02nd déc. SOX : les principes de la loi Sarbanes & Oxley

La loi Sarbanes-Oxley, SOX, votée en juillet 2002, a été mise en place après les scandales des affaires Enron et Worldcom. Elle prévoit, entre autres, et ce afin de rassurer les marchés financiers, que les Présidents des entreprises cotées aux Etats-Unis certifient leurs comptes auprès de la SEC (Securities and Exchanges Commission).

Trois grands principes SOX sont repris dans le texte de loi :

  • l’exactitude et la disponibilité de l’information
  • la responsabilité directe des dirigeants
  • l’indépendance des auditeurs

6 grands chapitres :

  • La responsabilité directe des dirigeants (CEO et CFO). En cas d’irrégularités les dirigeants risquent 20 ans de prison.
  • L’exactitute et la disponibilité de l’information .Des informations additionnelles devront être fournies à la SEC.
  • L’existance d’auditeurs externes habilités à recevoir des informations ou des plaintes venant soit des actionnaires, soit des employés (hotline).
  • L’indépendance des auditeurs sera garantie par leurs changements fréquents.
  • La mise en place d’un organisme (Public Company Accounting Oversight Board) chargé de réglementer et de surveiller les déclarations des entreprises.
  • Le renforcement des sanctions.

L’impact SOX sur les systèmes d’information

Les systèmes d’information doivent également se transformer notamment à cause des sections 409 « Real Time Issuer Disclosure » et 404 « Management Assessment of Internal Controls ».

La section 409 oblige, entre autres, les entreprises à être en mesure de clôturer leurs comptes le plus rapidement possible (deux jours).
La section 404 est, quant à elle, beaucoup plus contraignante. Celle-ci impose aux entreprises de mettre en place des contrôles interne dont l’efficacité devra être démontrée.

En outre, les contrôles SOX portent sur :

  • La gestion des mots de passe : niveau de sécurité, changement à intervalle régulier ;
  • Le réseau informatique : vérification de l’authentification des accès, protection du réseau par deux pare-feux, contrôle des accès à internet et bon usage d’internet, révocation des accès en cas de départ de l’employé ;
  • La gestion des antivirus : analyse virale, contrôle des mises à jour ;
  • La sécurité des ERP : contrôle des accès, longs mots de passe, restriction de l’accès des données aux utilisateurs ;
  • Les sauvegardes : régulières, tests de restauration ;
  • La gestion des vulnérabilités ;
  • La protection des bâtiments ;
  • La sécurité physique : mise en place de zones à accès restreints, enregistrement des visiteurs.

Nombre d’entreprises se sont tournées vers une infrastructure COBIT qui détaille l’évaluation des contrôles TI. En effet, l’activité Ensure Systems Security s’adapte particulièrement à la loi Sarbanes-Oxley SOX. Son principal objectif étant de « fournir des contrôles protégeant l’information contre toute utilisation, divulgation ou modification non autorisée et contre tout dommages ou pertes à l’aide de contrôles ».