Qu’est-ce que la conformité SOX ?

Conformité et réglementation

En 2002, le Congrès des États-Unis a adopté la loi Sarbanes-Oxley et mis en place des règles pour protéger le public contre les pratiques frauduleuses ou trompeuses des entreprises ou autres entités commerciales. L’objectif de cette législation est d’améliorer la transparence des rapports financiers publiés par les entreprises et d’imposer dans chaque entreprise un système formalisé de contrôle et d’équilibre des pouvoirs.

La conformité SOX n’est pas seulement une obligation légale mais également une bonne pratique de gestion. Naturellement, les entreprises doivent se comporter de manière éthique et limiter l’accès aux systèmes financiers internes. Mais la mise en œuvre des contrôles de sécurité financière SOX a également pour effet secondaire de contribuer à protéger l’entreprise contre un vol de données résultant d’une menace interne ou d’une cyberattaque. La conformité SOX peut inclure un grand nombre de pratiques communes à toute initiative de sécurité des données.

Histoire de la conformité SOX

Le sénateur Paul Sarbanes (D-MD) et le représentant Michael G. Oxley (R-OH-4) ont rédigé cette loi en réponse à plusieurs scandales ayant touché des sociétés très en vue, en particulier Enron, Worldcom et Tyco.

Le but déclaré de la loi SOX est de « protéger les investisseurs en améliorant l’exactitude et la fiabilité des communications des sociétés. » Cette loi a établi les responsabilités des conseils d’administration et des dirigeants des sociétés cotées en Bourse et défini des sanctions pénales en cas de manquement. Elle a été adoptée à une majorité écrasante à la Chambre des représentants et au Sénat, dont seuls trois membres ont voté contre.

Qui doit se conformer à la loi SOX ?

SOX s’applique à toutes les sociétés cotées en Bourse aux États-Unis ainsi qu’aux filiales à part entière et aux entreprises étrangères cotées en Bourse et ayant des activités aux États-Unis. SOX réglemente également les cabinets d’expertise comptable chargés de l’audit d’entreprises devant se conformer à SOX.

En général, les entreprises à capitaux privés, les organismes caritatifs et les organisations à but non lucratif ne sont pas tenus de se conformer à l’ensemble des dispositions de SOX. Les organisations privées ne doivent pas détruire ou falsifier sciemment des données financières, et SOX contient des dispositions pour sanctionner les entreprises qui s’en rendent coupables. Les entreprises à capitaux privés projetant une introduction en Bourse doivent se préparer à se conformer à SOX avant cette introduction.

Exigences de la conformité SOX

SOX compliance requirements list covered in the live text

Voici les exigences les plus importantes de la loi SOX :

  • Les PDG et les directeurs financiers sont directement responsables envers la SEC de l’exactitude, de la documentation et de la présentation de tous les rapports financiers, ainsi que de la structure de contrôle interne. Les dirigeants encourent des peines de prison et des sanctions financières en cas de défauts de conformité – qu’ils soient intentionnels ou non.
  • SOX impose un rapport de contrôle interne établissant que la direction est responsable d’une structure de contrôle interne adaptée pour leurs états financiers. Pour des raisons de transparence, toute insuffisance doit être remontée aussi vite que possible au sommet de la chaîne.
  • La loi SOX exige des stratégies formelles en matière de sécurité des données, la communication de ces stratégies et leur application systématique. Les entreprises doivent développer et mettre en œuvre une stratégie complète de sécurité des données qui protège et sécurise toutes les données financières stockées et utilisées dans des conditions normales.
  • La loi SOX exige que les entreprises maintiennent et fournissent une documentation prouvant qu’elles respectent la conformité et qu’elles surveillent et évaluent en permanence leurs objectifs de conformité.

Audits de conformité SOX

SOX impose aux entreprises de réaliser des audits annuels et d’en communiquer les résultats à tous leurs actionnaires. Pour effectuer les audits SOX, les entreprises engagent des commissaires aux comptes indépendants ; pour prévenir les conflits d’intérêt, ces audits doivent se faire indépendamment de tout autre contrôle.

Le principal objectif de l’audit de conformité SOX consiste à vérifier les états financiers de l’entreprise. Les auditeurs comparent les états de l’année en cours avec ceux des années précédentes et déterminent si tout est conforme. Ils peuvent également interroger le personnel et vérifier que les contrôles de conformité sont suffisants pour assurer la conformité à SOX.

Préparer un audit de conformité SOX

Assurez-vous de mettre à jour vos systèmes de déclaration et d’audit interne, afin d’être en mesure de fournir rapidement tout rapport que pourrait demander l’auditeur. Pour éviter toute mauvaise surprise, vérifiez que vos systèmes logiciels de conformité SOX fonctionnent comme prévu.

Audits des contrôles internes SOX

SOX compliance audit controls list covered in the live text

Dans le cadre de l’audit annuel, votre auditeur SOX examinera quatre contrôles internes. Pour se conformer à la loi SOX, il est essentiel de démontrer votre capacité pour les contrôles suivants :

  • Accès : les accès concernent à la fois les contrôles physiques (portes, badges, classeurs sous clé) et les contrôles électroniques (stratégies de connexion, accès de moindre privilège et contrôle des autorisations). Le maintien d’un modèle d’accès de moindre privilège signifie que les utilisateurs ne disposent que des accès nécessaires pour faire leur travail ; il s’agit d’une exigence de la conformité SOX.
  • Sécurité : dans ce contexte, la sécurité signifie que vous pouvez prouver l’existence de protections contre les violations de données. La façon de mettre en œuvre ce contrôle est de votre ressort.
  • Sauvegarde des données : effectuez régulièrement des sauvegardes hors site de vos données financières, en conformité avec la loi SOX
  • Gestion du changement : définissez des processus pour ajouter et gérer les utilisateurs, installer de nouveaux logiciels, et réaliser toute modification des bases de données et applications utilisées pour gérer les données financières de votre entreprise.

