Inscrivez-vous gratuitement à la Newsletter BFM Business
Outre le respect des lois et des règlements, la conformité concerne l'organisation de la firme, l'exploitation informatique et la gestion de la qualité.
Plus une semaine sans que l'industrie informatique ne bruisse du terme ' conformité '. La signification du mot en paraît brouillée. SAP a dévoilé une série de composants de sa nouvelle gamme Gouvernance,
Risques et Conformité, orientés vers le contrôle des processus de fonctionnement (Business Process) et l'analyse des risques. L'éditeur Coda a lancé un progiciel pour la mise en conformité des entreprises avec la loi de sécurité financière (LSF).Chez les éditeurs de sécurité, l'agitation est également importante : Symantec avec Control Compliance Suite, McAfee avec Preventsys, BorderWare avec Infinity ou encore IS Decisions avec FileAudit tentent tous au même moment
d'étendre la gestion de la sécurité à la conformité. ' La conformité s'applique à des domaines variés. Pour l'entreprise, il peut s'agir d'être conforme à des lois comme Sarbanes-Oxley et la LSF, de respecter des standards de
fonctionnement, comme les normes ISO ou le référentiel Itil, ou encore de s'assurer que sa politique interne d'organisation est bien appliquée ', précise Marc Bernis, responsable avant-vente de HP Software France.HP commercialise depuis le début de l'année des modules de gestion de la conformité pour OpenView. Pour François Amigorena, PDG d'IS Decisions : ' Les obligations des entreprises se renforcent, mais il faut
bien voir qu'elles ont deux aspects, réglementaire et méthodologique, qu'il faut différencier. ' Il n'existe donc pas une, mais des conformités, associées sans former un tout homogène, ce qui explique la diversité d'approche
des éditeurs.
Auditer, interdire, corriger
Pour les petites et moyennes entreprises, le plus intéressant est l'apparition d'une boîte à outils pour gérer la conformité au niveau de l'infrastructure informatique. L'éventail des solutions est aussi large que le nombre de
points-clés à valider dans l'architecture.Le logiciel Control Compliance Suite (CCS) de Symantec, par exemple, issu du rachat de BindView en janvier 2006, collecte des données sur les serveurs Windows, Unix et Linux du réseau : comptes, répertoires, correctifs, droits
d'accès, configuration... Il rassemble l'information dans une base de données et vérifie que la politique de sécurité définie par l'entreprise est bien respectée.Dans le cas de Preventsys de McAfee (racheté en juillet 2006), ' nous automatisons la vérification des politiques en centralisant les rapports d'audit des logiciels de supervision
tiers ', précise Michel Lavergne, directeur de la gestion des risques pour l'Europe chez McAfee.Preventsys embarque aussi un module qui mesure le niveau de risque de l'entreprise et évalue le coût induit par l'indisponibilité d'une machine donnée, ce qui le rapproche de la gestion des risques, autre pan de la conformité lorsque
l'entreprise se fixe des impératifs de disponibilité. FileAudit d'IS Decisions suit en permanence les accès aux données stockées sur un système : Qui s'y connecte ? A quel moment et à partir de quelle machine ? Au-delà de ces
dispositifs qui assurent essentiellement des fonctions d'audit, la conformité peut consister à contrôler le contenu même des données.BorderWare, avec son équipement Infinity, vérifie que l'information qui franchit le périmètre de l'entreprise y est autorisée
(lire ' BorderWare scrute tous les trafics '), et ce, quel que soit le protocole. La PME dispose ainsi d'un ensemble de solutions pour inscrire des
exigences et des obligations dans le fonctionnement même de l'informatique et mettre en place un processus d'amélioration de la qualité.
Les outils de la gouvernance
A un plus haut niveau, on trouvera une classe d'outils de gestion de la conformité stratégique. Chez HP, OpenView Compliance Manager ' est un outil d'aide à la conformité globale du système d'information avec
des packs de rapports prédéfinis qui puisent des métriques dans les différents éléments du SI pour calculer des indicateurs et surveiller des points de contrôle de conformité ', explique Marc Bernis.Dans la même logique, mais avec une orientation métier, ' GRC Process Control donne à l'entreprise les moyens de contrôler l'exécution d'un processus une fois qu'il a été décrit, de vérifier qu'il n'y a pas de
faille dans le déroulement de la procédure en allant capter l'information où qu'elle se trouve ', décrit Jean-Michel Franco, chargé du développement PGI et Business Intelligence Europe à SAP.Il ne faut cependant pas se leurrer, ces logiciels avancés, qui demandent des déploiements lourds et une forte structuration des procédures d'activité sont, pour l'heure, réservés aux grands comptes et à quelques domaines d'activité
particuliers : la santé, certains sous-traitants gouvernementaux, la finance...
' Il faut relativiser les besoins en conformité, qui ne sont pas les mêmes dans une multinationale ou dans une PME, pour laquelle les
obligations sont relativement faibles ', rappelle Éric Barbry, avocat.Néanmoins, le poids croissant des cadres d'administration, comme Itil, des préoccupations, comme la protection des données personnelles, et l'importance des certifications ISO pour l'image des sociétés conduisent celles-ci à
s'intéresser de plus près à la conformité.