Si elle est bien perçue par les fournisseurs de produits et de services de sécurité, la conformité aux lois de saine gouvernance l’est un peu moins par les entreprises elles-mêmes.
La conformité aux lois et règlements de bonne gouvernance comptable, qui ont été adoptés suite à la série de scandales financiers qui ont défrayé la manchette au tournant du millénaire (Enron, WorldCom, etc.), a un effet bénéfique sur la demande de produits et de services de sécurité informatique, dans la mesure où la mise en place de certains dispositifs de protection facilite la preuve de cette conformité.
La firme d’étude de marché AMR Research évalue d’ailleurs à 27,3 milliards $US les revenus générés en Amérique du Nord par la conformité, dont 6 milliards $US seulement pour la loi américaine Sarbanes-Oxley, qu’on désigne familièrement avec l’acronyme « SOX » (la loi canadienne C-198 reprend les grands principes de SOX), et 9 milliards $US pour la technologie (la majeure partie des dépenses va aux services professionnels). En 2007, les dépenses des entreprises atteindront 28 milliards $US.
« Les dépenses pour Sarbanes-Oxley ne sont que la pointe visible de l’iceberg, soutient le vice-président Recherche pour AMR Research, John Hagerthy. Ceux qui espèrent que les dépenses pour la conformité diminuent d’ampleur dans un avenir prévisible rêvent en couleurs, alors que les compagnies de toutes les industries sont aux prises avec des exigences réglementaires accrues et des politiques de gouvernance et de risque plus sévères. »
La firme de recherche Gartner évalue, en outre, à environ 10 à 15 % la proportion du budget TI des entreprises qui sera attribuée à la conformité et la gouvernance cette année; en 2004 cette proportion n’était que de 5 %. Cette réorientation des ressources se fera au détriment des nouveaux projets de TI.
« C’est un domaine en expansion, mais méconnu, affirme Patrick Naoum, vice-président Technologies et services professionnels chez ESI Technologies, une firme-conseil montréalaise spécialisée en sécurité informatique. Ça dépend beaucoup des industries : les sociétés de gestion de portefeuilles et les compagnies cotées en bourse sont de plus en plus sensibilisées à ça. Pour les autres, elles sont en mode après-coup : elles ont des mécanismes après le fait. »
Des données intègres
Étant donné que SOX et la Loi C-198 s’appliquent aux entreprises cotées en bourse, celles dont les actions sont transigées au Canada et aux États-Unis sont obligées de se conformer aux deux lois, dont l’application a débuté en 2004.
Ce sont plus précisément les articles 302 et 404 de SOX qui exigent que les dirigeants d’entreprise puissent garantir l’intégrité des états financiers trimestriels qu’ils produisent et conséquemment des données comptables et des logiciels utilisés pour les produire. Cela nécessite aussi de pouvoir documenter les accès aux données et les communications des dirigeants et des responsables y ayant accès et d’assurer la disponibilité maximale des systèmes d’informations financières.
« En gros, on doit garantir l’intégrité de tous les systèmes informatiques impliqués de près ou de loin dans la livraison des états financiers, résume Patrick Naoum. Et cette intégrité est garantie de plusieurs façons, soit une bonne journalisation de ce qui se passe au niveau informatique, donc qui accède à quoi et quand, une définition adéquate des droits concernant les données, donc qui a le droit de les modifier, de les effacer et de les sauvegarder, et une haute disponibilité des systèmes, qui permet de livrer à date les états financiers. »
Motivation variable
Devant l’obligation de respecter la loi, toutes les entreprises ne font pas preuve du même zèle. L’importance de l’investissement requis pour satisfaire les exigences de la loi n’est évidemment pas étrangère au peu de motivation dont font preuve certaines entreprises. Malgré la spécificité de l’environnement des entreprises visées par la législation, l’investissement peut facilement se compter en centaines de millions de dollars américains. Il faut préciser que l’exercice ne se limite pas au déploiement d’une solution technologique, mais concerne aussi et surtout la redéfinition des processus de gestion. Inutile de souligner que les grandes entreprises emboîtent plus facilement le pas que les PME.
