La gouvernance des systèmes d’information se nourrit des règlementations

Rédaction

La multiplication des réglementations contraint les DSI à adapter les systèmes d’information. Ces évolutions réglementaires débordent en effet leur périmètre sectoriel d’origine (la finance, l’assurance, la santé…). Un document de synthèse publié par le cabinet Mazars et l’éditeur de logiciels Wallix fait le point sur les conséquences pour les systèmes d’information.

Sur le plan réglementaire, la prise en compte du rôle des systèmes d’information dans les organisations est une évolution récente, qu’il s’agisse des moyens de paiement, des transactions en ligne, des systèmes industriels ou des sites Web. Si, dès 2002, des lois comme celle nommée « Sarbanes-Oxley » ont mis en place les premiers jalons d’un contrôle interne cohérent, elles ciblaient avant tout les aspects financiers, sans détailler outre mesure les implications au niveau de l’informatique. Depuis, plusieurs évolutions réglementaires ont suivi, et les législateurs commencent à s’intéresser davantage aux risques associés aux systèmes d’information.

En France, la loi sur la confiance dans l’économie numérique (2004), l’Arjel, l’Autorité de régulation des jeux en ligne (2010), la procédure d’agrément pour l’hébergement des données de santé (décret de 2006), le contrôle fiscal des comptabilités informatisées et bien entendu Bâle 2 et 3 pour les banques et Solvabilité 2 pour les assureurs abordent des sujets liés aux systèmes d’information. Des instances sectorielles comme la PCI DSS (Payment Card Industry Security Standards Council) ou génériques, comme la Cnil, réfléchissent également à ces questions. « Certaines de ces réglementations sont spécifiques à un type d’activité ou à une industrie, d’autres ont une portée plus globale », constate François Nogaret, associé consulting, responsable de l’activité gouvernance et maîtrise des risques chez Mazars. « L’informatique y est de moins en moins annexe, mais les entreprises se retrouvent confrontées à un véritable maquis de textes. »

À travers ces évolutions réglementaires, les législateurs cherchent à améliorer la gestion des risques informatiques, et ceux-ci sont nombreux. La mise en conformité peut alors s’avérer complexe, et les difficultés des entreprises ne s’arrêtent pas là. « En cas d’acquisition notamment, les entreprises ont un luxe d’informations sur la partie financière, mais très peu d’éléments sur le système d’information, alors que c’est un sujet explosif », souligne François Nogaret. Autre cas, celui des entreprises qui choisissent d’externaliser tout ou partie de leurs systèmes : pour celles-ci, il peut être difficile d’évaluer les risques et de mesurer la conformité de leurs prestataires. « Ainsi, une entreprise qui avait délégué la gestion de ses systèmes à un prestataire européen s’est aperçue, à la suite d’un audit, que celui-ci hébergeait sur un même serveur les bases de données de trois ou quatre clients, et que chacun pouvait facilement accéder aux bases des autres », illustre François Nogaret.

La fraude est aussi un vrai sujet. En cas de suspicion, c’est souvent le contrôle des flux informatiques qui permet de mettre en évidence plusieurs schémas de fraude, d’où l’importance d’une gouvernance informatique solide. Enfin, la protection des informations sensibles est encore trop souvent insuffisante. « Près de la moitié des utilisateurs à privilèges quittent leur employeur en emportant des données confidentielles », a pu observer Jean-Noël de Galzain, PDG de Wallix. « En outre certains peuvent accéder aux bases stockant les traces de leurs actions et les effacer. »

Le besoin d’une évolution de la gouvernance

Dans ce contexte, les entreprises qui doivent se mettre en conformité avec les différentes législations ont besoin d’une véritable gouvernance et de rôles clairement définis. De nouvelles responsabilités ont émergé, et la direction des systèmes d’information, le responsable sécurité, la direction financière et comptable ou le contrôle de gestion sont sollicités sur ces enjeux. « Les entreprises sont progressivement passées d’un contrôle interne intuitif, voire distinctif, exclusivement financier à un contrôle interne structuré étendu à l’ensemble des domaines opérationnels, observe François Nogaret. Il s’agit bien de se prémunir contre tous les risques et pas seulement contre les risques financiers et comptables. »

