Séminaire e-Xpert du 9 mai 2006

SÉMINAIRE
SÉMINAIRE SÉCURITÉ
SÉCURITÉ -1-
e-Xpert
e-Xpert Solutions
Solutions S.A.
S.A.

Le défi de la mise en conformité

(Compliance)
pour les systèmes d'information

9 mai 2006

Jean-Paul De Blasis

© JPdB

Agenda
Agenda -2-

‰ L'augmentation de la pression réglementaire

‰ Principales réglementations de mise en conformité
‰ Bâle II et son impact sur les S.I.
‰ Sarbanes-Oxley (SOX) et ses implications pour la
sécurité des S.I.
‰ La polémique actuelle sur SOX et conclusion
‰ Références utiles

© JPdB

-1-
 Séminaire e-Xpert du 9 mai 2006

Augmentation
Augmentation de
de la
la pression
pression réglementaire,
réglementaire, -3-
entre
entre autres…
autres…
Évolution de la fonction sécurité selon les perspectives business du secteur

Évolution de la fonction IT Gestion des risques

sécurité vers la gestion du Risques IT intégrés dans Mobilité
sur l’Information
l’approche des risques
risque sur l’Information opérationnels métiers
Cybercriminalité,
chantage sur les
données

Réactif aux incidents, Mondialisation Espionnage

industriel
orienté sur les menaces organisé
externes, focalisé sur la Bale II
technologie Sécurité de Renforcement de la
l’Information Sarbanes-Oxley tendance vers
9/11 l’outsourcing IT
Guerre contre
le terrorisme
Sécurité IT Y2K
Open
source Sensibilité accrue pour les Intégration des
risques internes, propriété architectures IT au
intellectuelle cœur des métiers
Évolution vers
Boom du l’entreprise
Augmentation très forte
e-commerce connectée UE – Directives des dommages dus aux
sur la protection attaques à diffusion
Début Attaques sur les des données rapide (vers, virus, DOS,
du WEB services Internet et web Nimda, Sasser)

1995 2000-2003 2003-2006

Menaces émergentes, évolution des modèles business
Source : BCV
et augmentation de la pression réglementaire © JPdB

Gouvernance
Gouvernance d’entreprise
d’entreprise -4-

(Corporate Governance)
‰ Ensemble de règles d’éthique pour la gestion
d’une entreprise visant à satisfaire un code moral
de bonne conduite des affaires dans le domaine de
la responsabilité de l’entreprise vis à vis de ses
partenaires : actionnaires, marchés financiers,
administrations, etc.
‰ Finalités
™ recadrer les objectifs de la DG
™ éviter les dérives et pratiques douteuses, voire
les malversations (Enron, Worldcom, VU, etc.)
™ répondre aux demandes d’information (autres
que comptables et financières) de diverses
instances de régulation, par ex. Bâle II et le
« Sarbanes-Oxley Act »
© JPdB

-2-
 Séminaire e-Xpert du 9 mai 2006

Réglementations
Réglementations de
de mise
mise en
en conformité
conformité -5-

(Compliance)
‰ Secteur bancaire et financier :
¾ Bâle II (recommandation
(recommandation publiée
publiée en
en juillet
juillet 2004),
2004),
¾ GLBA :: Financial
Financial Modernization
Modernization Act
Act of
of 1999,
1999, aka
aka The
The Gramm-
Gramm-
Leach
Leach Bliley
Bliley Act
Act (Protection
(Protection des
des données
données financières
financières personnelles
personnelles
des
des consommateurs
consommateurs et et clients)
clients)
‰ Secteur de la santé : HIPAA Health Insurance Portability and
Accountability Act of 1996 (Vise
(Vise àà l'efficacité
l'efficacité et
et l'efficience
l'efficience du
du
système
système dede soins)
soins)
‰ Secteur pharmaceutique : 21 CFR Part 11 (référentiel
(référentiel pour
pour la
la
validation
validation de
de systèmes
systèmes d'automatismes
d'automatismes dans dans le
le domaine
domaine pharma-
pharma-
ceutique
ceutique et médical)
et médical
‰ Secteur automobile : TREAD Act - Transportation Recall
Enhancement, Accountability, and Documentation (TREAD) Act.
‰ Tous les secteurs : Sarbanes-Oxley Act (SOX ou Sarbox) 2002

© JPdB

Bâle
Bâle IIII -6-

‰ Nouveau ratio de solvabilité (ratio Mc Donough) :

Fonds propres réglementaires
=> 8 %
Risques de crédit + Risques de marché + Risques opérationnels

‰ Bâle II vise à la transparence des risques opérationnels

que sont les risques de perte liée à des processus opé-
rationnels, des personnes ou des systèmes inadéquats
ou défaillants, ou à des événements externes.
‰ Bâle II est en train de bouleverser toute l'organisation
des systèmes de gestion des banques, et les contraint
à une réorganisation de leurs processus métier et de
leurs systèmes d'information.
© JPdB

-3-
 Séminaire e-Xpert du 9 mai 2006

Impacts
Impacts de
de Bâle
Bâle IIII sur
sur les
les systèmes
systèmes d'information
d'information -7-

