FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
12 enjeux pour les TI
Par Gerald Trites
Illustration : John Ueland
À la suite d'une consultation d'envergure, le CCTI a dressé une liste des principaux défis en TI auxquels les CA doivent faire face
En janvier 2003, la disparition d'un disque dur en Saskatchewan a semé l'émoi partout au pays. Ce disque, qui heureusement a été retracé quelques semaines plus tard, contenait des données confidentielles sur plus d'un million de clients d'assurance et de placement, provenant notamment de deux grandes sociétés. En août de la même année, la panne de courant qui a frappé l'Est de l'Amérique du Nord a perturbé les transports publics et mis les guichets automatiques hors d'usage, obligeant certains travailleurs à emprunter de l'argent pour pouvoir regagner leur banlieue. Ces incidents illustrent l'importance des enjeux en matière de TI, plus particulièrement dans ces cas-ci, la protection des renseignements personnels, la sécurité et la planification antisinistre.
Pour faire ressortir les principaux enjeux en matière de TI auxquels nous sommes confrontés de nos jours, le Comité consultatif sur les technologies de l'information (CCTI) de l'ICCA a préparé un classement des enjeux les plus importants. Plusieurs organismes ont publié des classements similaires, mais celui-ci a la particularité de cibler la profession de la comptabilité et de la vérification au Canada, et de s'intéresser aux enjeux plutôt qu'à la technologie elle-même. Dans la plupart des cas, la technologie employée n'est qu'un élément du processus d'ensemble. Et l'aspect humain est souvent tout aussi important, sinon plus, que les incidences des enjeux sur la direction et l'organisation.
Ce classement, que les membres de la profession ont contribué à élaborer, présente les enjeux selon l'ordre d'importance qui leur a été attribué par le comité après les consultations. Les critères sur lesquels il s'appuie sont les suivants :
- technologies répandues, nouvelles ou uniques en leur genre;
- problèmes qui demeurent à résoudre;
- vitesse d'introduction d'une technologie;
- étendue des dommages que pourrait entraîner la défaillance d'une technologie;
- technologie requise par de nouvelles dispositions législatives et réglementaires importantes.
Les défis que posent les enjeux prioritaires
1. La protection des renseignements personnels préoccupe de nombreuses personnes et organisations, en particulier avec l'entrée en vigueur de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et de lois provinciales similaires. Le CCTI a publié plusieurs documents à ce sujet (disponibles à www.icca.ca/ccti). La plupart des gens voient un lien étroit entre protection des renseignements personnels et protection de l'identité. L'usurpation d'identité est un problème de taille, qui devrait être traité séparément selon certains, étant donné les risques de poursuite auxquels il expose les organisations en cas de vol de l'identité de leurs employés. En cas de vol d'identité, ces dernières pourraient devoir défendre devant les tribunaux leurs procédures de contrôle et leurs procédures en matière de protection des renseignements personnels.
2. Les systèmes sans fil sont de plus en plus répandus, en raison de leur côté pratique et économique, et de leur souplesse. Dans cette catégorie on trouve les téléphones cellulaires, les PDA (assistants personnels), les réseaux locaux sans fil, et plusieurs autres. Les réseaux locaux sans fil sont souvent utilisés dans les entreprises, en particulier les réseaux qui s'appuient sur le protocole 802.11b, connu sous le nom de WiFi. Toutefois, plusieurs problèmes de sécurité demeurent et, l'année dernière, la presse a fait état de nombreux cas de piratage (ou «craquage») à partir de stationnements ou de voitures.
Le CCTI a publié un dossier d'information sur la sécurité des systèmes sans fil (posté sur son site Web). Bien que des dispositifs de sécurité soient intégrés aux systèmes sans fil, de nombreuses entreprises négligent de les activer. Ainsi, plusieurs études indépendantes ont montré qu'un grand nombre d'entreprises n'activent pas le protocole de sécurité WEP (Wired Equivalency Privacy), pourtant intégré aux systèmes WiFi qu'elles installent. Par ailleurs, il existe sur Internet des outils téléchargeables gratuitement permettant de craquer la clé de chiffrement WEP. Il importe donc de mettre en place des mesures de sécurité strictes en matière de réseautique sans fil, en prenant en compte les risques et les avantages de l'utilisation de tels réseaux au sein de l'organisation.