Malgré leur diversité, les différentes législations existantes possèdent une base commune, sur laquelle les entreprises peuvent s’appuyer pour entreprendre une démarche de mise en conformité globale. Il s’agit des quatre piliers de la gouvernance informatique :

  • la traçabilité, qui consiste à consigner les actions et transactions afin de pouvoir remonter vers leurs auteurs si nécessaire, et à marquer les objets informatiques pour indiquer leur appartenance et leur origine ;
  • la conservation des données, c’est-à-dire leur archivage et leur historisation ;
  • la justification, autrement dit la collecte de preuves à des fins de contrôle ;
  • la protection des données contre l’altération et la divulgation à des personnes non autorisées.

Accroître le niveau de contrôle

Couplés à une gouvernance claire et à une sensibilisation de l’ensemble des acteurs, des outils adaptés permettent de renforcer le niveau de contrôle du système d’information. Néanmoins, dans un contexte où la mobilité est généralisée et les systèmes de plus en plus ouverts, il ne suffit plus de mettre des barrières à l’entrée et il faut également s’intéresser au contenu des connexions informatiques. Les protections classiques rencontrent alors des limites, le premier défaut de certaines d’entre elles étant qu’elles n’ont pas été conçues pour gérer ceux qui gèrent les systèmes eux-mêmes. Plusieurs critères de choix d’une solution peuvent être privilégiés :

une granularité fine des droits, surtout lorsque des prestataires externes interviennent sur le système d’information ;

une administration unifiée, pour éviter d’ouvrir plus de droits d’accès qu’il n’est réellement nécessaire ;

un reporting sur la conformité aux exigences réglementaire ;

la non-divulgation des mots de passe de comptes cibles ;

la traçabilité totale des opérations effectuées, si possible en temps réel ;

l’authentification forte, par exemple avec des mécanismes de OTP (One Time Password) ;

la résilience de la solution, nécessaire pour l’intégrer aux plans de reprise et de continuité de l’activité.

 

Principales réglementations : conséquences sur la gouvernance et les systèmes d’informations
 Réglementation  Qui est concerné ?  Principaux points d’attention pour les systèmes d’information
Loi sur la confiance dans l’économie numérique (2004) Potentiellement, toutes les entreprises
  • Responsabilisation des marchands dans le processus de vente
  • Contrôle de la conservation des données personnelles
  • Surveillance des sites hébergés par des opérateurs
 PCI DSS Les entreprises qui gèrent des données de cartes bancaires
  • Sécurisation du réseau
  • Protection des données des titulaires des cartes
  • Existence de contrôle d’accès
  • Surveillance et tests réguliers des réseaux
  • Politique de sécurité des informations
 Hébergement des données de santé (loi Kouchner, 2002) Les hébergeurs de données de santé à caractère personnel
  • Organiser le dépôt et la conservation des données
  • Garantir la pérennité et la confidentialité des données
  • Contrôler les droits d’accès (identification – authentification)
  • Vérification des registres des personnes habilitées
Contrôle fiscal des comptabilités informatisées (art. L.13 et L.47 du livre des procédures fiscales) Toutes les entreprises
  • Tracer les données et les opérations
  • Conserver les historiques des mouvements
  • Durée de conservation minimale (trois ans) des pièces justificatives
  • Problématique d’archivage et de lecture des informations
 Bâle Les banques
  • Qualité et traçabilité de l’information pour le calcul des fonds propres
 Solvabilité 2 Les assureurs et les réassureurs
  • Traçabilité et archivage des données
  • Qualité des données
  • Gestion des accès, des sauvegardes et du plan de continuité
 Cnil Toutes les entreprises
  • Règles de conservation, de sécurité, d’archivage et d’accès

aux informations