Le défi de la mise en conformité (Compliance) pour les systèmes d'information

Transcription

1 SÉMINAIRE SÉCURITÉ e-xpert Solutions S.A. Le défi de la mise en conformité (Compliance) pour les systèmes d'information 9 mai 2006 Jean-Paul De Blasis Agenda L'augmentation de la pression réglementaire Principales réglementations de mise en conformité Bâle II et son impact sur les S.I. Sarbanes-Oxley (SOX) et ses implications pour la sécurité des S.I. La polémique actuelle sur SOX et conclusion Références utiles

2 Augmentation de la pression réglementaire, entre autres Évolution de la fonction sécurité selon les perspectives business du secteur Évolution de la fonction IT sécurité vers la gestion du risque sur l Information Réactif aux incidents, orienté sur les menaces externes, focalisé sur la technologie Sécurité IT Évolution vers l entreprise Sécurité de l Information Open source Risques IT intégrés dans l approche des risques opérationnels métiers Y2K Gestion des risques sur l Information 9/11 Guerre contre le terrorisme Sensibilité accrue pour les risques internes, propriété intellectuelle Bale II Sarbanes-Oxley Cybercriminalité, chantage sur les données Mondialisation Espionnage industriel organisé Intégration des architectures IT au cœur des métiers Renforcement de la tendance vers l outsourcing IT Boom du Augmentation très forte e-commerce connectée UE Directives des dommages dus aux sur la protection attaques à diffusion Début Attaques sur les des données rapide (vers, virus, DOS, du WEB services Internet et web Nimda, Sasser) Source : BCV Mobilité Menaces émergentes, évolution des modèles business et augmentation de la pression réglementaire Gouvernance d entreprise (Corporate Governance) Ensemble de règles d éthique pour la gestion d une entreprise visant à satisfaire un code moral de bonne conduite des affaires dans le domaine de la responsabilité de l entreprise vis à vis de ses partenaires : actionnaires, marchés financiers, administrations, etc. Finalités recadrer les objectifs de la DG éviter les dérives et pratiques douteuses, voire les malversations (Enron, Worldcom, VU, etc.) répondre aux demandes d information (autres que comptables et financières) de diverses instances de régulation, par ex. Bâle II et le «Sarbanes-Oxley«Act»»

3 Réglementations de mise en conformité (Compliance) Secteur bancaire et financier : Bâle II (recommandation publiée en juillet 2004), GLBA : Financial Modernization Act of 1999, aka The Gramm- Leach Bliley Act (Protection des données financières personnelles des consommateurs et clients) Secteur de la santé : HIPAA Health Insurance Portability and Accountability Act of 1996 (Vise à l'efficacité et l'efficience du système de soins) Secteur pharmaceutique : 21 CFR Part 11 (référentiel pour la validation de systèmes d'automatismes dans le domaine pharmaceutique et médical) Secteur automobile : TREAD Act - Transportation Recall Enhancement, Accountability, and Documentation (TREAD) Act. Tous les secteurs : Sarbanes-Oxley Act (SOX ou Sarbox) Bâle II -6- Nouveau ratio de solvabilité (ratio Mc Donough) : Fonds propres réglementaires Risques de crédit + Risques de marché + Risques opérationnels => 8 % Bâle II vise à la transparence des risques opérationnels que sont les risques de perte liée à des processus opérationnels, des personnes ou des systèmes inadéquats ou défaillants, ou à des événements externes. Bâle II est en train de bouleverser toute l'organisation des systèmes de gestion des banques, et les contraint à une réorganisation de leurs processus métier et de leurs systèmes d'information.

4 Impacts de Bâle II sur les systèmes d'information Les DSI doivent installer, renforcer, interconnecter des systèmes de suivi et de diffusion de l'information sur la gestion des fonds propres, sur les risques clients, sur les risques liés aux marchés et aux fluctuations de cours et assurer la qualité des remontées d'information, de leurs cohérences et de leurs mises en forme. Au surplus, elles doivent renforcer : la sécurité des SI (triade CIA) et leur capacité à rester opérationnels (DRP) Sarbanes-Oxley Act (SOX) Vise à la mise en conformité des procédures financières et de publications des résultats Loi fondée sur trois principes essentiels : l'exactitude et l'accessibilité de l'information, la responsabilité des gestionnaires (CEO, CFO et donc CIO) l'indépendance des vérificateurs/auditeurs SOX a fortement renforcé les sanctions pénales pour les dirigeants (prison et amendes)!

5 Section 404 de SOX Sa Section 404 concerne en priorité les CIO/DSI car elle implique de maintenir "une structure de contrôle interne et des procédures de reporting financier adéquates" renforcement de la sécurité véracité, précision et fiabilité des systèmes qui gèrent et fournissent les informations financières (ERP, etc.) forte augmentation des coûts liés à la mise en place de "pistes d'audit" non prévues initialement dans les S.I. mettre en conformité infrastructures et opérations informatiques, accès aux applications et bases de données, développement et changements dans les programmes Le cadre de travail du COSO L'infrastructure de contrôle interne COSO (Committee of Sponsoring Organizations) est un modèle recommandé dans le cadre de SOX pour l'évaluation et le développement des contrôles Objectifs : évaluer l'environnement de contrôle, déterminer les objectifs de contrôle, évaluer les risques, conduire les activités de contrôle, fournir informations et communications, et superviser en continu la conformité.

6 Implications de SOX pour la sécurité des S.I. Quatre domaines sont particulièrement concernés : gestion des vulnérabilités déploiement de pare-feux en interne? gestion des identités SSO, Authentification forte? gestion de la confiance outils de gestion des droits? gestion des menaces outils de détection des activités sur réseau? surveillance des évènements? détection des fraudes? La polémique actuelle autour de SOX Le jeu en vaut-il la chandelle? Les coûts exorbitants de mise en place des changements pour être en conformité avec la loi font s'interroger les entreprises : les mesures de SOX sont-elles si nécessaires et efficaces que ça? Le point-clé est la mise à jour des S.I. pour se conformer aux impératifs de contrôle et de reporting coût moyen de 4.36 millions $/entreprise sur un an en 2003, mais en baisse en 2005 ($3.8 million $) * à noter que les coûts en termes de peines de prison et amendes peuvent s'avérer supérieurs Le lobbying anti-sox pourrait faire évoluer la loi * études 2004 à 2006 disponibles sur

7 Conclusion La mise en conformité des S.I. n'est pas un "projet pour l'année", mais un processus continu pour renforcer la confiance des investisseurs Les principaux challenges* 1. créer l'infrastructure pour surveiller et vérifier les changements 2. trouver les ressources internes 3. réduire les coûts de mise en conformité * D'après l'étude KPMG Audit Committee Institute, Spring Références utiles Bâle II (en anglais) (en français) The Gramm-Leach Bliley Act HIPAA 21 CFR Part 11 TREAD Act Sarbanes-Oxley COSO