l’efficacité opérationnelle de votre environnement de contrôle aux clients ou aux régulateurs.

Chez KPMG, nous comprenons l’importance de démontrer la confiance et la fiabilité à vos clients actuels et futurs, aux régulateurs et au public sur des sujets liés à la cybersécurité, aux services cloud, aux services financiers, à la confidentialité et aux objectifs de contrôle spécifiques. Notre équipe d’assurance numérique vous accompagne efficacement dans les évaluations, diagnostics et rapports afin de mettre en valeur votre excellence.

Les organisations externalisent de plus en plus la prestation de leurs services, ce qui complexifie la gestion des risques, anciens comme nouveaux. Dans ce contexte, les prestataires de services souhaitent démontrer leur maîtrise de ces risques pour conserver la confiance de leurs clients. Un rapport d’assurance peut alors faire toute la différence.

Chez KPMG, nous vous aidons à démontrer la robustesse de votre dispositif de contrôle interne grâce à un rapport Service Organization Controls, axé sur:

• Les risques et contrôles liés à l'information financière (ISAE 3402 / SOC 1);
• Les principes de confiance : sécurité, intégrité, disponibilité, confidentialité, protection des données (SOC 2 / SOC 3 / ISAE 3000);
• La sécurité de l'information et la protection de la vie privée, selon des normes reconnues telles que ISO 27001 et ISO 27701 ou des objectifs de contrôle définis (ISAE 3000);
• La certification ISO 27001 intégrée aux rapports SOC 2 ou ISAE 3000 (tests à usages multiples);
• Les services cloud (SOC 2 / ISAE 3000);
• Les procédures convenues d’un commun accord.

Les marchés et les autorités exigent plus de transparence et de responsabilité de la part des institutions financières. Chez KPMG, nous vous aidons à démontrer votre conformité réglementaire via des rapports d’attestation couvrant notamment: la directive sur les services de paiement 2 (PSD2) et ses normes techniques, le programme de sécurité des clients de SWIFT (CSP), les règlements de l’Autorité bancaire européenne (ABE), les dispositifs institutionnels, la connaissance client (KYC), la lutte contre le blanchiment d’argent (AML), etc.

KPMG Certification propose des services de certification vous permettant de valoriser votre excellence en matière de gestion de la sécurité de l'information, conformité au RGPD, services de confiance en archivage électronique et/ou la gestion des actifs.

KPMG Certification est accréditée par BELAC, l’organisme d'accréditation belge, pour certifier la conformité à la norme ISO/IEC 27001 – Systèmes de gestion de la sécurité de l'information. Actuellement, nous fournissons également des services de certification pour les normes/systèmes de certification ci-dessous:

• ISO/IEC 27701:2019 – Systèmes de gestion de la vie privée ;
• ISO/IEC 55001 – Gestion des actifs ;
• Schéma de certification belge pour l’archivage électronique.

Dans notre monde numérique actuel, les décideurs ne peuvent se permettre de freiner leur croissance à cause des cyber-risques. Leur stratégie, leurs défenses et leurs capacités de réponse doivent être à la hauteur.

Tous les secteurs se posent les mêmes questions:

• Comment concilier protection de l’information et accessibilité?
• À quoi ressemble une stratégie cyber performante dans mon secteur?
• Puis-je aligner mes priorités cyber sur ma stratégie d’entreprise?
• Quel niveau d’investissement est nécessaire?
• Où concentrer mes investissements?
• Comment prévenir ou atténuer l’impact d’un incident cyber?
• Comment assurer une reprise rapide des activités?

Chez KPMG, notre réseau mondial de professionnels de la cybersécurité qui connaissent bien le monde des affaires comprend que les entreprises ne peuvent pas être freinées par le risque cybernétique. Les professionnels de KPMG reconnaissent que la cybersécurité est une question de gestion des risques - et non d'élimination des risques.