3. La détection d'intrusion sur le réseau et les approches coordonnées à l'échelle de l'entreprise à cet égard sont devenues d'autant plus nécessaires que nombre d'entreprises s'appuient de plus en plus sur les réseaux et que les pirates informatiques s'acharnent à accéder sans autorisation aux SI. Tout comme dans le cas des réseaux sans fil, la solution ne réside pas exclusivement dans la technologie, mais aussi dans l'adoption de politiques et procédures de sécurité qui permettront de détecter rapidement les intrusions et de prendre les mesures appropriées. Certaines organisations embauchent des professionnels qui ont pour mission de percer leurs systèmes. Comme l'indique le dossier d'information du CCTI, le piratage éthique (ou tests d'intrusion) vise l'identification de faiblesses des systèmes jusque-là inconnues. Par ailleurs, la détection d'intrusion fait appel à d'autres éléments, comme des technologies, des politiques et des procédures appropriées.
4. La gouvernance en matière de TI est étroitement liée aux questions de gouvernance, comme le respect de la Loi Sarbanes-Oxley. Cette loi, adoptée aux États-Unis à la suite de scandales financiers comme Enron et WorldCom, exige entre autres que la haute direction atteste l'information transmise aux autorités de réglementation et les contrôles internes. Au Canada, les autorités de réglementation ont adopté des règles similaires dans le but de rétablir la confiance des investisseurs. Si le respect de la Loi Sarbanes-Oxley n'est pas considéré comme un enjeu technologique, il a des implications technologiques très claires, notamment la très forte influence des systèmes d'information assistés par la technologie sur les systèmes de contrôle interne de la plupart des entreprises, et l'utilisation de la technologie pour rendre compte rapidement des événements critiques et des délits d'initié, conformément à la loi.
Les organisations peuvent simplement se conformer à la nouvelle réglementation en mettant en place les contrôles requis, ou encore saisir l'opportunité qui s'offre à elles d'harmoniser leur stratégie en matière de TI avec leur stratégie d'entreprise. Cela leur permettrait de se conformer à la loi, mais aussi de créer de la valeur pour l'entreprise, de gérer le risque efficacement et d'accroître les performances des TI.
5. Les méthodes d'authentification des utilisateurs constituent toujours un enjeu majeur, car la sécurité des systèmes de TI demeure une préoccupation importante. L'utilisation de technologies plus poussées, dont la numérisation d'informations biologiques, a rendu ces méthodes plus complexes. Il s'agit maintenant de trouver la technologie qui répond le mieux au besoin croissant d'avoir des systèmes sécurisés. Les techniques d'authentification se sont beaucoup répandues avec l'arrivée du commerce électronique. Prenons par exemple les paires de clés de chiffrement et de déchiffrement, qui permettent aux utilisateurs de s'identifier et de prouver leur identité lors de transactions en ligne; les clés privées authentifient leur propriétaire simplement par le fait qu'il est le seul à posséder la clé ayant servi à chiffrer le message. L'authentification des utilisateurs passe également par l'utilisation d'infrastructures de clés publiques (ICP), qui permettent de conserver et gérer les paires de clés. Les organisations pourraient recourir davantage à ces techniques pour assurer la sécurité de leurs communications.
6. La sécurité des infrastructures d'affaires électroniques couvre l'ensemble des technologies, des processus et des structures nécessaires à la sécurité des affaires en ligne. Il n'existe pas de définition claire de ce qu'est l'infrastructure des affaires électroniques, ni de la façon de la sécuriser. Un projet est en cours au CCTI afin d'élaborer une définition. Il est généralement reconnu que la planification et l'organisation de la sécurité doivent se faire à l'échelle de l'entreprise. Les affaires électroniques ont conduit les organisations, grâce aux technologies d'entreprise et à Internet, à intégrer les activités de leur chaîne logistique. Pour la plupart, c'est un défi de taille, tout comme la mise en place de mesures de sécurité, de manière à soutenir, et non à compromettre, l'intégration qui leur est indispensable pour être concurrentielles dans le monde des affaires en ligne.
7. Le contrôle des pourriels passe par la prise d'une série de mesures visant à lutter contre le fléau des pourriels. Cet enjeu est important pour toutes les entreprises car, même si des outils permettent de se débarrasser des pourriels, ceux-ci font perdre du temps. Par un contrôle efficace, il est possible de réduire le temps que l'on consacre à se débarrasser des pourriels et à empêcher l'entrée de fichiers potentiellement contaminés dans les systèmes de messagerie, ce qui établit un lien entre le contrôle des pourriels et les antivirus. L'installation d'outils de surveillance dans les ordinateurs des visiteurs de certains sites Web favorise la prolifération des pourriels. Ces outils, appelés logiciels espions, collectent de l'information sur les habitudes de navigation des utilisateurs. Il existe des logiciels permettant de traquer et de désinstaller les logiciels espions, ce qui rend le contrôle de ces derniers semblable au contrôle des pourriels. Pour certains, les logiciels espions pourraient devenir la principale source de désagréments pour les utilisateurs, plus encore que les pourriels.
