Conformité avec Sarbanes-Oxley et gestion des identités et des accès

La loi américaine « Sarbanes-Oxley Act of 2002 », dite aussi SOX, fut votée à la suite de scandales financiers majeurs, dans lesquels les rapports d’activité de sociétés ne reflétaient pas la gravité des problèmes. En réaction, SOX cherche à restaurer la confiance des investisseurs dans les sociétés cotées, et dans la crédibilité de leurs rapports financiers.

La loi Sarbanes-Oxley est basée sur quelques principes majeurs :

• Intégrité et accessibilité de l’information financière
• Responsabilité du management
• Indépendance des commissaires aux comptes

La partie de SOX qui a le plus d’impact sur la sécurité informatique est la Section 404. Cette section cherche à renforcer le contrôle interne sur le reporting financier, et à minimiser ainsi les faiblesses matérielles dans le processus de reporting.

La Section 404 exige que les rapports d’activité certifiés fournis annuellement à la SEC, connus sous le nom de 10K, incluent une section sur l’état du contrôle interne sur le reporting financier, et sur son efficacité. La Securities and Exchange Commission (SEC) a publié sa réglementation finale en août 2003, en y spécifiant le contenu de cette section, ainsi que la procédure générale à suivre pour cette évaluation.

Comme la plupart des activités financières s’effectuent sur support informatique, la gestion des identités et des accès joue un rôle très important pour aider à maintenir l’intégrité du processus de reporting d’une entreprise.

Bien sûr, la gestion des identités et des accès n’est qu’une partie du processus général de conformité à SOX, mais elle peut aider à rendre ce processus significativement plus facile à implémenter, maintenir et auditer.