Quelle que soit votre position en matière de cybersécurité, les cabinets membres de KPMG peuvent vous aider.

Nous pouvons travailler avec vous pour que vous puissiez fonctionner sans subir de perturbations paralysantes à la suite d'un événement lié à la cybersécurité. En travaillant main dans la main avec vous, nous pouvons vous aider à travailler sur la stratégie et la gouvernance, la transformation organisationnelle, la cyberdéfense et la cyberréponse.

En tant que professionnels de la cybersécurité, nous ne nous contentons pas de recommander des solutions, nous aidons également à les mettre en œuvre. Des tests de pénétration et de la cyberstratégie à la gestion des accès et au changement culturel, nous vous guidons à chaque étape du processus.

Alignez votre programme de sécurité sur vos priorités dynamiques en matière d'activité et de conformité, afin de mettre en place une posture de sécurité avant-gardiste qui s'attaque aux risques de manière proactive.

• Évaluation de la maturité cybernétique (CMA)
• Évaluation de la conformité
• Stratégie de cybersécurité/modèle opérationnel cible (TOM)
• Mesures et rapports du responsable de la sécurité de l'information (CISO)
• Gestion des risques de sécurité par des tiers
• Résilience de l'entreprise

En tirant parti de nos alliances avec les leaders de l'industrie, nous vous aidons à concevoir, mettre en œuvre et améliorer vos processus et contrôles cybernétiques afin de répondre aux normes réglementaires et de les mettre en corrélation avec votre stratégie cybernétique.

• Mise en œuvre du SMSI ISO 27001
• Gestion des identités et des accès (IAM)
• Identité propulsée
• Sécurité GRC
• Intégration technologique
• Exécution du programme
• Sécurité dans le nuage

Nos spécialistes du piratage éthique vous aideront à trouver les vulnérabilités de votre organisation avant que les criminels ne le fassent:

• Évaluations techniques
• Tests de pénétration
• Équipe rouge
• Opérations et surveillance de la sécurité
• Analyse de la sécurité
• Menace d'initié

Nous pouvons vous aider à vous préparer aux cyberincidents et à réagir efficacement lorsqu'ils se produisent grâce à notre réseau mondial d'experts en réponse aux incidents :

• Préparation et planification de la réponse aux incidents
• Enquêtes numériques et remédiation
• Renseignements sur les menaces

Depuis l'introduction du règlement général sur la protection des données (RGPD), le paysage réglementaire s'est transformé de jour en jour. La façon dont les organisations et les individus envisagent la protection et l'utilisation des informations personnelles a radicalement changé.

La nécessité de gérer les informations personnelles de manière sécurisée et conforme est plus grande que jamais. Les nouvelles lois sur la protection des données, les mesures réglementaires de plus en plus nombreuses et l'évolution du paysage des cybermenaces sont autant d'éléments qui déterminent les exigences d'une organisation en matière de respect de la vie privée. En plus de ces facteurs de risque et de réglementation, d'autres facteurs tels que les nouvelles technologies, l'importance accrue accordée à la transformation numérique et l'évolution de la perception du public concernant la collecte et l'utilisation des informations personnelles des individus, obligent les organisations à s'adapter et à améliorer leurs pratiques en matière de protection de la vie privée.

Défis auxquels vous pourriez faire face et questions clés à considérer:

• Vos cadres de conformité accompagnent-ils votre transformation numérique?
• Maîtrisez-vous votre exposition aux risques de confidentialité?
• Utilisez-vous des technologies pour automatiser vos processus de protection des données?
• Appliquez-vous efficacement le principe de “privacy by design”?
• Vos nouveaux produits, projets ou acquisitions sont-ils conformes?
• Êtes-vous en mesure de réagir rapidement à une violation de données?