Avantages d’un logiciel de conformité dans le cadre des audits SOX

L’un des meilleurs moyens de faire la preuve de votre conformité SOX est de mettre en œuvre une plateforme logicielle de sécurité centrée sur les données. Les plateformes modernes de sécurité des données peuvent vous aider à identifier les problèmes d’autorisations, à trouver et étiqueter les données financières sensibles, et à vous protéger des violations de données ou des attaques par ransomware.

Un conseil de pro : Varonis fait tout cela et plus encore.

Checklist SOX

SOX compliance checklist covered in the live text

C’est toujours une bonne idée de rédiger une checklist pour la conformité SOX. Voici quelques suggestions et meilleures pratiques de conformité :

  • Vérifiez que votre logiciel de conformité SOX est à jour et qu’il n’affiche aucune alerte, et enquêtez au plus vite en cas d’alerte. Cette mesure constitue en soi une checklist complète.
  • Effectuez régulièrement des rapports d’état de conformité à SOX. La dernière chose que vous désirez est de voir une alerte surprise se déclencher le jour de l’audit planifié. Gardez en permanence le contrôle de la situation.
  • Fournissez aux auditeurs SOX les accès dont ils ont besoin pour faire leur travail.
  • Signalez dès que vous le pouvez toute faille de sécurité ou tout problème de conformité.

Avantages de la conformité SOX

SOX fournit le cadre que les entreprises doivent respecter pour mieux gérer leurs données financières, ce qui améliore en retour de nombreux aspects de leur gestion.

Les entreprises se conformant à la loi SOX font savoir que leur situation financière est plus prévisible, ce qui donne satisfaction à leurs actionnaires. L’amélioration de leurs informations financières leur facilite également l’accès aux marchés des capitaux.

En mettant en œuvre SOX, les entreprises sont mieux défendues contre les cyberattaques et contre les suites fâcheuses et onéreuses d’une violation de données. Si la gestion et la résolution des violations de données coûtent beaucoup d’argent aux entreprises, celles-ci risquent de ne jamais se remettre des dommages causés à leur image de marque.

La conformité SOX permet de mettre en place une équipe interne solidaire et améliore la communication entre les équipes impliquées dans l’audit. Les avantages d’un programme à l’échelle de l’entreprise, tel que SOX, peuvent avoir sur elles des effets tangibles, tels que l’amélioration des communications et des coopérations transversales.

Autres organisations et cadres à connaître

SOX a fait germer d’autres concepts qu’il vous faut connaître lorsque vous travaillez sur votre conformité.

  • PCAOB : le Public Company Accounting Oversight Board développe des normes d’audit et forme les auditeurs sur les meilleures pratiques à mettre en œuvre pour réussir un audit SOX.
  • COSO : le Committee of Sponsoring Organizations met à jour ses recommandations pour les contrôles internes destinés à assurer la conformité à la loi SOX. Les normes d’audit du PCAOB se basent sur ces recommandations.
  • COBIT : développé par l’ISACA, le COBIT (Control Objectives for Information and Related Technology) est un autre cadre permettant de mettre en œuvre la conformité SOX. Il s’agit d’une liste complète de 34 meilleures pratiques pour la sécurité informatique.
  • ITGI : L’Information Technology Governance Institute est un autre cadre informatique pour assurer la conformité SOX. L’ITGI utilise les normes du COBIT et du COSO, mais il est axé sur la sécurité plutôt que sur la conformité générale.

La conformité SOX ne devrait pas être une corvée. Varonis automatise un grand nombre de contrôles de sécurité des données imposés par SOX. Avec Varonis, vous pouvez résoudre les problèmes d’autorisations, trouver les données SOX cachées, et détecter les accès anormaux à vos fichiers financiers.

Accédez au podcast Inside Out Security Show dans lequel Guy Melamed, directeur financier de Varonis, explique comment Varonis aborde la conformité SOX !

Jeff Petters

Jeff Petters

Jeff travaille sur les ordinateurs depuis que son père a ramené à la maison un IBM PC 8086 avec un système de double disques durs. La recherche et l'écriture sur la sécurité des données est le travail de ses rêves.

Avatar

Adrien Rahmati-Georges

Ancien étudiant en informatique, diplômé de l'Ecole de Guerre Economique en Risques, Sûreté Internationale et Cybersécurité. Spécialisé en droit du numérique, Adrien travaille chez Varonis en tant que Coordinateur Marketing pour la région EMEA. Il vous fournit ici du contenu français et allemand, écrit par nos incroyables auteurs Varonis !

 

Votre cybersécurité est-elle au cœur de votre infrastructure ?

Bénéficiez d'une évaluation personnalisée des risques auxquels sont exposées vos données, effectuée par des ingénieurs passionnés par la sécurité des données.