Passer au contenu

Yves Le Roux (Computer Associates)

‘ Il faut trouver un dénominateur commun aux règlements s’appliquant à l’entreprise. ‘

Face à la jungle des lois et réglementations françaises, européennes ou américaines, il est difficile de s’y retrouver. Yves Le Roux, spécialiste de la sécurité aussi bien sur le plan pratique et théorique que sur le plan
réglementaire, explique la bonne marche à suivre.01 Réseaux : Quelle est la méthodologie à adopter pour mettre son entreprise en conformité avec tout l’arsenal législatif et réglementaire ?


Yves Le Roux : La première action est de faire un bilan des lois et réglementations s’appliquant à l’entreprise, afin de trouver un dénominateur commun. On distingue les lois et règlements intersectoriels et sectoriels.
Dans le premier cas, pour une entreprise française, la loi sur la sécurité financière (LSF) s’applique à toutes les sociétés anonymes à conseil d’administration, et à conseil de surveillance et directoire, ainsi qu’à toutes les personnes morales
faisant un appel public à l’épargne.


Cette loi prévoit que le président du conseil d’administration ou du conseil de surveillance doit rendre compte, dans un rapport spécifique, ‘ des conditions de préparation et d’organisation des travaux du
conseil, ainsi que des procédures de contrôle interne mises en place par la société ‘
.


Les commissaires aux comptes doivent présenter, dans un rapport joint, l’accomplissement de leur mission. Une entreprise cotée aux États-Unis devra aussi être en conformité avec la loi Sarbanes?”Oxley (SOX). Dans le cas des lois
et règlements sectoriels, le domaine financier, par exemple, est aussi sujet à un certain nombre de règles spécifiques. Si l’on compare les demandes des LSF et SOX comme l’a fait Ernst & Young, on voit qu’en étant en adéquation avec
SOX on l’est aussi avec LSF.Quelles sont les normes de sécurité indispensables à suivre ?


Au niveau mondial, la seule norme existante est l’ISO 17799, qui est un code de bonnes pratiques pour la gestion de la sécurité de l’information. Elle est issue de la partie I de la norme britannique BS 7799. La partie II,
encore en projet, définit sa mise en ?”uvre. Elle recommande une analyse des risques et l’identification des principales règles à contrôler. Elle spécifie les exigences pour la mise en place d’un système de gestion de la sécurité, l’ISMS
(Information security management system).


Cette partie de la norme a été réactualisée en 2002 : on y a intégré une description en processus PDCA (Plan, do, check, act) de l’ISMS, à la manière de l’ISO 9000 version 2000. Toutefois, si la
certification n’est pas possible actuellement en France, on peut exploiter la norme ISO 17799 comme support pour formaliser sa politique de sécurité, ou comme outil de contrôle ou d’audit.Quel est le coût de mise en conformité avec SOX et CAD3 pour une entreprise internationale ?


Le coût de l’adéquation à SOX comme celui des normes de solvabilité appliquées aux établissements financiers (CAD3) sont difficiles à évaluer. Pour l’adéquation à SOX, l’ensemble du personnel doit suivre des cours d’éthique. Dans le cas
des normes de solvabilité, si on choisit l’approche ‘ mesures avancées ‘, il faut démontrer l’existence d’une fonc tion de gestion et de risque opérationnel ainsi que d’une base de données de pertes sur
une période minimale qui pourrait être de cinq ans.La loi américaine SOX est contestée en Europe et au Canada du fait de ses répercussions d’extraterritorialité. Quels sont les risques pour un chef d’entreprise ?


Pour l’informatique, SOX demande d’utiliser les points de contrôle du Cobit (Control objectives for information and related technology), très contraignants, mais clairs et précis, alors que la loi française laisse le
choix des critères à la discrétion de l’entreprise.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Olivier Ménager