Chez KPMG, nous pensons que la protection de la vie privée et des données offre de réelles opportunités commerciales et que les processus de protection de la vie privée peuvent être mis en place pour aider l'entreprise à fournir ses services de base. KPMG peut travailler avec vous pour faire les choses correctement et résoudre les problèmes auxquels vous êtes confrontés. Notre équipe expérimentée de conseillers en matière de risques, de protection de la vie privée, de juristes et de technologues peut se mobiliser rapidement pour vous aider à transformer votre entreprise et vous aider à mettre en œuvre vos processus de protection de la vie privée.

La protection de la vie privée n'est pas un exercice isolé. KPMG aidera votre équipe à travailler dans l'ensemble de l'entreprise afin de gérer avec succès les interdépendances complexes avec d'autres programmes et de se connecter aux priorités stratégiques de votre entreprise. Nous soutenons nos clients tout au long du cycle de vie de leur Pivacy.

Chez KPMG, nous pouvons vous aider à:

• Evaluer votre exposition aux principaux problèmes de protection de la vie privée, votre niveau de risque en matière de protection de la vie privée et en identifiant les mesures à prendre pour remédier aux principales faiblesses, conformément à votre goût du risque;
• Transformer votre conformité en matière de protection de la vie privée en vous aidant à définir votre stratégie de protection de la vie privée et à la rendre opérationnelle en mettant en œuvre les politiques, les processus, les outils et les contrôles nécessaires;
• Améliorer et exploiter vos processus clés en matière de protection de la vie privée afin que vous puissiez gérer les risques et stimuler l'innovation.

Les données sont l'élément vital de toute organisation et doivent être traitées comme un atout. Des informations de qualité et opportunes aident les dirigeants à prendre des décisions vitales en temps voulu et à mettre en œuvre les changements appropriés. Par conséquent, les organisations doivent assurer une protection de l'information de pointe tout au long des phases du cycle de vie des données.

KPMG peut vous aider dans les domaines suivants:

• Gestion efficace de la collecte, de l'organisation, du stockage, de la récupération et de l'élimination des données et du contenu électroniques ;
• Découverte approfondie des données, classification des données et outils de prévention des pertes de données ;
• Protection contre la duplication, la redondance et l'exposition des données ;
• Mise en place de techniques robustes de pseudonymisation et d'anonymisation.

Les modèles d'exploitation et de prestation de services évoluent rapidement dans l'ensemble de l'entreprise et dans le domaine de la protection de la vie privée et des données.

Chez KPMG, nous pouvons vous fournir:

• un service complet de protection de la vie privée et des données, vous donnant la possibilité d'externaliser le rôle de DPO;
• une multitude de services gérés de protection de la vie privée qui permettent à votre organisation d'externaliser de manière flexible les activités quotidiennes de protection des données et de soutien à la protection de la vie privée.

Tirez parti des pratiques de pointe de la méthodologie accélérée de KPMG en matière de protection de la vie privée, qui est un moyen plus rapide et plus intelligent d'atteindre les objectifs de transformation en matière de protection de la vie privée et des données grâce à l'utilisation de OneTrust. L'offre de KPMG en matière de protection accélérée de la vie privée aide les clients à accélérer leurs projets de transformation de la conformité en matière de protection de la vie privée.

Nous apportons des modèles opérationnels, des flux de processus, des profils de rôle et une configuration OneTrust standardisée, prêts à être validés par vous. Le résultat est une livraison accélérée, à moindre risque, et avec un plus haut degré de certitude et de succès.

Les services juridiques de KPMG comprennent des avocats spécialisés dans la protection de la vie privée, qui peuvent travailler en étroite collaboration avec nos conseillers au sein d'une équipe pluridisciplinaire afin de répondre à vos besoins.

Nous pouvons vous aider dans les domaines des litiges relatifs à la protection de la vie privée, des contrats de protection des données, des transferts internationaux et des conseils et avis juridiques généraux.

Pour plus d'informations sur nos services juridiques, nous vous invitons à consulter nos pages consacrées aux services juridiques en matière de protection de la vie privée.