Conformité et données : alliées ou ennemies ? / Duff & Phelps

Conformité et données : alliées ou ennemies ?

Les données sont au cœur des activités des entreprises car elles représentent le socle de toutes les fonctions. Que ce soient des données sur les effectifs dans le département de ressources humaines, les chiffres relatifs aux ventes pour les besoins de la comptabilité, les données de marché aux fins de la gestion des portefeuilles des investisseurs ou des plans de fabrication dans les usines. Aussi, leur intégrité, leur exhaustivité, leur disponibilité et leur confidentialité sont donc des éléments structurants pour les entreprises. Comment alors s’assurer que le traitement qui est fait de la donnée, peu importe sa nature, reste un moteur de performance de l’entreprise sans risquer de porter préjudice à son activité ?

Qualité des données et conformité

La fonction de conformité n’est pas épargnée et reste au centre d’un dispositif assurant la qualité des données. En premier lieu, notons que chaque niveau de contrôle habituellement défini dans les organisations ne peut s’exercer qu’au travers, au moins partiellement, d’une analyse des données. Qu’il s’agisse ainsi des opérationnels en effectuant leurs contrôles de premier niveau, du contrôle de gestion via la réalisation de contrôles de second niveau ou encore l’audit interne pour les contrôles de troisième niveau. La « qualité » des données est donc critique afin de s’assurer que les contrôles effectués sont pertinents et permettent d’atteindre leurs objectifs.

Prenons l’exemple des procédures de contrôles comptables requises par l’article 17 de la loi Sapin 2. Si des données non-intègres ou non-exhaustives sont utilisées lors des contrôles, de mauvaises décisions seront prises, tant par les opérationnels que par les auditeurs. La qualité des contrôles réside aussi dans la matière première utilisée, soit les données, en plus de la qualité des procédures de contrôle évidemment.

En outre, n’oublions pas que les données elles-mêmes peuvent aussi faire l’objet de réglementations précises. Prenons le Règlement général sur la protection des données (RGPD) par exemple. La protection des données à caractère personnel, soit la confidentialité, l’exhaustivité, l’intégrité ainsi que la disponibilité des données, représente le cœur du règlement, et impose aux acteurs qui les traitent de prendre des précautions particulières. Ici encore, la conformité a pour mission de s’assurer que son entreprise respecte bien les règles qui s’imposent à elles en la matière.

Enfin, des données propres à votre entreprise et à vos salariés, tels que les emails, données financières, pourraient être saisies par les autorités de régulation, comme par exemple l’Autorité des marchés financiers, lors d’une enquête. La fameuse piste d’audit, vantée par tant d’éditeurs de solutions de support à la conformité, pouvant répondre aux exigences de traçabilité des actions demandées par les régulateurs, est elle aussi, en fin de compte, un ensemble de données.

Dans ces trois situations, l’enjeu de la qualité des données pour les entreprises est omniprésent. Une des solutions permettant d’y répondre repose sur la mise d’un dispositif de contrôle interne des systèmes d’information (SI) adapté. Qui permettra d’obtenir une assurance raisonnable sur l’intégrité, l’exhaustivité, la confidentialité et la disponibilité de vos données.

La Sécurité du SI

Tout d’abord, il conviendra de mettre en place un dispositif de contrôle interne concernant la gestion des accès à vos SI. C’est le principe de confidentialité. Soit de restreindre les accès aux systèmes uniquement pour les collaborateurs le requérant dans le cadre de leurs responsabilités.

Pour ce faire, il conviendra de mettre en place un processus de gestion des accès, comportant, a minima, une séparation des tâches entre l’approbateur de la requête et celui qui octroie les accès. Par exemple le supérieur hiérarchique et le collaborateur de la DSI. Ces mêmes contrôles devront être effectués de façon aussi rigoureuse pour les administrateurs des systèmes. Même s’ils font partie de la DSI. En effet, leurs accès étant particulièrement étendus, et donc plus risqués pour le SI et par extension pour l’entreprise, il est nécessaire de bien les contrôler. Le but étant ici de s’assurer que les données sont intègres et exhaustives en protégeant le SI d’accès intentionnels malveillants ou d’erreurs de manipulation. Qui résulteraient en des modifications ou des suppressions de données inopinées.