8. L'externalisation des TI fait la manchette, en raison de la perception voulant qu'elle entraîne une délocalisation des emplois. Cependant, l'externalisation d'activités, technologiques ou non, est aussi synonyme d'enjeux importants en matière de gestion (le CCTI a publié un dossier d'information sur cette question, disponible sur son site Web). L'externalisation des TI consiste à déléguer à des tiers certaines activités, comme la programmation informatique ou certains processus automatisés, tout en gardant la responsabilité de ces activités et de ce qui en résulte, et suppose, par conséquent, l'adoption par les dirigeants de mesures qui assurent que leurs responsabilités sont toujours prises en charge. Le respect des dispositions de la Loi Sarbanes-Oxley suppose aussi que les dirigeants attestent leurs systèmes de contrôle interne, ce qui peut être difficile à faire lorsqu'une partie ou la totalité des systèmes sont externalisés.
Pour les dirigeants, cela signifie s'assurer de l'existence de contrôles internes appropriés dans les systèmes externalisés, afin de garantir que les procédures sont exécutées conformément à la politique de l'entreprise et aux exigences réglementaires applicables. Cette responsabilité demeure celle des dirigeants et, étant donné que l'externalisation implique l'abandon des activités de contrôle au quotidien, ceux-ci doivent pour s'en acquitter adopter des mesures de surveillance et de communication, notamment la certification par des vérificateurs internes et externes.
9. La planification antisinistre est devenue un enjeu important et va le rester, étant donné l'importance cruciale des SI dans beaucoup d'organisations, et les dégâts considérables causés par l'arrêt, même très court, de ces systèmes, qui peut menacer la rentabilité, voire la viabilité de l'entreprise. Les attentats terroristes et certaines catastrophes naturelles, comme les ouragans, ont aussi contribué à rappeler aux entreprises l'importance de se doter de plans antisinistres, et de mettre en œuvre et de surveiller les procédures de reprise des activités.
10. La voix sur IP (VoIP), technologie permettant de transmettre la voix sur Internet, présente des failles de sécurité dont les organisations doivent se préoccuper. Si la qualité actuelle des communications téléphoniques par VoIP n'est pas à la hauteur de ce qu'on est en droit d'attendre, il est néanmoins probable que la technologie va rapidement progresser. Par ailleurs, puisque de grandes sociétés de téléphone, comme Bell Canada et Rogers Communications, ont adopté le protocole VoIP, son utilisation va se répandre, d'autant plus qu'il permet de réduire le coût des communications.
11. La veille stratégique a été un des facteurs importants de l'adoption des affaires électroniques par de nombreuses organisations. Elle consiste à collecter et gérer l'information à l'échelle de l'entreprise afin d'obtenir un avantage stratégique ou de le conserver. Pour de nombreuses organisations, elle représente en outre un défi permanent. Il existe plusieurs logiciels de veille stratégique sur le marché, et un grand nombre d'entreprises s'en sont équipées ces dernières années. Cependant, une veille stratégique efficace requiert au préalable une planification détaillée, afin d'identifier l'information dont on a besoin, les sources d'information et les canaux de communication de l'information. Elle requiert aussi une analyse rapide et une présentation en temps opportun de l'information aux fins de la prise de décisions. Comme dans toute implantation technologique à grande échelle, les plus grandes difficultés proviennent de l'adaptation du personnel au changement, pourtant nécessaire pour pouvoir tirer le maximum d'avantages des nouvelles technologies. Il est également possible que la collecte et l'utilisation de données détaillées que suppose la veille stratégique pose problème en ce qui a trait à la protection des renseignements personnels.
12. La certification de données découle de l'utilisation de technologies comme le langage XBRL (pour eXtensible Business Reporting Language), qui donnent la possibilité d'extraire et de présenter des données individuelles. Le langage XBRL permet d'étiqueter, d'extraire et de présenter des données individuelles ou des groupes restreints de données, comme les ventes, les parts de marché et d'autres indicateurs de performance clés. Une autre technologie similaire est connue sous le nom d'EbXML. Ces technologies soulèvent la question de savoir si la certification est ou sera requise en ce qui a trait à ces données. Des études sont aussi en cours sur la question de savoir si la certification doit être présentée au niveau des données, et comment elle doit l'être.
