Une croissance rapide est le rêve de tout chef d'entreprise. Mais, mal gérée, elle peut aussi être source d'échec. Lorsqu'une entreprise croît trop rapidement sans y prendre garde, elle est vite submergée et les erreurs se multiplient. La réussite dépend donc des mesures prises pour maîtriser le développement. Ce constat est particulièrement vrai pour une société axée sur la technologie comme la genevoise Advanced Currency Markets (ACM): de 2004 à 2007, le volume mensuel moyen traité par le courtier en ligne en devises et en métaux précieux, qui revendique le statut de numéro un mondial dans son activité, est passé de 25 milliards de dollars à 100 milliards. Sur la même période, les effectifs sont passés de 25 à 140 personnes. «Pour encadrer cette croissance, nous avons décidé de faire certifier la sécurité de nos systèmes d'information», explique Alexandre Axarlis, cofondateur d'ACM.

Cette certification s'appuie sur la norme 27001 de l'Organisation internationale de normalisation (ISO), une cousine des normes de gestion de la qualité ISO 9001 ou de sécurité environnementale ISO 14001. La démarche s'articule autour de l'établissement d'un plan complet des mesures destinées à garantir la confidentialité, l'intégrité et la disponibilité des données informatiques, baptisé Système de management de la sécurité de l'information (SMSI). Pour une entreprise comme ACM, les données informatiques et le bon fonctionnement de son système de négoce sont aussi importants que les fonds que lui confient ses clients.

«Nous enregistrons les informations relatives à 7000 transactions par jour. C'est lourd. Toutes doivent pouvoir être retrouvées rapidement, par exemple lorsqu'un client consulte son état de compte en ligne», explique Alexandre Axarlis. L'informatique est la partie la plus importante des charges de fonctionnement de la société, dont elle représente plus du quart. «Une quarantaine de personnes sont employées dans ce domaine.» De plus, l'entreprise n'est pas grande consommatrice de sous-traitance, dans le stockage de données, l'exploitation de systèmes ou le développement. «99% est fait à l'interne.»

La certification ISO 27001 a permis de consolider l'édifice et de résoudre des questions comme l'accès à l'information, l'évaluation des fournisseurs ou les tests de nouveaux développements informatiques. Le processus a duré un an et mobilisé cinq à six personnes à l'interne, encadrées par un ou deux consultants externes. Il s'est terminé en été 2007 et sera suivi d'un examen annuel. «La préparation de la certification nous a montré que nous étions sur la bonne voie, mais a aussi attiré notre attention sur plusieurs détails.»

Quelque 200 risques ont été évalués, qui vont de l'introduction d'un prix erroné pour une transaction à l'interruption de la plateforme de négoce durant plus de 5 minutes. Les réponses qui ont dû être formulées vont de la création d'une deuxième plateforme informatique de négoce à Zurich - la première est à Genève - à l'élaboration d'un plan de secours en passant par un programme de formation aux questions de sécurité pour tous les employés. «Les exigences que nous devons remplir dans le cadre de cette certification dépassent de 20% celles qu'impliquerait une licence bancaire.» ACM pense d'ailleurs demander cette dernière à la fin de l'année.

Avant de faire certifier sa sécurité informatique, la société avait fait certifier son management. «En plus d'encadrer la croissance, ces démarches visent à renforcer notre crédibilité face à nos clients, en montrant que nous n'avons rien oublié.» Ce qui devrait faciliter le développement à venir du courtier fondé en 2002. Ce dernier fait œuvre de pionnier: sur quelque 4500 certifications ISO 27001 dans le monde, seules 12 concernent la Suisse.

La confiance est une composante essentielle du courtage, comme de toute activité dans les services financiers. L'effondrement de la galaxie Refco, un courtier américain disparu en 2006 après des malversations, a montré l'importance d'une saine gestion. Pour ACM, ce constat prend une dimension spéciale: la société était liée à Refco - mais aucunement associée aux malversations - au moment du naufrage. D'où peut-être une conscience particulière de la valeur des garanties, telles que celles que constituent les certifications ou la volonté d'être soumis à la surveillance de la Commission fédérale des banques via une licence bancaire.