Bonjour, je suis Clément, le créateur de RisqueInformatique.com

L'objectif du projet

Aujourd’hui, l’informatique est un élément indispensable aux entreprises. Souvent considérée comme centre de coût, elle peut également véhiculer certains risques. L’analyse de ces risques a pour but de donner une visibilité stratégique et de générer de la valeur pour le·a dirigeant·e d’entreprise.

Ce projet est né d’un double constat :

  • Les compétences dans la gestion des risques informatiques sont trop souvent élitistes et réservées aux grandes entreprises
  • L’emploi est en crise ! Des personnes peu qualifiées ou juniores qui voudraient travailler dans ce domaine ne trouvent pas de contrat. 

Mon projet vise à conscilier ces deux constats :

  1. Apporter mes compétences aux sociétés clientes
  2. Encadrer des profils juniors ou en revonversion pour qu’ils montent en compétence en prenant de l’expérience
  3. Apporter de la valeur à des entreprises qui ont des besoins assez homogènes en matière de gestion des risques IT.

Afin de proposer des tarifs de prestation abordables, je propose des prestations au forfait : mutualisées et exercées à distance, à destination des entreprises de service informatique (Production IT, DSI mutualisée, Editeur logiciel & web).
En aucun cas je ne souhaite me positionner en concurrence avec des sociétés de conseil spécialisées et expertes. La plu-value du projet se situe sur une vision 360° des bonnes pratiques d’hygiène et de gestion des risques qui couvrent les risques les plus pertinents. Des cabinets spécialisés seront davantage en mesure de répondre risques les plus spécifiques, techniques et onnéreux. 

Avancement à date

Aujourd’hui en phase de lancement du projet, je cherche principalement à identifier les premières offres sur lesquelles je pourrais me positionner afin de répondre aux besoins d’entreprises avec les compétences que je possède.

Chaque prestation que je mènerai initialement sera en suite cadrée afin d’être partiellement exécutée par des profils juniors à terme.

L'entreprise

Entreprise en cours d’imatriculation.

A propos de moi

Photo Clément MARXER

Spécialiste de la gestion du risque opérationnel et plus spécialement des risques informatiques / Risques IT, certifié CISSP,  j’ai développé le contrôle permanent, la réponse à audit IT (coordination d’audit) et la gestion des risques IT dans 3 banques en Europe. Ayant travaillé dans des entités de production informatique et d’études & développent informatiques je saurai vous accompagner à identifier vos risques et apporter de la valeur à ces activités régaliennes en optimisant au plus juste l’implication des équipes opérationnelles.

Mon expérience en quelques points

DSI Centrale - BNP Paribas
Février 2020 - Aujourd'hui (2 ans)

En responsabilité de l'activité Risque Opérationnel, Contrôle Permanent, Coordination d'audit et Continuité d'activité pour la DSI mutualisée des fonctions du groupe, j'ai pu mener les activités suivantes :

  • Redémarrer l'activité de contrôle permanent afin de répondre à de nouveaux enjeux de certifications pour le compte de régulateurs. Pour cet exercice à fort enjeu, il a fallu restaurer la confiance avec les équipes opérationnelles en les impliquant en amont et avec un niveau de restitution adapté.
  • Faire évoluer l'activité de risque opérationnel sur la collecte des pertes : en sensibilisant les équipes et en rééquilibrant les rapports avec les métiers, afin que l'activité ne se substitue plus à la gestion du run des équipes IT

100% à distance depuis le 1er confinement (mars 2019) j'ai su créer du lien avec les équipes opérationnelles et les aider à monter en maturité.

En 1 an les activités reprises ont été auditées à de nombreuses reprises et aucune recommandation majeure n'a été émise. Seuls les travaux en cours ont été identifiés comme non encore achevés.

DSI Centrale - BNP Paribas
Janvier 2019 - Janvier 2020 (1 ans)

Afin de mieux répondre aux contraintes réglementaires croissantes et de gagner en maturité dans la maîtrise de ses risques, le groupe BNP Paribas a décidé d'outiller la gestion des risques IT, Contrôles IT, des règles et exigences pour le groupe, ainsi que les activités liées à la cybersécurité.
J'ai apporté ma connaissance des sujets afférant aux risques pour aider l'équipe technique à donner du sens aux différents modules du progiciel. Dans ce cadre, j'ai été amené à :

  • Analyser les processus existants, techniques ou fonctionnels (de la gestion des vulnérabilités à la publication des exigences du groupe)
  • Identifier les limites de ces processus et les solutions à mettre en place (Gestion des risques IT pour une entité de production mutualisée qui n'est pas comparable à une entité métier avec un IT intégré)
  • Gérer un projet en cycle en V (rédaction des spécifications, suivi du développement, campagne de tests, formation des utilisateurs) puis en Agile suite à une réorganisation (définition des critères d'acceptation, identification et priorisation des stories, animation des sprint reviews, ...)

Production Intégrée - Crédit Agricole
Mai 2018 - Decembre 2018 (7 mois)

Suite à une décision stratégique, le Crédit Agricole a souhaité réunir au sein de la même production IT mutualisée. La création d'une nouvelle structure était lancée et l'activité de gestion des risques et du contrôle permanent a dû se réinventer afin de permettre aux différentes entités de ne pas perdre le niveau de maturité qui avait été atteint. Des entités qui avaient une production intégrée allaient devenir clientes d'une production mutualisée et les contrôles préexistants devaient être intégralement retravaillés.
En tant que chef de projets, j'ai pu :

  • Etudier les activités qui rejoindraient l'entité nouvellement créée, en distinguer les différents aspects et reconstituer des contrôles applicables dans la nouvelle organisation
  • Mettre en place une gestion de projet classique avec de nombreux interlocuteurs, managements, opérationnels, homologues et métiers différents
  • Diriger une équipe de consultants venus pour m'assister dans le cadre de ce projet
  • Définir un Target Operating Model des activités de contrôle permanent, risque opérationnel, réponse à audit & certifications, risque outsourcing
  • Présenter et défendre le Target Operating Model auprès de parties prenantes aux intérêts parfois divergents
  • Former le futur responsable de l'activité pour lui permettre de prendre ses fonctions dans les meilleurs conditions.

