Une approche agile pour optimiser la gestion des réglementations en conformité IT

Moderniser et centraliser la gestion de la conformité informatique de la banque

Acteur de premier plan du secteur bancaire, ce groupe a pour enjeu de constamment répondre à de nombreuses réglementations impliquant la cyber sécurité comme les normes RGPD, NYDFS, PCI-DSS, CSP Swift, etc., tout en continuant son développement. D’envergure internationale, ses DSI rassemblent plusieurs milliers de personnes. 

Historiquement, la banque consignait sa conformité informatique dans des documents Excel. Aujourd’hui, elle a choisi de disposer d’un outil visant à mieux gérer opérationnellement les réglementations en matière de conformité IT, en particulier la cyber sécurité. En d’autres termes, il s’agit d’une solution organisée autour d’un référentiel unique pour permettre :

• Une gestion opérationnelle de la conformité des Directions des Systèmes d’Information ;
• L’optimisation des coûts globaux de la gestion de la conformité ;
• La diminution de la perte de qualité d’information entre les différents segments de l’entreprise ;
• Un suivi à long terme de la conformité IT, permettant notamment de s’affranchir des équipes IT qui se peuvent se retirer après la réalisation de leur travail de mise en conformité initiale.

L’enjeu pour le groupe était de mettre en place un référentiel commun permettant de gérer la conformité des ressources informatiques à l’ensemble des normes internes et réglementations externes.

Un projet agile pour bâtir de manière itérative la conformité aux différentes réglementations

Pour atteindre ses objectifs, le groupe bancaire a décidé de s’appuyer sur son référentiel d’Architecture d’Entreprise et d’y ajouter la solution de gestion de contrôle interne de MEGA - HOPEX Integrated Risk Management - pour gérer la conformité de l’ensemble de son patrimoine applicatif. Le choix de cette solution s’est principalement basé sur trois critères :

• Pertinence de la solution proposée compte tenu du besoin de la banque ;
• Capacité d’intégration dans le référentiel d’Architecture d’Entreprise existant reposant lui-même sur HOPEX, permettant ainsi de capitaliser sur le référentiel des applications déjà en place ;
• Accompagnement des équipes de MEGA dans la conduite du projet d’intégration de la solution. 

Le parti-pris de l’entreprise a été d’innover en mettant en place une stratégie fondée sur le lancement rapide d'un MVP (Minimum Viable Product) consistant à lancer une première version, puis de la faire évoluer en fonction des besoins remontés par l’ensemble des parties prenantes du projet. Une approche pragmatique, mais surtout itérative.

L’organisation agile du projet s’est construite dans la durée et a évolué progressivement avec l’équipe projet au niveau métier, la maitrise d’œuvre et l’équipe MEGA International. Ces échanges ont permis de faire évoluer la solution de manière agile pour construire un "MVP" étendu et débuter un premier cas d’usage concret : la mise en conformité à la réglementation RGPD. Une fois la mise en production de ce cas d’usage lancée, l’ensemble des informations ont été renseignées par la maitrise d’œuvre directement dans la solution HOPEX - mettant ainsi fin à l’utilisation de fichiers Excel pour ce type d’opérations. 

Une centralisation de l’information pour un meilleur accès à la connaissance

En centralisant les données de conformité sur une plateforme unique, le groupe bancaire dispose désormais d’informations fiables, claires et à jour – ce qui facilite l’accès à la connaissance. Pour arriver à ce résultat, l’ensemble des parties prenantes de l’organisation a participé à cet effort de mise en conformité des ressources informatiques. 

La centralisation de l’information a également permis de disposer d’une meilleure visibilité sur le niveau de conformité global des ressources informatiques. Le groupe bancaire a ainsi pu évaluer la conformité à la réglementation RGPD de plusieurs centaines d’applications pour commencer - et de plusieurs centaines d’autres applications sur la base d’autres réglementations par la suite. 

L’objectif pour le groupe bancaire est aujourd’hui d’enrichir fonctionnellement la solution en commençant par l’industrialisation (automatisation) de la gestion du niveau de conformité de son patrmoine applicatif. L’autre enjeu central étant d’optimiser les coûts de pilotage de la gestion de la conformité.

Solutions

• HOPEX Integrated Risk Management
• HOPEX IT Portfolio Management
• HOPEX platform
• MEGA Services Team