La Sécurité du SI englobe également la mise en œuvre de la bonne séparation des tâches « métier ». La DSI étant la fonction qui gère les accès dans les SI. Cette matrice de séparation des tâches, qui distingue les accès autorisés selon les postes et les collaborateurs, devra être définie par les métiers. Cette matrice sera précieuse lors d’une revue des accès périodiques (par exemple annuellement) afin de s’assurer que les privilèges d’accès des utilisateurs demeurent en adéquation avec leurs responsabilités. En effet, lors de mobilités internes, il arrive que les privilèges d’accès ne soient pas toujours ajustés correctement, créant des conflits de séparation de tâches.

En revanche, ces accès ne seront pas suffisants pour protéger vos SI dès lors que votre porte d’entrée n’est pas verrouillée ou n’est mal protégée. La norme requière la création de comptes uniques pour chaque utilisateur. Pour assurer une imputabilité des actions dans les systèmes, qui conjuguée à un paramétrage du mot de passe suivant les standards du marché, ou plus restrictif, verrouillera en partie des brèches. De même, il conviendra d’implanter des dispositifs d’authentification forte, à 3 facteurs, pour les administrateurs.

Finalement, lorsque techniquement possible, il faudra activer la journalisation des évènements de sécurité. Néanmoins, pour ne pas être noyé sous un tsunami d’évènements à revoir, le RSSI devra effectuer un exercice d’identification des évènements de sécurité critiques pour lesquels une investigation proactive sera nécessaire, et les distinguer de ceux qu’il pourra se permettre de revoir périodiquement.

Prenons l’exemple de la création d’un compte administrateur. Ce genre d’événement réputé critique, s’il est bien tracé dans le processus de gestion des accès, donnera lieu à une revue immédiate et réactive, rendue possible par sa faible probabilité d’occurrence.

Gestion des changements

Les installations de patches, les mises à jour de logiciels sur des versions ultérieures ou les changements de systèmes doivent aussi faire l’objet de processus bornés par des contrôles. En effet, les changements aux applications impliquent des changements sur les règles de traitement des données. Il est donc important de s’assurer que les changements proposés par les éditeurs sont nécessaire. Et que ces changements n’altèrent pas l’existant et n’entrainent pas d’effets de bord, appelés « régression ».

Pour ce faire, il existe plusieurs niveaux de tests. (unitaire, intégration, non-régression, SSI et tests d’acceptation des utilisateurs). Permettant de s’assurer que le changement qui sera implémenté dans l’environnement de production correspond bien aux attentes. Chaque décision critique du processus de gestion des changements devra faire l’objet d’une approbation formelle permettant de s’assurer que chaque jalon du processus a été étudié et pris en compte. Développement, migration en environnement de production, etc.

Les principes de séparation de tâches devront aussi être respectés, entre ceux qui font la demande de changement. (par exemple les métiers). Ceux qui développent (par exemple, les études à la DSI/ prestataires, éditeurs). Et ceux qui approuvent la mise en production (le comité de gestion des changements).

Gestion des données

Finalement, un autre aspect de la gestion des données est sa disponibilité. On parle des sauvegardes, ou de la réplication des environnements de production en temps réel par exemple. Ces dispositifs permettent de s’assurer que les données sont disponibles en temps opportuns et que l’on peut restaurer les données le cas échéant. Les contrôles à mettre en place peuvent correspondre au suivi des sauvegardes, pour s’assurer qu’elle se déroulent bien. Ainsi qu’à des tests de bascules ou de restauration de données, afin de s’assurer que l’environnement de production peut être remonté en cas d’incident.

Approche par les risques

Bien évidemment, la nature et l’étendue des contrôles à mettre en place au sein du dispositif devra être fonction de la criticité des systèmes et des données en question et mis en œuvre autant sur les applications, que sur les bases de données et les systèmes d’exploitation. Ce dispositif de contrôles pour le SI participera non seulement à l’atteinte des objectifs de conformité de la société, mais également à ses objectifs d’efficacité opérationnels en protégeant ses systèmes et ses données.

Ce monde ultra-numérique dans lequel nous évoluons, où les données sont omniprésentes et les SI critiques, n’a pour autant pas encore fini sa mutation : il est prévu qu’en 2022 la 5G vienne révolutionner les performances du monde numérique, répondant au défi des technologies de Machine to Machine en connectant les usines, autonomisant la conduite automobile ou généralisant la télé-chirurgie. A l’aube de son avènement, qui fait d’ailleurs l’objet d’un débat passionnel au sein de notre classe politique, il est impératif de d’ores et déjà mettre en place les dispositifs et éléments qui nous permettront de prendre les bonnes décisions sur la gestion de nos données étant donné leur omniprésence.