Contexte
La loi Sarbanes-Oxley Act (SOX) réglemente les activités de reporting et d’audit financier des sociétés cotées en bourse. Elle impose des exigences strictes de reporting et tient les cadres dirigeants pour responsables de l’exactitude des données financières, divulgation et contrôles internes, et prévoit des amendes en cas de non-conformité.
Du point de vue de la sécurité informatique, la loi SOX exige par ailleurs des preuves montrant que les applications financières et les systèmes et services sur lesquels elles reposent sont sécurisés de manière adéquate. Il faut notamment fournir un rapport annuel contenant les contrôles et procédures internes mis en œuvre pour le reporting financier, ainsi qu’une évaluation de l’efficacité de ces contrôles et procédures confirmée par un auditeur externe. Cela engendre généralement une importante charge d’amélioration de la documentation et des processus sur la sécurité IT et les activités IT en général.
Solution
L’intervention de Mielabelo par rapport à ces problématiques s’est déclinée en trois moments :
- Un état des lieux de type pré-audit
- Une rédaction des principaux processus et procédures de sécurité
- La mise en place d’une solution de gestion ITSM pour prendre en charge les incidents informatiques
1. Etat des lieux
Tout d’abord, le client Industeel était sur le point d’accueillir des auditeurs SOX et souhaitait préparer au mieux cet audit en obtenant un état des lieux externes de sa conformité, principalement au niveau des IT General Controls. La première partie de la mission visait donc la réalisation d’un audit vis-à-vis de la conformité IT face aux réglementations SOX. L’intérêt principal de ce type d’audit est, d’une part, de fournir un état des lieux en termes de conformité et de mettre en évidence les points d’amélioration possibles (tant en termes d’organisation, de processus ou de gestion opérationnelle). D’autre part, ce type d’audit permet également de proposer un ensemble de recommandations de mise en œuvre, assortis d’un plan d’actions permettant d’atteindre, à minima, les objectifs de conformité.
Mielabelo a :
- réalisé l’audit sur base d’interviews et d’analyse des documents disponibles
- rédigé le rapport d’audit reprenant les différents constats d’audit, un état des lieux en termes de conformité SOX, un ensemble de recommandations d’amélioration et un plan d’action permettant la mise en œuvre de celles-ci
- réalisé une présentation couvrant les différents points repris dans le rapport d’audit aux différentes parties prenantes.
2. Accompagnement du client
A la suite de ce premier état des lieux, la mission s’est poursuivie par un accompagnement du client dans la mise en œuvre des recommandations et du plan d’action formulés lors de l’audit. Ces recommandations ont été déclinées au sein d’une approche méthodologique plus globale en termes de gestion de la gouvernance, des risques et de la conformité, concernant la mise en œuvre, le suivi et l’amélioration continue des éléments factuels définis au sein de la base documentaire. Il a été réalisé dans ce contexte un découpage des activités d’accompagnement en différents domaines (Gestion ces accès, gestion des incidents, gestion des changements, gestion des sauvegardes et de la continuité, etc.) tel que proposé dans le plan d’actions initial.
Ce découpage a été implémenté au sens d’une approche commune pour chacun de ces domaines : la formalisation de la base documentaire, incluant notamment la documentation des politiques et des processus de référence, la conduite d’ateliers permettant, de façon collaborative, de clarifier certains points et d’apporter des améliorations aux documents initiaux et la mise à jour de ceux-ci, la formalisation et la mise à jour de l’ensemble de la base documentaire.
3. Mise en oeuvre ITSM
Enfin, de manière plus spécifique et suite aux recommandations, Industeel a demandé à Mielabelo de l’accompagner sur la mise en œuvre d’un outil ITSM. Face à des contraintes de temps et la nécessité d’une mise à conformité rapide et facile, Mielabelo a recommandé de mettre en œuvre la solution Easy Vista.
Les principales réalisations ont été les suivantes :
- Configuration du socle commun et du module d’administration
- Mise en place des processus gestion des incidents, des demandes, des problèmes et des changements.
- Mise en œuvre du module reporting, définition et réalisation des tableaux de bord
- Données de base
- Mise en œuvre des processus
- Transfert des compétences
- Reprise de la base des données existantes
