Pas d’automatisation financière sans hommes et sans contrôles

Tom Venables, de Turnkey Consulting, un spécialiste mondial des risques, de l’identité et de la sécurité, fait le point sur l’adoption de l’automatisation dans le monde de la finance. Le RPA (Robotic Process Automation) s’est imposé pour faire face à l’urgence de la Covid-19. Mais il est important de ne pas minimiser l’impact en termes de sécurité, de risques et de gestion des accès. La mise en œuvre du RPA est donc un projet qui doit être accompagné sur le terrain.

Oui le RPA permet de réduire la marge d’erreur de nombreuses opérations financières. Le gain de temps et de budget est considérable grâce à la lecture automatique des factures, l’attribution au numéro de bon de commande, le déclenchement des paiements et des écritures comptables. Mais ce scénario idéal n’est possible que si le RPA est introduit pour optimiser les bons process, et si des contrôles sont mis en place pour le superviser et le faire évoluer.

Trois éléments sont à prendre en compte : le contrôle des points d’exécution, la mise en place d’indicateurs d’échec, et des tests solides. Car le RPA peut lui aussi commettre des erreurs, comme par exemple confondre un numéro de bon de commande avec un montant. Le contrôle de ces erreurs peut lui aussi être automatisé, à condition d’avoir anticipé le type d’erreurs possibles.

Tester régulièrement ses processus automatisés est donc crucial. Si le RPA gère la moitié des mouvements d’argent au sein d’une organisation, alors le niveau de contrôle devra être suffisamment fort pour équilibrer le risque potentiel pour l’entreprise.

Les robots sont capables de traiter un grand volume de factures en un temps record. Mais cette rapidité peut aussi déclencher des alertes au niveau des outils de SIEM (Security information and event management, la « Gestion de l’information et des événements de sécurité »). Il est donc nécessaire de bien paramétrer ces outils pour la détection d’activités réellement anormales.

Afin n’oublions pas que les robots de RPA, comme tout élément logiciel, peuvent être la cible de cyberattaques. Ce sont d’ailleurs des cibles tentantes pour les cybercriminels, si ces bots sont programmés pour traiter de gros volumes d’informations sensibles à très haute vitesse sans déclencher d’alarme. Tout comme pour un humain, il est donc important de ne donner au bot que les autorisations d’accès dont il a besoin pour l’exécution de la tâche qui lui est attribuée.