Le défi de la mise en conformité (Compliance) pour les systèmes d'information



Documents pareils
Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Gouvernance & Influence des Systèmes d Information. 2 Décembre 2014

IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Norme PCI Septembre La norme PCI : transformer une contrainte en opportunité

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

Club ISO Juin 2009

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

Gouvernance IT et Normalisation

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

Un élément de la gouvernance du système d information «La gestion des logiciels, transparence et maîtrise du budget»

La révolution de l information

Référentiel d'évaluation du système de contrôle interne auprès des établissements de crédit

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

INF4420: Sécurité Informatique

IBM Security Systems Les nouveaux enjeux de la sécurité Serge Richard - CISSP - Senior Security Architect. serge.richard@fr.ibm.

Stratégie IT : au cœur des enjeux de l entreprise

Créer un tableau de bord SSI

Management de la sécurité des technologies de l information

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Symantec Control Compliance Suite 8.6

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

Olivier Terrettaz, Expert diplômé en finance et controlling 1

plate-forme mondiale de promotion

SOCIETE FRANCAISE EXXONMOBIL CHEMICAL S.C.A. Rapport du Président du Conseil de Surveillance

Vers un nouveau modèle de sécurité

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

R E G U L A T I O N & S E N S I B I L I S A T I O N : L A C O N F O R M I T E EN 3 ETAPES

Le COBIT : L état de l Art

Gestion des journaux Comment élaborer la bonne stratégie en matière d activités et de conformité

"Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management"

Propositions de Transparency International France sur la transparence de la vie économique

Excellence. Technicité. Sagesse

Faire face aux menaces à l ère du numérique

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

LA DYNAMIQUE DU GOUVERNEMENT D ENTREPRISE

Le management des risques de l entreprise

Vector Security Consulting S.A

HySIO : l infogérance hybride avec le cloud sécurisé

Gestion des identités et des accès pour garantir la conformité et réduire les risques

Benchmark sur les risques de fraude

IAM et habilitations, l'approche par les accès ou la réconciliation globale

2012 / Excellence. Technicité. Sagesse

Jean- Louis CABROLIER

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Prestations d audit et de conseil 2015

En synthèse. HVR pour garantir les échanges sensibles de l'entreprise

Document technique Outil d évaluation des risques et orientation

Historique des normes et des règlements encadrant les contrôles internes

Site de repli et mitigation des risques opérationnels lors d'un déménagement

EIFR Risques Opérationnels

L assurance et le risque Data. Clusir 25 avril 2012 Lyon François Brisson - Hiscox France

Dans le présent rapport, l expression «Groupe» se rapporte à AXA SA (la «Société») ainsi qu à ses filiales consolidées, directes et indirectes.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

International Master of Science en Business Intelligence

5 novembre Cloud, Big Data et sécurité Conseils et solutions

Pré-requis Diplôme Foundation Certificate in IT Service Management.

GT Big Data. Saison Bruno Prévost (Safran), Marc Demerlé (GDF SUEZ) CRiP Thématique Mise en œuvre du Big Data 16/12/14

Evolution de la gouvernance depuis la crise et relations avec les commissaires. 15 octobre 2013 Fabrice Odent

Une formation continue du Luxembourg Lifelong Learning Center / CERTIFICAT

JOURNÉE THÉMATIQUE SUR LES RISQUES

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

GRIFES. Gestion des risques et au-delà. Pablo C. Martinez. TRMG Product Leader, EMEA Symantec Corporation

RSA ADVANCED SECURITY OPERATIONS CENTER SOLUTION

TRIBUNE BRAINWAVE GOUVERNANCE ET SéCURITé. Shadow IT, la menace fantôme. Une tendance irréversible mais pas dénuée de risques.

