SOX – Impact sur le Système d’information

SOX 2Il faut l’avoir vécu pour comprendre…

Dans le cadre de la loi Sarbanes-Oxley, toutes les entreprises américaines cotées ont l’obligation de présenter à la SEC  (Securities and Exchange Commission, le gendarme de la bourse)  des comptes certifiés par leur représentants. Cependant, cette loi n’influence pas que les entreprises américaines. En effet, il en va de même pour les entreprises européennes qui ont des intérêts liés aux Etats-Unis c’est-à-dire par exemple les sociétés qui ont des filiales aux États-Unis ou encore les sociétés qui ont des relations commerciales avec des entreprises américaines. Elle a également influencé la loi de sécurité financière mise en place par le gouvernement français.

Une entreprise française filiale d’un groupe Américain peut, en fonction de sa taille, être soumise aux règles SOX.

Et là, il ne suffit pas de savoir en parler, il faut savoir le gérer au quotidien et nous en parlons pour l’avoir vécu et ne plus être « Failed »…

L’impact sur les systèmes d’information

Les systèmes d’information doivent également se transformer notamment à cause des sections 409 « Real Time Issuer Disclosure » et 404 « Management Assessment of Internal Controls ».

  • La section 409 oblige, entre autre, les entreprises à être en mesure de clôturer leurs comptes le plus rapidement possible (deux jours).
  • La section 404 est, quant à elle, beaucoup plus contraignante. Celle-ci impose aux entreprises de mettre en place des contrôles internes dont l’efficacité devra être démontrée.

En outre, ces contrôles portent sur :

  • La gestion des mots de passe : niveau de sécurité, changement à intervalle régulier
  • Le réseau informatique : vérification de l’authentification des accès, protection du réseau par deux pare-feux, contrôle des accès à internet et bon usage d’internet, révocation des accès en cas de départ de l’employé
  • La gestion des antivirus : analyse virale, contrôle des mises à jour
  • La sécurité des ERP: contrôle des accès, longs mots de passe, restriction de l’accès des données aux utilisateurs
  • Les sauvegardes : régulières, tests de restauration
  • La gestion des vulnérabilités
  • La protection des bâtiments
  • La sécurité physique : mise en place de zones à accès restreints, enregistrement des visiteurs
Référence: https://fr.wikipedia.org/wiki/Loi_Sarbanes-Oxley

Si vous pensez que notre expérience dans ce domaine peut vous aider, contactez nous.