Conformité - Les tendances
Depuis toujours les grandes entreprises ont des exigences réglementaires et de conformité qu'elles ne peuvent éviter. Cependant, depuis quelques années, les petites et même très petites sociétés doivent se conformer à différentes normes de sécurité et de conformité. Que s'est-il passé?
Les exigences de conformité financières
Depuis la nuit des temps, les entreprises doivent répondre à certains cadres réglementaires. Un événement majeur, a toutefois, changé le niveau d'exigences à l'égard du contrôle
interne financier. Au début des années 2000, le scandale "Enron" force les institutions
de réglementation à intervenir fortement. Outre le fait que le prestigieux bureau de CPA
Arthur Anderson est démantelé, une nouvelle loi est mise en vigueur par le Congrès
américain, la Loi Sarbanes-Oxley (SOX) est votée en 2002. Toutes les entreprises
publiques se devaient de faire un rapport annuel sur le contrôle interne financier de
leur société.
Le scandale d'Enron et la venue de SOX font en sorte que les départements de
conformité et d'audit des entreprises deviennent des chiens de garde du contrôle
interne financier. Cette situation fait en sorte qu'une multitude de rapports SOC 1
(contrôles financiers) sont exigés aux différents fournisseurs de services de ces grandes
sociétés.
La décennie 2000 s'est avérée être celle des auditeurs financiers.
La sécurité de l'information
Depuis le début des années 2000, avec la croissance des médias sociaux, de
l'infonuagique, des technologies décentralisées et de toutes les autres nouveautés
technologiques, les organisations prennent conscience que leur niveau de risque à
l'égard du vol de données, de l'intrusion et de tous autres actes malveillants devient très élevé. Si la prise de conscience est présente, les actions et les investissements à l'égard de la sécurité de l'information n'étaient pas au rendez-vous pour assurer le suivi des risques par les entreprises.
Il a fallu que plusieurs grandes entreprises (ex.: Marriot, Facebook, British Airways, etc.) vivent d'importantes brèches de sécurité ou de confidentialité pour voir un déplacement des investissements financiers vers les contrôles de sécurité et de confidentialité.
En 2010, l'AICPA sort la norme d'attestation SSAE 16 qui remplace la norme "SAS 70". Avec cette nouvelle norme, l'AICPA introduit le rapport SOC 2 avec les 5 grands principes (sécurité, confidentialité, intégrité des traitements, disponibilité et vie privée) pouvant être utilisés dans un rapport SOC 2.
Durant la première moitié des années 2010, le rapport SOC 2 était encore peu demandé. En fait, il n'était pas encore très connu et il faut se rappeler que dans les entreprises les contrôles financiers avaient encore la priorité. Durant la deuxième moitié de 2010, les grandes entreprises deviennent intraitables à l'égard des risques touchant les TI et il y a un déplacement des priorités vers les contrôles TI. Les équipes de sécurité et de conformité TI prennent alors une plus grande place et exigent des rapports d'audit TI de leurs fournisseurs et autres parties prenantes considérées à risque.
Au départ, la petite entreprise était un peu épargnée par les exigences de conformité des grandes entreprises. Depuis les années 2016 et 2017, ce n'est plus vraiment le cas et même les micros entreprises se voient demander des exigences de conformité.
Les grandes entreprises nationales ou internationales, lors de la signature des contrats avec leurs fournisseurs, en profitent pour insérer des clauses exigeant la mise en place d'un programme de conformité. En Amérique, souvent le rapport SOC 2 et quelquefois la norme ISO 27001 sont acceptés. En Europe, la norme ISO 27001 est très demandée par les grandes entreprises européennes.
La vie privée
Les grandes entreprises de médias sociaux ont créé un nouveau niveau de risque insoupçonné jusque-là. Les Facebook, Amazon, Twitter, etc. hébergent des millions de données considérées comme privées. Un vol de données touche énormément de personnes et met à risque la vie privée de ces dernières. Juste à se rappeler le scandale Facebook-Cambridge Analytica en 2015-2018 qui a mis à risque les données privées de plus de 80 millions de personnes.
Nous sommes au tout début d'un grand changement de paradigme en ce qui a trait aux données privées. Bien que les grands pays occidentaux avaient tous des lois touchant les données personnelles, la venue de Règlement Général sur la Protection des Données (RGPD) de l'Union Européenne en mai 2018 a marqué un tournant, ce règlement deviendra un modèle pour tous les grands pays. Le fait qu'il y ait des possibilités d'amendes importantes aura des conséquences certaines sur les opérations des organisations qui hébergent ou traitent des informations de citoyens européens.
Nous pouvons anticiper que les grandes organisations déplaceront de plus en plus une partie de leurs investissements vers la sécurité de l'information et la protection de la vie privée. Ces deux domaines sont maintenant dans les priorités au niveau de la gestion des risques des entreprises.