Economie

Un temps d'avance. La conformité des systèmes d'information, le défi de demain

Un temps d'avance.

Depuis le scandale financier Enron, la conformité aux réglementations est en passe de devenir une préoccupation majeure des dirigeants des grandes organisations. La preuve en est le succès croissant du métier de Chief compliance officer.

En matière de sécurité informatique par exemple, il doit être capable d'identifier les lois auxquelles l'organisation a l'obligation de se conformer. On peut mentionner ici la loi sur la protection des données à caractère personnel (Loi fédérale du 19 juin 1992 sur la protection des données - LPD). Ou la réglementation Sarbanes-Oxley (SOX), sur la réforme de la comptabilité des sociétés cotées.

En cas de non-conformité, l'organisation comme ses dirigeants peuvent être tenus légalement responsables des dysfonctionnements liés à la mauvaise gestion de la sécurité du système d'information. Pour une institution financière, si des données sensibles sont rendues accessibles sur le Net, suite à une attaque informatique et indépendamment de sa volonté, l'institution en sera tenue comme directement responsable. Une responsabilité clairement établie par des réglementations comme celles de SOX ou de Bâle II. Ce qui n'était pas le cas auparavant.

Les accords de Bâle II mettent l'accent sur le risque informationnel. Selon eux, il est dorénavant considéré comme un risque opérationnel, au même titre que le risque de crédit.

Ainsi, le Chief compliance officer doit veiller à ce que les technologies de l'information soient capables de conserver, traiter et restituer, en toute sécurité et à un coût optimal, les données utilisées ensuite par les auditeurs et les responsables du controlling pour valider la conformité de l'entreprise aux lois et aux réglementations.

Au regard de la responsabilité civile et pénale engagée par les dirigeants, ces derniers doivent maîtriser le risque lié au non-respect des réglementations. Etre conforme ne suffit pas, la confiance passe par un système d'information sécurisé. Bien que ces réglementations ne soient pas directement liées à la sécurité informatique, cela n'empêche pas le marché de la sécurité informatique d'en tirer parti.

La réglementation est devenue un levier commercial pour les vendeurs de sécurité. Cette interprétation du juridique déplace le problème de la responsabilité vers la qualité et la sécurité des informations et des technologies.

Pour autant la sécurité informatique est-elle vraiment mieux prise en compte? Cela n'est pas si sûr. Car même si les lois favorisent l'adoption de comportements sécuritaires, la sécurité est avant tout une bonne gestion de risques. Peu d'études ont été conduites pour définir l'impact des réglementations sur le niveau de sécurité des organisations.

«Est-ce que la conformité à des lois permet d'augmenter la qualité, l'efficacité et la sécurité des informations?»; «Quelles lois peuvent appuyer le développement et l'usage sécurisé des technologies?».

Répondre à ces questions constitue le véritable défi que doit relever le législateur, en matière de sécurité informatique, avant de formuler des lois adaptées aux technologies du numérique.

Quant aux universités, elles doivent désormais former des personnes, au profil interdisciplinaire, possédant des compétences aussi bien dans le monde des affaires que dans le domaine des technologies ou en matière de droit.

Publicité