Production Intégrée - Crédit Agricole
Février 2017 - Decembre 2018 (2 ans)

Suite à l'augmentation des contraintes réglementaires, la production mutualisée du Crédit Agricole a souhaité renforcer son dispositif de contrôles de 1ere ligne.
Rattaché à la 2eme ligne de défense dédiée à l'entité de production informatique, j'ai eu le privilège de développer le contrôle permanent local.

En collaboration avec les équipes opérationnelles et le comité de direction, j'ai eu l'occasion de :

  • Fédérer les équipes et le management autour du projet et de ses enjeux : le contrôle permanent est un levier pour gagner en maturité et non une contrainte administrative
  • Identifier les zones de risques de chaque activité opérationnelle ou transverse
  • Définir et rédiger les contrôles permanents de 1ere ligne à exécuter dans les équipes
  • Définir et mettre en place la gouvernance des campagnes de contrôles et d'évolution du plan de contrôles, c'est à dire d'en définir les reportings et comités adéquats
  • Coordonner l'exécution des contrôles et des campagnes, l'identification des plans d'actions et leur mise en place
  • Outiller le processus en adaptant l'outil groupe aux contraintes et besoins de l'entité (reporting spécifiques, fonctionnement adapté, ...)
  • Constituer et coordonner une équipe afin d'assurer l'activité
  • Former les contrôleurs et autres acteurs de l'équipe au processus et à l'utilisation de l'outil

Fort de ce succès, j'ai été mandaté pour développer l'activité de gestion du risque lié à l'externalisation et des Prestations de Service Essentiel :

  • Développer le processus et la gouvernance
  • Identifier les prestations les plus à risques pour l'entité et les soumettre à un dispositif de contrôle adapté
  • Aider les équipes opérationnelles à gagner en maturité dans leur suivi de prestations
  • Animer les comités adéquats pour suivre les risques, en interne et avec les prestataires les plus critiques.

Les deux activités ont été audités et n'ont donné lieu qu'à des recommandations mineures.

Caceis Bank Deutschland - Crédit Agricole
Février 2015 - Janvier 2017 (2 ans)

Suite à l'augmentation des exigences réglementaires et de ses clients banque, Caceis Bank Deutschland a décidé de mettre en place un système de contrôle permanent.

En allemand ou en anglais selon mes interlocuteurs, j'ai été en charge de développer et faire mûrir cette activité. J'ai notamment été amené à :

  • Retravailler les contrôles existants afin de les faire répondre risques de l'entité
  • Concevoir et mettre en place le processus de contrôle, de l'évolution du plan de contrôles au déroulement des campagnes et remédiations
  • Outiller le processus & adapter la solution retenue aux spécificités du processus. Faire développer les rapports automatiques qui satisfassent les opérationnels, le management et les banques clientes de CACEIS
  • Superviser et coordonner les campagnes, en impliquant les différents acteurs et en assurant l'exécution des contrôles dans les temps
  • Définir et mettre en place la gouvernance qui permettrait d'atteindre les objectifs
  • Répondre aux différentes missions d'audit et de Check & Challenge qui n'ont pas relevé de non-conformités sur l'activité
  • Intégrer cette activité dans l'activité de gestion des risques IT pour laquelle les contrôles pouvaient apporter des inputs ou répondre aux risques identifiés
  • Sensibiliser et former les différents acteurs du contrôle, et former mon successeur qui a pu reprendre l'activité suite à mon départ.

Caceis Bank Deutschland - Crédit Agricole
Février 2015 - Janvier 2017 (2 ans)

En 2015, la Banque Centrale Européenne a mandaté 12 auditeurs pour une mission de 2 mois au sein de la DSI de Caceis Bank Deutschland.

Volontaire pour coordonner cet audit, j'ai pu accomplir les actions suivantes :
- Etudier le périmètre audité afin d'identifier les principaux interlocuteurs et faciliter la communication lors de l'audit
- Organiser les entretiens, y assister et rédiger les comptes rendus.
- Avec les équipes opérationnelles : identifier les constats qui pourraient éventuellement être mis en lumière lors des entretiens et les remédiations à mettre en place
- Suivre la transmission des pièces demandées par l'auditeur et rendre compte de l'avancement de l'audit lors d'un point journalier au sein de la DSI

Une fois l'audit terminé, et sans attendre la communication du rapport préliminaire, la banque a souhaité initier les plans de remédiation. Dans la continuité de ma mission, j'ai pu :
- Prendre connaissance en profondeur des différents sujets de remédiation
- Suivre l'avancement des remédiations à la manière d'une gestion de projet
- Rendre compte aux équipes opérationnelles et présenter un avancement hebdomadaire auprès du DG de la banque
- Former mon successeur à la fin de ma mission

Cette mission a été menée dans le cadre d'une prise de poste à l'étranger, en anglais et en allemand. La pression associée à l'enjeu de la mission m'a permis d'apprendre à garder la tête froide

Pour plus d’informations, n’hésitez-pas à me contacter ou à consulter mon profil Linked’in