Sécurité et conformité sont devenues indissociables

L’adoption de réglementations particulièrement sévères a incité les entreprises à modifier de façon importante leurs stratégies en matière de sécurité de l’information. Malgré les discours alarmistes, le resserrement des exigences n’a généralement pas entamé la marge de profit des organisations, entraînant plutôt des changements bénéfiques.

À l’heure où les programmes malveillants pullulent, où leur prolifération s’accélère année après année, la tâche la plus exigeante à laquelle font face les organisations en matière de sécurité de l’information n’est pourtant pas la mise en œuvre de moyens de défense contre les vers, les virus, les chevaux de Troie et autres éléments hostiles.

Selon un sondage effectué en 2005 par le Security Compliance Council auprès de 200 responsables des TI aux quatre coins du monde, les organisations consacrent en moyenne 34 % de leurs ressources TI à des activités liées à la conformité. Une étude récente de la firme TheInfoPro (TIP) révèle qu’aux États-Unis, 70 % des entreprises de la liste Fortune 1000 doivent accroître les budgets de la sécurité de l’information afin de se plier aux exigences de diverses réglementations, comme la loi Sarbanes-Oxley et le Payment Card Industry Security Standards.

Au sud de la frontière, la conformité est le facteur contribuant le plus à l’augmentation des dépenses en sécurité, et l’Europe pourrait emboîter le pas d’ici peu. Les changements apportés aux politiques et aux processus constituent le secteur le plus exigeant à cet égard, suivi des logiciels et des technologies de chiffrement.

Cinq ans après l’adoption de la loi Sarbanes-Oxley – et de la Loi 198, en Ontario – les entreprises ont résolument adopté les politiques et les programmes permettant de répondre à leurs obligations en matière de conformité. D’après le Security Compliance Council, 75 % d’entre elles doivent respecter au moins deux réglementations, et dans presque la moitié des cas (43 %), trois ou plus.

La tâche est loin d’être terminée. La firme d’analyse Gartner prévoit qu’en 2012, les réglementations affectant les opérations auront doublé. Au sein des organisations, les services de la sécurité ne portent plus ce simple nom; en nombre croissant, ils s’appellent dorénavant « services de la sécurité et de la conformité ». Rares sont les articles de magazine portant sur la sécurité dans lesquels il n’est pas question de conformité, suggère unblogueur.

Effet bénéfique

Bien qu’elle semble dure de prime abord, la situation des entreprises vis-à-vis de la conformité comporte au contraire des avantages. Selon les responsables informatiques consultés par la revue CIO Insight, les nouvelles réglementations ont eu pour effet de rendre beaucoup plus sûres les données portant sur les finances de l’entreprise, ses clients et ses employés. La majorité des organisations ont ainsi profité de la conformité, plutôt que d’hériter du fardeau financier tant redouté.

De surcroît, beaucoup d’entre elles ont intégré de façon plus étroite la sécurité des TI à une approche de gestion du risque englobant la conformité, et déployée à la grandeur de l’entreprise. En 2006, 73 % des dirigeants consultés par CIO Insight ont indiqué l’avoir fait, comparativement à 66 % l’année précédente. Il en résulte des politiques de sécurité plus efficaces, selon la revue – qui prévoit que la tendance se maintiendra à court terme.

Le deux tiers des entreprises consultées a atteint une pleine conformité vis-à-vis de Sarbanes-Oxley, et davantage encore pour d’autres réglementations. Malgré tout, les processus financiers continuent à faire l’objet d’améliorations, à l’aide de l’automatisation notamment – autre conséquence heureuse de la conformité.

D’ailleurs, les entreprises ayant participé à l’enquête du Security Compliance Council estiment, dans une proportion de 80 %, que la conformité ne peut être atteinte sans une solution d’automatisation. Selon cette enquête, seulement 5 % des organisations avaient, en 2005, instauré un niveau complet d’automatisation de leurs efforts visant à se conformer aux lois et règlements. De son côté, Gartner estime qu’en 2008, 75 % des grandes et moyennes entreprises auront mis en place un système de gestion et d’automatisation des tâches liées à la conformité.

S’il reste du travail à faire, des progrès importants ont été accomplis néanmoins. Les obligations strictes imposées en matière de rectitude et de transparence financière notamment, ainsi que les pénalités sévères imposées lorsqu’elles ne sont pas respectées, semblent avoir atteint leur principal objectif : susciter la mise en œuvre de mesures de sécurité plus rigoureuses au profit de tous.

Articles connexes

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Investissements majeurs de 500 M$US de Microsoft au Québec

Au cours des deux prochaines années, Microsoft investira 500 millions de dollars américains dans l'expansion de son infrastructure infonuagique et d'intelligence artificielle à grande échelle au Québec.

Balado Hashtag Tendances, 23 novembre 2023 — Crise chez OpenAI, des puces Microsoft et investissements majeurs au Québec pour Microsoft

Cette semaine : Grave crise à la tête d’OpenAI, Microsoft conçoit ses propres processeurs et investissements de 500 M$ de Microsoft au Québec.

Consultation publique sur la cybersécurité

Le ministère de la Cybersécurité et du Numérique lance cette semaine une consultation publique sur la cybersécurité. Celle-ci permettra au gouvernement du Québec de solliciter un grand nombre d'intervenants ainsi que la population générale sur les enjeux et les besoins en cybersécurité.

Plus de six PME québécoises sur dix touchées par la cybercriminalité au cours de la dernière année

Un nouveau sondage mené par KPMG au Canada le mois dernier révèle que plus de six PME sur dix au Québec ont été attaquées par des cybercriminels au cours de la dernière année, et près des trois quarts d'entre elles affirment que leurs anciens systèmes d'information et de technologie opérationnelle les rendent vulnérables aux attaques.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.