Sécurité des Systèmes d Information. Le pragmatisme et l innovation de PwC à votre service

«La crise : banques, entreprises et gestion des risques»

Panorama général des normes et outils d audit. François VERGEZ AFAI

Charte du Comité Audit et Risque (CAR) du Conseil d administration de la Banque Cantonale Vaudoise (BCV)

Etude des métiers du contrôle dans la banque

Charte de l'audit informatique du Groupe

Yphise accompagne les décideurs et managers dans leurs réflexions, décisions et actions

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

Pour une innovation productive

Appliances et logiciels Security

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

«Audit Informatique»

La cyberdéfense : un point de vue suisse

Contrôle de l Activité et Gestion des Menaces dans un environnement Réseau Distribué. INTERDATA Présentation Q1Labs

la sécurité change avec Orange développez vos activités en toute sérénité, nous protégeons vos systèmes d information

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

Janus Consulting. 24 Janvier Janus Consulting 8, Rue de la Chapelle Vienne en Arthies

ITIL : Premiers Contacts

Business et contrôle d'accès Web

PROTÉGER VOS BASES DE DONNÉES

Alphonse Carlier, Intelligence Économique et Knowledge Management, AFNOR Éditions, 2012.

Information Security Management Lifecycle of the supplier s relation

PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

PREVENTION EVALUATION ET MANAGEMENT DU RISQUE SOCIAL

Transcription:

SÉMINAIRE SÉCURITÉ e-xpert Solutions S.A. Le défi de la mise en conformité (Compliance) pour les systèmes d'information 9 mai 2006 Jean-Paul De Blasis Agenda -1- -1- -2- L'augmentation de la pression réglementaire Principales réglementations de mise en conformité Bâle II et son impact sur les S.I. Sarbanes-Oxley (SOX) et ses implications pour la sécurité des S.I. La polémique actuelle sur SOX et conclusion Références utiles

Augmentation de la pression réglementaire, entre autres Évolution de la fonction sécurité selon les perspectives business du secteur Évolution de la fonction IT sécurité vers la gestion du risque sur l Information Réactif aux incidents, orienté sur les menaces externes, focalisé sur la technologie Sécurité IT Évolution vers l entreprise Sécurité de l Information Open source Risques IT intégrés dans l approche des risques opérationnels métiers Y2K Gestion des risques sur l Information 9/11 Guerre contre le terrorisme Sensibilité accrue pour les risques internes, propriété intellectuelle Bale II Sarbanes-Oxley Cybercriminalité, chantage sur les données Mondialisation Espionnage industriel organisé Intégration des architectures IT au cœur des métiers Renforcement de la tendance vers l outsourcing IT Boom du Augmentation très forte e-commerce connectée UE Directives des dommages dus aux sur la protection attaques à diffusion Début Attaques sur les des données rapide (vers, virus, DOS, du WEB services Internet et web Nimda, Sasser) 1995 2000-2003 2003-2006 Source : BCV Mobilité Menaces émergentes, évolution des modèles business et augmentation de la pression réglementaire Gouvernance d entreprise (Corporate Governance) Ensemble de règles d éthique pour la gestion d une entreprise visant à satisfaire un code moral de bonne conduite des affaires dans le domaine de la responsabilité de l entreprise vis à vis de ses partenaires : actionnaires, marchés financiers, administrations, etc. Finalités recadrer les objectifs de la DG éviter les dérives et pratiques douteuses, voire les malversations (Enron, Worldcom, VU, etc.) répondre aux demandes d information (autres que comptables et financières) de diverses instances de régulation, par ex. Bâle II et le «Sarbanes-Oxley«Act»» -2- -3- -4-

Réglementations de mise en conformité (Compliance) Secteur bancaire et financier : Bâle II (recommandation publiée en juillet 2004), GLBA : Financial Modernization Act of 1999, aka The Gramm- Leach Bliley Act (Protection des données financières personnelles des consommateurs et clients) Secteur de la santé : HIPAA Health Insurance Portability and Accountability Act of 1996 (Vise à l'efficacité et l'efficience du système de soins) Secteur pharmaceutique : 21 CFR Part 11 (référentiel pour la validation de systèmes d'automatismes dans le domaine pharmaceutique et médical) Secteur automobile : TREAD Act - Transportation Recall Enhancement, Accountability, and Documentation (TREAD) Act. Tous les secteurs : Sarbanes-Oxley Act (SOX ou Sarbox) 2002-3- -5- Bâle II -6- Nouveau ratio de solvabilité (ratio Mc Donough) : Fonds propres réglementaires Risques de crédit + Risques de marché + Risques opérationnels => 8 % Bâle II vise à la transparence des risques opérationnels que sont les risques de perte liée à des processus opérationnels, des personnes ou des systèmes inadéquats ou défaillants, ou à des événements externes. Bâle II est en train de bouleverser toute l'organisation des systèmes de gestion des banques, et les contraint à une réorganisation de leurs processus métier et de leurs systèmes d'information.