« Il y a beaucoup de gens qui se posent des questions, mais ce n’est pas tout le monde qui est prêt à se conformer à 100 %, remarque Daniel Gaudreau, vice-président Opérations et technologies chez Above Sécurité, une firme de services de Boisbriand spécialisée en sécurité informatique. Il y a actuellement un gros débat aux États-Unis pour essayer de relaxer un peu [l’application de] SOX parce qu’ils se sont rendu compte que ça représentait des coûts opérationnels additionnels d’au moins un million de dollars par année, ce qui est beaucoup d’argent pour seulement se conformer à une loi. Ce n’est pas une activité commerciale qui va financer ça, c’est puisé directement dans les profits. »
« Ça nécessite beaucoup d’investissement, ce qui fait qu’il y a plusieurs attitudes sur le marché, renchérit Patrick Naoum. En bons citoyens corporatifs, certaines entreprises ont décidé d’aller au-delà de la loi et de revoir tous leurs processus et de les optimiser, alors que d’autres ont décidé de s’en tenir au strict minimum et d’autres vont attendre d’avoir des pénalités pour bouger et vont accepter que la valeur de leur action diminue. Ultimement, on peut en déduire que ces compagnies-là n’ont pas une saine gestion ou des bases solides pour opérer, c’est probablement trop coûteux pour elles de se conformer à la loi. »
« Il ne faut pas se le cacher : il y a des consultants qui en ont profité, au tout début, pour vendre un million d’affaires superflues qui n’étaient pas à 100 % requises pour se conformer à SOX, un peu comme le bogue de l’an 2000, poursuit
M. Naoum. C’est pour ça que certains ont décidé de s’en tenir au minimum. Pour les entreprises qui ne sont pas cotées en bourse, je m’attends à ce qu’elles finissent par adopter de meilleures pratiques de gestion à la suite des questions que leur posera leur firme de vérification. »
Criblage des courriels
Pour faciliter la tâche des entreprises désirant se conformer à la législation, on trouve sur le marché des solutions qui permettent de contrôler le routage des courriels, en fonction de leur contenu et de leur destinataire, et ainsi de bloquer les échanges susceptibles de provoquer un délit d’initié. La firme de recherche IDC s’attend à ce que le marché des logiciels de contrôle des contenus électroniques sortant, qu’il s’agisse des courriels, des messages instantanés, des échanges P2P ou de fichiers transférés, atteigne 1,9 milliard $US en 2009.
« Les outils ne servent à rien si on n’a pas de bonnes politiques de sécurité, c’est fondamental, rappelle Patrick Naoum. Si les employés ne savent pas comment bien se comporter au niveau informatique, tout ça ne sert à rien; le maillon faible, c’est l’humain. Il y a eu beaucoup de progrès à ce niveau dans les grandes entreprises, au cours des dernières années, mais dans les PME, il y a un travail monstre à faire. On est encore perçu comme des vendeurs d’assurance pour des problèmes qui n’arriveront jamais. [Le législateur] ne demande pas aux entreprises de garantir que rien ne va arriver, ce qui est impossible, mais de mettre toutes les chances de leur côté. On a une obligation de moyens et non de résultats. »
« Une fois qu’elles ont déployé des moyens technologiques, les entreprises ont parfois un faux sentiment de sécurité, car la sécurité informatique est une combinaison de technologies, de processus et d’éducation des utilisateurs, renchérit Daniel Gaudreau. […] La sécurité est une problématique d’affaires et le débat doit être ramené aux décideurs, et non pas seulement au responsable de l’informatique. »
« Pour être plus sécuritaires et dépenser moins, les entreprises doivent focaliser sur les processus, et non les produits, ajoute Neil MacDonald, vice-président et analyste distingué chez Gartner. Les entreprises ont tout à gagner à hausser l’efficience de leur programme de sécurité, ce qu’elles peuvent faire en réduisant la proportion des dépenses attribuées à la sécurité informatique et en augmentant l’efficacité du programme de sécurité. »