Qu'est-ce que la conformité SOX ?

Une définition de la conformité SOX

En 2002, le Congrès des États-Unis a adopté la loi Sarbanes-Oxley (SOX), celle-ci vise à protéger les actionnaires et le grand public contre les erreurs comptables et les pratiques frauduleuses menées dans les entreprises, mais aussi pour améliorer l'exactitude des informations fournies par les entreprises. La loi fixe des délais pour la conformité, elle publie aussi des règles sur les exigences. Les membres du Congrès Paul Sarbanes et Michael Oxley ont rédigé la loi dans le but d'améliorer la gouvernance d'entreprise et la responsabilisation, vu les scandales financiers qui ont eu lieu chez Enron, WorldCom et Tyco, entre autres.

Toutes les entreprises publiques doivent désormais se conformer à SOX, tant sur le plan financier que sur le plan informatique. La façon dont les départements informatiques stockent les enregistrements électroniques des entreprises a changé suite à l'application de SOX. Bien que la loi ne précise pas comment une entreprise doit stocker des enregistrements ou établir un ensemble de pratiques commerciales, celle-ci définit les enregistrements qui doivent être stockés et la durée de leur stockage. Pour se conformer à SOX, les entreprises doivent enregistrer tous les documents d'activité, y compris les dossiers électroniques et les messages électroniques, pour une durée « supérieure ou égale à cinq ans ». Les conséquences d'une non-conformité comprennent des amendes ou l'emprisonnement, voire les deux.

Trois règles de gestion des documents électroniques

Conséquence de SOX, les départements informatiques sont responsables de la création et du maintien d'archives des dossiers de l'entreprise. Celles-ci recherchent alors des moyens de réaliser cela qui sont à la fois rentables et conformes aux exigences de la loi. Trois règles de la Section 802 de la certification SOX affectent la gestion des documents électroniques. Le premier concerne la destruction, l'altération ou la falsification des documents et les sanctions qui en résultent. La seconde définit la période de rétention pour le stockage des enregistrements ; les meilleures pratiques recommandent aux entreprises de stockent en toute sécurité la totalité des documents de l'entreprise en utilisant les mêmes consignes que les comptables publics. La troisième règle décrit les types de dossiers d'entreprise devant être stockés, cela inclut tous les dossiers relatifs à l'activité, les communications et les communications électroniques.

Contrôles de conformité et de sécurité SOX

Le meilleur plan d'action pour obtenir la conformité SOX est d'instaurer des contrôles de sécurité adéquats pour s'assurer que les données financières sont exactes et protégées contre les pertes. Le développement de bonnes pratiques et l'utilisation des outils appropriés aident les entreprises à automatiser la conformité à SOX et à réduire les coûts de gestion découlant de SOX.

Les outils de classification des données sont couramment utilisés pour aider à résoudre les problèmes de conformité, ceux-ci permettent de repérer et de classer automatiquement les données dès leur création, et d'appliquer des étiquettes de classification persistantes sur les données. Les solutions contextuelles permettent de classer et de taguer les dossiers de santé électroniques, les données de titulaires de cartes et autres données financières, les documents de conception confidentiels, les numéros de sécurité sociale, les PHI, les PII et autres données structurées et non structurées qui sont réglementées.

Protection des données et conformité

<1>La classification des données permet aux équipes de sécurité de surveiller et d'appliquer plus facilement les stratégies d'entreprise destinées au traitement des données. En fonction de la sensibilité des données et de la réglementation applicable, il peut être nécessaire de les chiffrer, de les compresser ou de les enregistrer dans un format de fichier différent. Une fois les politiques adéquates mises en place, les entreprises peuvent empêcher les utilisateurs non autorisés de consulter des données réglementées, même ceux disposant de droits d'administration sur le système. Les meilleures solutions empêchent également la sortie de données au moyen de la copie sur des périphériques de stockage amovibles. Une autre caractéristique des solutions de sécurité qui valent l'investissement réside dans leur capacité à protéger les données partagées. Ces fonctionnalités dites de « masquage » permettent aux utilisateurs d'accéder aux informations nécessaires tout en assurant la conformité aux réglementations.

Conformité et audits

Être en conformité avec SOX et se conformer à d'autres normes réglementaires est presque impossible sans avoir établi de solutions de sécurité adéquates. Fournir des preuves de conformité est encore pire, car les preuves doivent prouver que des contrôles écrits sont instaurés, communiqués et appliqués tout en assurant la non-répudiation. La solution logicielle de sécurité adéquate fournit les preuves documentées afin que tous vos efforts de conformité vaillent la peine d'être pris.

Une solution logicielle visant à répondre aux exigences de conformité devrait être capable de surveiller les données, d'appliquer les politiques et de consigner chaque action de l'utilisateur. Avec des pistes de qualité fondées sur des preuves, toutes les données nécessaires à la conformité sont en place. Protégez vos données et votre entreprise avec une solution logicielle qui assure la conformité à SOX, et soyez davantage serein lors de votre prochain audit.