‰ Les DSI doivent installer, renforcer, interconnecter

des systèmes de suivi et de diffusion de l'information
¾ sur la gestion des fonds propres,
¾ sur les risques clients,
¾ sur les risques liés aux marchés et aux fluctuations de
cours
‰ et assurer la qualité des remontées d'information, de
leurs cohérences et de leurs mises en forme.
‰ Au surplus, elles doivent renforcer :
¾ la sécurité des SI (triade CIA)
¾ et leur capacité à rester opérationnels (DRP)

© JPdB

Sarbanes-Oxley
Sarbanes-Oxley Act
Act (SOX)
(SOX) -8-

‰ Vise à la mise en conformité des procédures

financières et de publications des résultats
‰ Loi fondée sur trois principes essentiels :
¾ l'exactitude et l'accessibilité de l'information,
¾ la responsabilité des gestionnaires
(CEO, CFO et donc CIO)
¾ l'indépendance des vérificateurs/auditeurs
‰ SOX a fortement renforcé les sanctions pénales pour
les dirigeants (prison et amendes) !

© JPdB

-4-
 Séminaire e-Xpert du 9 mai 2006

Section
Section 404
404 de
de SOX
SOX -9-

‰ Sa Section 404 concerne en priorité les CIO/DSI car

elle implique de maintenir "une structure de contrôle
interne et des procédures de reporting financier
adéquates"
¾ renforcement de la sécurité…
¾ véracité, précision et fiabilité des systèmes qui gèrent
et fournissent les informations financières (ERP, etc.)
¾ forte augmentation des coûts liés à la mise en place de
"pistes d'audit" non prévues initialement dans les S.I.
¾ mettre en conformité infrastructures et opérations
informatiques, accès aux applications et bases de
données, développement et changements dans les
programmes

© JPdB

Le
Le cadre
cadre de
de travail
travail du
du COSO
COSO - 10 -

‰ L'infrastructure de contrôle interne COSO

(Committee of Sponsoring Organizations) est un
modèle recommandé dans le cadre de SOX pour
l'évaluation et le développement des contrôles
Objectifs :
¾ évaluer l'environnement de contrôle,
¾ déterminer les objectifs de contrôle,
¾ évaluer les risques,
¾ conduire les activités de contrôle,
¾ fournir informations et communications,
¾ et superviser en continu la conformité.

© JPdB

-5-
 Séminaire e-Xpert du 9 mai 2006

Implications
Implications de
de SOX
SOX pour
pour la
la sécurité
sécurité des
des S.I.
S.I. - 11 -

‰ Quatre domaines sont particulièrement concernés :

¾ gestion des vulnérabilités
9
9déploiement
déploiement de
de pare-feux
pare-feux en
en interne
interne ?
?
¾ gestion des identités
9
9SSO,
SSO, Authentification
Authentification forte
forte ?
?
¾ gestion de la confiance
9
9outils
outils de
de gestion
gestion des
des droits
droits ?
?
¾ gestion des menaces
9
9outils
outils de
de détection
détection des
des activités
activités sur
sur réseau
réseau ?
?
9
9surveillance
surveillance des
des évènements
évènements ? ?
9
9détection
détection des
des fraudes
fraudes ?
?

© JPdB

La
La polémique
polémique actuelle
actuelle autour
autour de
de SOX
SOX - 12 -

‰ Le jeu en vaut-il la chandelle ?

Les coûts exorbitants de mise en place des changements
pour être en conformité avec la loi font s'interroger les
entreprises : les mesures de SOX sont-elles si néces-
saires et efficaces que ça ?
‰ Le point-clé est la mise à jour des S.I. pour se
conformer aux impératifs de contrôle et de reporting
¾ coût moyen de 4.36 millions $/entreprise sur un an en
2003, mais en baisse en 2005 ($3.8 million $)**
¾ à noter que les coûts en termes de peines de prison et
amendes peuvent s'avérer supérieurs…
‰ Le lobbying anti-SOX pourrait faire évoluer la loi…
* études 2004 à 2006 disponibles sur http://www.fei.org/advocacy/sarbanesoxley.cfm

© JPdB

-6-
 Séminaire e-Xpert du 9 mai 2006

Conclusion
Conclusion - 13 -

‰ La mise en conformité des S.I. n'est pas un "projet

pour l'année", mais un processus continu pour
renforcer la confiance des investisseurs
‰ Les principaux challenges*
1. créer l'infrastructure pour surveiller et vérifier les
changements
2. trouver les ressources internes
3. réduire les coûts de mise en conformité

* D'après l'étude KPMG Audit Committee Institute, Spring 2005

http://www.kpmg.com/aci/docs/050816_ACISpring_05_V5_FINAL_WEB.pdf
© JPdB

Références
Références utiles
utiles - 14 -

‰ Bâle II
http://www.bis.org/publ/bcbsca.htm (en anglais)
http://www.ebk.admin.ch/f/dossiers/basel.html (en français)
‰ The Gramm-Leach Bliley Act
http://www.ftc.gov/privacy/privacyinitiatives/glbact.html
‰ HIPAA
http://aspe.hhs.gov/admnsimp/pl104191.htm
‰ 21 CFR Part 11
http://www.fda.gov/ora/compliance_ref/part11/
‰ TREAD Act
http://www.nhtsa.dot.gov/nhtsa/Cfc_title49/publ414.106.pdf
‰ Sarbanes-Oxley
http://www.sarbanes-oxley.com/
‰ COSO
http://www.coso.org/
© JPdB

-7-