Impacts de Bâle II sur les systèmes d'information Les DSI doivent installer, renforcer, interconnecter des systèmes de suivi et de diffusion de l'information sur la gestion des fonds propres, sur les risques clients, sur les risques liés aux marchés et aux fluctuations de cours et assurer la qualité des remontées d'information, de leurs cohérences et de leurs mises en forme. Au surplus, elles doivent renforcer : la sécurité des SI (triade CIA) et leur capacité à rester opérationnels (DRP) Sarbanes-Oxley Act (SOX) -4- -7- -8- Vise à la mise en conformité des procédures financières et de publications des résultats Loi fondée sur trois principes essentiels : l'exactitude et l'accessibilité de l'information, la responsabilité des gestionnaires (CEO, CFO et donc CIO) l'indépendance des vérificateurs/auditeurs SOX a fortement renforcé les sanctions pénales pour les dirigeants (prison et amendes)!

Section 404 de SOX Sa Section 404 concerne en priorité les CIO/DSI car elle implique de maintenir "une structure de contrôle interne et des procédures de reporting financier adéquates" renforcement de la sécurité véracité, précision et fiabilité des systèmes qui gèrent et fournissent les informations financières (ERP, etc.) forte augmentation des coûts liés à la mise en place de "pistes d'audit" non prévues initialement dans les S.I. mettre en conformité infrastructures et opérations informatiques, accès aux applications et bases de données, développement et changements dans les programmes Le cadre de travail du COSO -5- -9- -10- L'infrastructure de contrôle interne COSO (Committee of Sponsoring Organizations) est un modèle recommandé dans le cadre de SOX pour l'évaluation et le développement des contrôles Objectifs : évaluer l'environnement de contrôle, déterminer les objectifs de contrôle, évaluer les risques, conduire les activités de contrôle, fournir informations et communications, et superviser en continu la conformité.

Implications de SOX pour la sécurité des S.I. Quatre domaines sont particulièrement concernés : gestion des vulnérabilités déploiement de pare-feux en interne? gestion des identités SSO, Authentification forte? gestion de la confiance outils de gestion des droits? gestion des menaces outils de détection des activités sur réseau? surveillance des évènements? détection des fraudes? La polémique actuelle autour de SOX -6- -11- -12- Le jeu en vaut-il la chandelle? Les coûts exorbitants de mise en place des changements pour être en conformité avec la loi font s'interroger les entreprises : les mesures de SOX sont-elles si nécessaires et efficaces que ça? Le point-clé est la mise à jour des S.I. pour se conformer aux impératifs de contrôle et de reporting coût moyen de 4.36 millions $/entreprise sur un an en 2003, mais en baisse en 2005 ($3.8 million $) * à noter que les coûts en termes de peines de prison et amendes peuvent s'avérer supérieurs Le lobbying anti-sox pourrait faire évoluer la loi * études 2004 à 2006 disponibles sur http://www.fei.org/advocacy/sarbanesoxley.cfm

Conclusion La mise en conformité des S.I. n'est pas un "projet pour l'année", mais un processus continu pour renforcer la confiance des investisseurs Les principaux challenges* 1. créer l'infrastructure pour surveiller et vérifier les changements 2. trouver les ressources internes 3. réduire les coûts de mise en conformité * D'après l'étude KPMG Audit Committee Institute, Spring 2005 http://www.kpmg.com/aci/docs/050816_acispring_05_v5_final_web.pdf Références utiles -7- -13- -14- Bâle II http://www.bis.org/publ/bcbsca.htm (en anglais) http://www.ebk.admin.ch/f/dossiers/basel.html (en français) The Gramm-Leach Bliley Act http://www.ftc.gov/privacy/privacyinitiatives/glbact.html HIPAA http://aspe.hhs.gov/admnsimp/pl104191.htm 21 CFR Part 11 http://www.fda.gov/ora/compliance_ref/part11/ TREAD Act http://www.nhtsa.dot.gov/nhtsa/cfc_title49/publ414.106.pdf Sarbanes-Oxley http://www.sarbanes-oxley.com/ COSO http://www.coso.org/

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back