Autres enjeux
Deux autres enjeux méritent qu'on s'y attarde, même s'ils ne font pas partie du classement ci-dessus. Il s'agit de l'intégration des systèmes et de la gestion du courriel.
L'intégration des systèmes est cruciale dans le contexte de collaboration que supposent les affaires électroniques. Le rôle principal des TI est de soutenir les opportunités et les défis commerciaux avec souplesse et rapidité par l'intégration des systèmes d'exploitation, des applications et des bases de données. Ces dernières années, les entreprises ont surtout axé leur planification stratégique en matière de TI sur l'intégration de la chaîne logistique. De nouveaux outils technologiques ont été élaborés à cette fin et beaucoup d'efforts ont été investis dans l'intégration connexe des processus d'affaires. L'intégration des TI, qui touche un grand nombre d'aspects, demeure un sujet de préoccupation majeur.
L'intégration des systèmes n'est pas limitée à l'entreprise elle-même; elle soulève des interrogations en ce qui a trait à la sécurité et au contrôle, et elle accentue d'autres préoccupations de la direction. Par exemple, de nombreux projets d'envergure en technologies de l'information supposent l'utilisation de solutions provenant de multiples fournisseurs (fournisseurs de matériel informatique, fournisseurs de logiciels, intégrateurs, sous-traitants, etc.) et la participation de nombreuses organisations partageant les systèmes. Les organisations de TI sous-estiment souvent la discipline, les efforts et le discernement requis pour bien gérer ces relations. Certaines font appel à la gestion des partenaires commerciaux pour y arriver. Encore une fois, la question va bien au-delà de la technologie et est essentiellement d'ordre relationnel.
La bonne gestion des courriels est également essentielle. Les gens effectuent des transactions d'affaires par courriel et, en cas d'action en justice, il peut être crucial de pouvoir retracer les messages pour se défendre efficacement. Nombre d'organisations n'ont aucune politique sur la conservation, la gestion et le contrôle des courriels et des pièces jointes, et laissent les individus gérer leurs courriels comme ils l'entendent. Dans le contexte actuel, cette approche se doit d'être mieux encadrée.
Processus et conclusions
Aux fins de la préparation de son classement, le CCTI a consulté un grand nombre de membres de la profession. Après avoir préparé une liste préliminaire des enjeux prioritaires à partir de sa propre liste de projets potentiels et de documents publiés par de nombreux groupes, le comité a demandé aux quatre grands cabinets, ainsi qu'à des cabinets de petite ou moyenne taille préalablement sélectionnés, ce qu'ils en pensaient. Il a également sollicité l'avis des membres du chapitre de Toronto de l'Information Systems Audit and Control Association, des membres de l'Alliance pour l'excellence en TI de l'ICCA (environ 400 spécialistes et abonnés) et celui d'autres parties prenantes au Canada. Enfin, il a recueilli les commentaires de nombreux participants au Colloque canadien sur la vérification, la gouvernance et la sécurité en matière de TI de l'ICCA, qui a eu lieu à Toronto le printemps dernier.
Une copie de la liste préliminaire a été distribuée à toutes ces personnes, et il leur a été demandé de classer les différents enjeux de cette liste, d'ajouter les enjeux qu'elles jugeaient importants et de fournir des observations supplémentaires. Une cinquantaine de réponses ont été reçues. Certains des cabinets consultés ont demandé à leurs membres de participer, ce qui a permis d'élargir la population statistique, sans qu'il soit toutefois possible de l'estimer.
Le CCTI tient à exprimer sa gratitude aux membres de la profession qui ont participé à cette étude, et dont les commentaires lui seront très utiles pour élaborer son propre plan d'action. Le CCTI accueillera avec tout l'intérêt qu'ils méritent les commentaires des lecteurs. Veuillez faire parvenir vos commentaires à research.studies@cica.ca.
Gerald Trites, FCA, CA•CISA, professeur en comptabilité et systèmes d’information à l’Université St. Francis Xavier d’Antigonish (N.-É.), est aussi membre et consultant technique du CCTI.
LIENS CONNEXES
Comité consultatif sur les TI, CICA
L'imposant bilan du CCTI, par Donald Sheehy et David Moore, CAmagazine, janvier-février 2004
Les avantages de l'impartition, CAmagazine, janvier-février 2004
Sous haute surveillance, par Erin R. Kuzz et Rob Colapinto, CAmagazine, novembre 2003
