La conformité s'impose et se structure

03/11/2006 à 07h00

Outre le respect des lois et des règlements, la conformité concerne l'organisation de la firme, l'exploitation informatique et la gestion de la qualité.

Plus une semaine sans que l'industrie informatique ne bruisse du terme ' conformité '. La signification du mot en paraît brouillée. SAP a dévoilé une série de composants de sa nouvelle gamme Gouvernance, Risques et Conformité, orientés vers le contrôle des processus de fonctionnement (Business Process) et l'analyse des risques. L'éditeur Coda a lancé un progiciel pour la mise en conformité des entreprises avec la loi de sécurité financière (LSF).Chez les éditeurs de sécurité, l'agitation est également importante : Symantec avec Control Compliance Suite, McAfee avec Preventsys, BorderWare avec Infinity ou encore IS Decisions avec FileAudit tentent tous au même moment d'étendre la gestion de la sécurité à la conformité. ' La conformité s'applique à des domaines variés. Pour l'entreprise, il peut s'agir d'être conforme à des lois comme Sarbanes-Oxley et la LSF, de respecter des standards de fonctionnement, comme les normes ISO ou le référentiel Itil, ou encore de s'assurer que sa politique interne d'organisation est bien appliquée ', précise Marc Bernis, responsable avant-vente de HP Software France.HP commercialise depuis le début de l'année des modules de gestion de la conformité pour OpenView. Pour François Amigorena, PDG d'IS Decisions : ' Les obligations des entreprises se renforcent, mais il faut bien voir qu'elles ont deux aspects, réglementaire et méthodologique, qu'il faut différencier. ' Il n'existe donc pas une, mais des conformités, associées sans former un tout homogène, ce qui explique la diversité d'approche des éditeurs.

Auditer, interdire, corriger

Pour les petites et moyennes entreprises, le plus intéressant est l'apparition d'une boîte à outils pour gérer la conformité au niveau de l'infrastructure informatique. L'éventail des solutions est aussi large que le nombre de points-clés à valider dans l'architecture.Le logiciel Control Compliance Suite (CCS) de Symantec, par exemple, issu du rachat de BindView en janvier 2006, collecte des données sur les serveurs Windows, Unix et Linux du réseau : comptes, répertoires, correctifs, droits d'accès, configuration... Il rassemble l'information dans une base de données et vérifie que la politique de sécurité définie par l'entreprise est bien respectée.Dans le cas de Preventsys de McAfee (racheté en juillet 2006), ' nous automatisons la vérification des politiques en centralisant les rapports d'audit des logiciels de supervision tiers ', précise Michel Lavergne, directeur de la gestion des risques pour l'Europe chez McAfee.Preventsys embarque aussi un module qui mesure le niveau de risque de l'entreprise et évalue le coût induit par l'indisponibilité d'une machine donnée, ce qui le rapproche de la gestion des risques, autre pan de la conformité lorsque l'entreprise se fixe des impératifs de disponibilité. FileAudit d'IS Decisions suit en permanence les accès aux données stockées sur un système : Qui s'y connecte ? A quel moment et à partir de quelle machine ? Au-delà de ces dispositifs qui assurent essentiellement des fonctions d'audit, la conformité peut consister à contrôler le contenu même des données.BorderWare, avec son équipement Infinity, vérifie que l'information qui franchit le périmètre de l'entreprise y est autorisée (lire ' BorderWare scrute tous les trafics '), et ce, quel que soit le protocole. La PME dispose ainsi d'un ensemble de solutions pour inscrire des exigences et des obligations dans le fonctionnement même de l'informatique et mettre en place un processus d'amélioration de la qualité.

Les outils de la gouvernance

A un plus haut niveau, on trouvera une classe d'outils de gestion de la conformité stratégique. Chez HP, OpenView Compliance Manager ' est un outil d'aide à la conformité globale du système d'information avec des packs de rapports prédéfinis qui puisent des métriques dans les différents éléments du SI pour calculer des indicateurs et surveiller des points de contrôle de conformité ', explique Marc Bernis.Dans la même logique, mais avec une orientation métier, ' GRC Process Control donne à l'entreprise les moyens de contrôler l'exécution d'un processus une fois qu'il a été décrit, de vérifier qu'il n'y a pas de faille dans le déroulement de la procédure en allant capter l'information où qu'elle se trouve ', décrit Jean-Michel Franco, chargé du développement PGI et Business Intelligence Europe à SAP.Il ne faut cependant pas se leurrer, ces logiciels avancés, qui demandent des déploiements lourds et une forte structuration des procédures d'activité sont, pour l'heure, réservés aux grands comptes et à quelques domaines d'activité particuliers : la santé, certains sous-traitants gouvernementaux, la finance... ' Il faut relativiser les besoins en conformité, qui ne sont pas les mêmes dans une multinationale ou dans une PME, pour laquelle les obligations sont relativement faibles ', rappelle Éric Barbry, avocat.Néanmoins, le poids croissant des cadres d'administration, comme Itil, des préoccupations, comme la protection des données personnelles, et l'importance des certifications ISO pour l'image des sociétés conduisent celles-ci à s'intéresser de plus près à la conformité.

multiplication des projets : Marc Blet (Intrinsec) : ' nous préférons effectuer nos propres tests '

Marc Blet est directeur des projets à Intrinsec.
' Depuis environ un an, les projets de mise en conformité se multiplient, surtout à la loi Sarbanes-Oxley. Nous sommes face à deux types d'entreprises : celles soumises à la loi et celles qui veulent garantir leur réputation et leur qualité vis-à-vis de leurs clients. De fait, si une politique de sécurité est souvent appliquée en entreprise, elle est rarement garantie. Notre intervention est ponctuelle. Nous effectuons nos audits en interviewant les responsables du SI et en validant l'architecture avec eux. Nous n'utilisons pas de logiciels de mise en conformité et préférons effectuer nos propres tests à la fois en interne et en externe. L'analyse d'un réseau se fait à l'aide de scanners et d'outils de cartographie. Nous vérifions aussi, entre autres, les correctifs et la gestion des habilitations. '

appliquer la réglementation : Eric Barbry (Alain Bensoussan) : ' la France n'est pas en retard '

Eric Barbry a produit une opinion légale sur l'archivage électronique et la façon dont les produits de NetApp répondent aux exigences réglementaires.
' Un équipement informatique n'est pas en lui-même conforme à la loi, mais on peut déterminer si ses fonctionnalités permettent d'assurer une conformité, et c'est dans sa mise en ?"uvre, assurée par un utilisateur qui connaît la loi, qu'on peut arriver à l'état de conformité. Des lois sur la conformité informatique existaient depuis longtemps, mais personne ne s'en est beaucoup soucié, d'autant que l'État, qui souhaitait développer les technologies numériques, appliquait de faibles sanctions. Ce qui a changé, c'est le renforcement de ces sanctions. La France nest pas en retard sur les États-Unis en matière de réglementation. Les Américains ont été rattrapés par les limites de leur droit des affaires, suite à des scandales financiers. Ils ont alors mis en place de façon soudaine une réglementation assez dure. En France, notre environnement est depuis toujours très réglementé, et au total nous serions plutôt en avance sur les Etats-Unis. '

Renaud Bonnet et Thibault Michel