L'AMF et sa gestion « déficiente » des SI
Un examen de la Cour des comptes met au jour de multiples insuffisances dans la gestion des SI à l’AMF (Autorité des marchés financiers).
Une DSI insuffisamment impliquée, un travail de spécification sous-estimé, de multiples reports, des déficiences dans la passation de marchés publics… ROSA aura retenu l’attention de la Cour des comptes.
L’AMF (Autorité des marchés financiers) avait lancé ce projet informatique en 2017. Objectif : remplacer l’interface avec les gestionnaires d’actifs pour leur agrément et leur suivi. Fin 2023, elle ne l’avait toujours pas achevé.
ROSA n’est qu’un exemple des dysfonctionnements qui affectent la gestion des SI de l’AMF, constate la Cour des comptes.
Lire aussi : Intégrer la Chine à son réseau SASE, pas si simple !
Un pilotage « trop lâche » malgré un comité stratégique de gouvernance
Longtemps, les projets informatiques furent gérés en silo, soit par la DSI, soit par les métiers. En réponse, un comité stratégique de gouvernance vit le jour en 2016 pour piloter les évolutions majeures. Il se composait des directeurs opérationnels, du secrétaire général et du directeur des fonctions support. Le DSI en assurait le secrétariat permanent.
En octobre 2017, le comité avait constaté un nombre important de projets lancés et la faible capacité à les réaliser en interne. Il avait noté un haut niveau d’externalisation (3,4 prestataires externes pour 1 interne). Par la suite, il se consacra principalement au suivi du budget de la DSI et d’une partie des projets en cours. Il n’aborda plus les questions plus générales relatives à la stratégie, à la multiplicité des usages et au pilotage des prestataires.
En octobre 2019, un audit d’un cabinet de conseil préconisa de renforcer le pilotage des projets par le comité. Celui-ci est désormais saisi de tous les projets d’un montant supérieur à 200 k€ (mandant défini dans une lettre de mission validée en avril 2020).
La supervision n’a toutefois porté que sur les programmes que la DSI gérait directement. La vision s’est en outre limitée au coût des prestataires externes. Et l’attention du comité s’est portée sur le lancement de projets plutôt que sur leur exécution opérationnelle.
En mars 2022, un nouvel audit conclut à l’incomplétude des informations nécessaires à la sélection des projets. Ainsi qu’à des faiblesses de reporting pouvant limiter la visibilité des instances de décision.
L’AMF, en situation financière délicate
Au sein de l’AMF, la direction des émetteurs utilise, pour ses interactions avec les différents intervenants, l’extranet ONDE. Mis en service en 2011, il fut diagnostiqué obsolète technologiquement en 2020. S’ensuivit un projet de refonte (ADELE).
La DSI opta pour un développement spécifique, un prestataire devant effectuer les spécifications avec l’équipe de maîtrise d’ouvrage de la direction des émetteurs. Elle eut à sa charge la contractualisation et le pilotage. Le marché public retenu (par bons de commande) conduisit à des dérives de coût, si bien que la DSI finit par passer sur un système de forfait.
À ces dépassements de coûts s’est ajouté un report du projet, lié à des restrictions budgétaires. Au cours de la période 2017-2023, les plafonds de ressources alloués à l’AMF n’ont effectivement pas augmenté assez pour couvrir les dépenses d’investissement. Conséquence : des prélèvements sur le fonds de roulement et un diminution de la trésorerie… qu’un projet immobilier acheva de consommer, mettant l’autorité en situation de ne plus pouvoir faire face à ses engagements, y compris sur le volet informatique.
Les effets négatifs de l’organisation sur la fonction RSSI
Toutes les fonctions support de l’AMF, excepté la direction des affaires juridiques, sont regroupées au sein de la DRST (direction ressources, support et transformation). Le RSSI y est aussi rattaché. Il est à la tête d’un service « cybersécurité, sûreté et risques » comptant trois collaborateurs.
Le rattachement du RSSI et du DSI au même directeur a eu des effets négatifs. Il a notamment contribué à un retard dans l’application des recommandations de l’intéressé. Comme de celles – découlant de l’audit de 2019 – sur l’internalisation de certaines fonctions, sur le pilotage des prestataires informatiques et sur le contrôle de leurs droits d’accès.
Il fallut une réunion, en mai 2023, entre le RSSI et la directrice de l’audit interne d’une part, le déontologue et le conseiller juridique de l’AMF d’autre part. À la clé, des règles écrites de gestion des droits d’accès des collaborateurs et prestatares. Mi-2023, une réflexion était en cours pour un éventuel rattachement du RSSI au président de l’AMF.
Une DSI insuffisamment associée aux grands projets
En 2017, sur la foi d’une gestion trop peu collaborative de la DSI sur de précédents projets dont ONDE, il avait été décidé d’affecter certains de ses collaborateurs dans d’autres directions.
Depuis lors, la DSI n’a pas toujours d’autorité sur ces collaborateurs, qui sont une vingtaine. Surtout, elle s’est retrouvée marginalisée dans la gestion de projets cruciaux et l’animation des équipes.
Cela a pu contribuer au développement d’un portefeuille de projets « trop important et non priorisé », avec une prise en compte insuffisante de la capacité à faire. D’où un recours très important à des prestataires externes. Leur nombre n’a pas diminué sur la période 2017-2023 : 95 personnes environ, contre 43 personnes exerçant à la DSI.
Aujourd’hui encore, ni la DSI ni la DAF n’ont une vision de l’intégralité de la masse salariale des agents travaillant sur les SI. Quant aux prestataires externes, leur influence est telle qu’il paraît difficile d’envisager de s’en séparer. Leur implication va jusqu’à la gestion du budget de la DSI (coût : 220 000 € en 2023).
Illustration © Vasina Natalia – Shutterstock
Sur le même thème
Voir tous les articles Business