Les systèmes d'information négligés dans la gestion des risques réglementaires
Les évolutions réglementaires devraient être mieux prises en compte pour la gouvernance des systèmes d'information. C'est la conclusion d'une étude menée par le cabinet Mazars avec l'éditeur Wallix. D'autant plus que les réglementations sont finalement trop limitées.
« Les scandales financiers de type Enron ont amené des réglementations de type SoX/LSF [Loi Sarbanes-Oxley et Loi sur la Sécurité Financière] » rappelle François Nogaret, associé au cabinet Mazars (à droite sur la photo).
Mais Sox et LSF sont des réglementations purement financières qui ne prennent pas en compte directement les aspects informatiques. Or les outils informatiques sont désormais centraux car plus rien ne peut être fait sans eux. L'audit réglementaire néglige donc souvent l'informatique. A tort bien entendu.
La réglementation sur les systèmes d'information n'est pas incluse dans de grands textes comme SoX ou LSF mais elle est plutôt dispersée dans d'innombrables dispositions éparses. Ainsi, tout ce qui concerne les données personnelles, notamment leur sécurité, relève de la Loi Informatique et Libertés de 1978 réformée en 2004.
Quant à la comptabilité informatique, elle est réglementée au titre des possibilités de contrôle fiscal. Les réglementations sectorielles sur les banques ou les assurances, pour leur part, s'intéressent surtout à la traçabilité et à l'intégrité des informations mais peu aux outils eux-mêmes. Pour François Nogaret, « on a affaire à un maquis pointilliste réglementaire ».
La conformité réglementaire suppose donc une attention soutenue, une véritable gouvernance. Selon le cabinet Mazars, quatre principes doivent être respectés : la justification de l'origine des données, la traçabilité de tous les traitements effectués, la protection des données et leur conservation.
La santé informatique des entreprises est une inconnue ...
La santé informatique des entreprises est une inconnue
Les réglementations imposent la fourniture d'innombrables informations financières par les entreprises, surtout si elles sont cotées en bourse. En revanche, la qualité de leur système d'information reste une parfaite inconnue, tout comme la qualité de leur démarche de développement durable.
Si, en matière de développement durable, il peut exister des communications volontaires, aucune entreprise n'envisage de se promouvoir en communiquant autour de la qualité de son système d'information. « Or lorsque l'on envisage d'investir ou de racheter une entreprise, la qualité du système d'information est primordiale pour la solidité de ce que l'on achète et donc la bonne estimation de son prix » observe François Nogaret.
A cela s'ajoute la lutte contre les fraudes. François Nogaret note : « les fraudes passent toujours à un moment ou à un autre par le système d'information et peuvent donc être détectées par le système d'information, par exemple en étudiant les flux de données, leurs émetteurs et destinataires. »
Un grain de sable dans une botte de foin
« On voit trop souvent l'informatique comme quelque chose qui doit simplement marcher, sans se préoccuper de qui est aux manettes » dénonce Jean-Noël de Galzain, PDG de l'éditeur Wallix (à gauche sur la photo). Or ce sont les utilisateurs qui vont abuser de leurs droits pour commettre des actes préjudiciables à l'entreprise, bien plus souvent qu'il n'y aura un véritable piratage.
Une fraude légère ne sera pas détectée ...
Une fraude légère ne sera pas détectée
Selon François Nogaret, le premier cas de fraude est constitué par une simple modification du RIB d'un fournisseur à qui l'entreprise va payer quelque chose. L'argent va donc être ainsi détourné au profit du fraudeur ou d'un complice. Si le montant est assez faible pour être noyé dans la masse, la détection sera rare et complexe.
La fraude peut notamment être grave pour les « super-utilisateurs », qui déterminent les droits des autres, et dont tous les actes doivent être tracés. Or les comptes d'administration des systèmes d'information métier sont souvent collectifs à tout un service.
Dès lors, il est impossible de savoir qui a fait quoi. Jean-Noël de Galzain interroge : « dans ces conditions, à qui voulez-vous imputer telle faute disciplinaire ou tel délit ? » Comment engager des poursuites judiciaires ou même justifier des sanctions sans la moindre preuve ?
La sécurité minimale négligée
On est donc loin d'une sécurité minimale. 40% des entreprises ne contrôleraient rien de ce que font les prestataires intervenant sur leur système d'information selon le cabinet Mazars. Ces prestataires sont pourtant bien placés pour récupérer des données ou en corrompre sans être concernés par une survie de l'entreprise. De la même façon, les salariés ne partent pas toujours les mains vides.
Pour l'instant, les problèmes concernent surtout les systèmes d'information administratifs. Mais, désormais, les systèmes industriels sont de plus en plus reliés à l'ensemble du système d'information et, par delà, connectés à Internet.
L'affaire Stuxnet a pointé le danger que cela constitue. Un déréglage d'une machine industrielle peut avoir des conséquences plus gênantes (voire mortelles) qu'une simple modification comptable. Mais les audits réglementaires les négligent plus encore que les systèmes administratifs.
