L’adoption de réglementations particulièrement sévères a incité les entreprises à modifier de façon importante leurs stratégies en matière de sécurité de l’information. Malgré les discours alarmistes, le resserrement des exigences n’a généralement pas entamé la marge de profit des organisations, entraînant plutôt des changements bénéfiques.
À l’heure où les programmes malveillants pullulent, où leur prolifération s’accélère année après année, la tâche la plus exigeante à laquelle font face les organisations en matière de sécurité de l’information n’est pourtant pas la mise en œuvre de moyens de défense contre les vers, les virus, les chevaux de Troie et autres éléments hostiles.
Selon un sondage effectué en 2005 par le Security Compliance Council auprès de 200 responsables des TI aux quatre coins du monde, les organisations consacrent en moyenne 34 % de leurs ressources TI à des activités liées à la conformité. Une étude récente de la firme TheInfoPro (TIP) révèle qu’aux États-Unis, 70 % des entreprises de la liste Fortune 1000 doivent accroître les budgets de la sécurité de l’information afin de se plier aux exigences de diverses réglementations, comme la loi Sarbanes-Oxley et le Payment Card Industry Security Standards.
Au sud de la frontière, la conformité est le facteur contribuant le plus à l’augmentation des dépenses en sécurité, et l’Europe pourrait emboîter le pas d’ici peu. Les changements apportés aux politiques et aux processus constituent le secteur le plus exigeant à cet égard, suivi des logiciels et des technologies de chiffrement.
Cinq ans après l’adoption de la loi Sarbanes-Oxley – et de la Loi 198, en Ontario – les entreprises ont résolument adopté les politiques et les programmes permettant de répondre à leurs obligations en matière de conformité. D’après le Security Compliance Council, 75 % d’entre elles doivent respecter au moins deux réglementations, et dans presque la moitié des cas (43 %), trois ou plus.
La tâche est loin d’être terminée. La firme d’analyse Gartner prévoit qu’en 2012, les réglementations affectant les opérations auront doublé. Au sein des organisations, les services de la sécurité ne portent plus ce simple nom; en nombre croissant, ils s’appellent dorénavant « services de la sécurité et de la conformité ». Rares sont les articles de magazine portant sur la sécurité dans lesquels il n’est pas question de conformité, suggère unblogueur.
Effet bénéfique
Bien qu’elle semble dure de prime abord, la situation des entreprises vis-à-vis de la conformité comporte au contraire des avantages. Selon les responsables informatiques consultés par la revue CIO Insight, les nouvelles réglementations ont eu pour effet de rendre beaucoup plus sûres les données portant sur les finances de l’entreprise, ses clients et ses employés. La majorité des organisations ont ainsi profité de la conformité, plutôt que d’hériter du fardeau financier tant redouté.
De surcroît, beaucoup d’entre elles ont intégré de façon plus étroite la sécurité des TI à une approche de gestion du risque englobant la conformité, et déployée à la grandeur de l’entreprise. En 2006, 73 % des dirigeants consultés par CIO Insight ont indiqué l’avoir fait, comparativement à 66 % l’année précédente. Il en résulte des politiques de sécurité plus efficaces, selon la revue – qui prévoit que la tendance se maintiendra à court terme.
Le deux tiers des entreprises consultées a atteint une pleine conformité vis-à-vis de Sarbanes-Oxley, et davantage encore pour d’autres réglementations. Malgré tout, les processus financiers continuent à faire l’objet d’améliorations, à l’aide de l’automatisation notamment – autre conséquence heureuse de la conformité.
D’ailleurs, les entreprises ayant participé à l’enquête du Security Compliance Council estiment, dans une proportion de 80 %, que la conformité ne peut être atteinte sans une solution d’automatisation. Selon cette enquête, seulement 5 % des organisations avaient, en 2005, instauré un niveau complet d’automatisation de leurs efforts visant à se conformer aux lois et règlements. De son côté, Gartner estime qu’en 2008, 75 % des grandes et moyennes entreprises auront mis en place un système de gestion et d’automatisation des tâches liées à la conformité.
S’il reste du travail à faire, des progrès importants ont été accomplis néanmoins. Les obligations strictes imposées en matière de rectitude et de transparence financière notamment, ainsi que les pénalités sévères imposées lorsqu’elles ne sont pas respectées, semblent avoir atteint leur principal objectif : susciter la mise en œuvre de mesures de sécurité plus rigoureuses au profit de tous.
