Dix défis TI

Par Gerald Trites et Andrée Lavigne
Illustration : John Ueland

Chaque année, l’ICCA consulte la profession au sujet des grands enjeux des TI, dans le but d’aider les comptables agréés à faire face aux importants défis qu’ils comportent

En mai, CitiFinancial annonçait qu’une boîte de bandes magnétiques contenant des renseignements personnels sur 3,9 millions de clients avait été perdue lors d’un transfert. En juin 2004, la modification d’un programme informatique entraînait une escalade de problèmes à la Banque Royale du Canada, qui a dû interrompre le service pour ses 10 millions de clients au Canada. Presque chaque mois, les institutions financières et leurs clients sont la cible d’hameçonneurs, qui créent des sites Web et des courriels d’apparence officielle, en vue de recueillir des renseignements personnels pour accéder aux comptes de clients. Dans chaque cas, la défaillance du contrôle des processus et de l’information s’est traduite par des intrusions dans des affaires importantes, une panne des systèmes, la détérioration de la réputation des entreprises et un risque d’action en justice. L’incident à la RBC a confirmé que de bons contrôles de gestion des changements sont tout aussi nécessaires dans le cas d’une mise à jour que pour toute modification de programme. C’est pourquoi le contrôle et la gouvernance en matière de TI sont des enjeux plus déterminants que jamais pour l’ensemble de la haute direction.

Chaque année, le Comité consultatif sur les technologies de l’information (CCTI) de l’ICCA et les membres de la profession se consultent au sujet des enjeux technologiques prioritaires. D’une année à l’autre, les modifications s’expliquent généralement par les événements importants survenus au cours de la période. Par exemple, en raison de la Loi Sarbanes-Oxley (SOX) et des règles visant à rétablir la confiance des investisseurs, les systèmes de gouvernance et de contrôle en matière de TI se classent au premier rang en 2005.

La pleine portée de la mise en application de la Loi SOX a été perçue en 2004, lorsque les sociétés ayant l’obligation de déposer des documents auprès de la Securities and Exchange Commission (SEC) ont commencé à le faire (les sociétés canadiennes cotées sur les bourses américaines sont tenues de déposer des documents auprès de la SEC). L’article 404, qui exige de la direction qu’elle atteste les systèmes de contrôles à l’égard de l’information financière, a une incidence considérable sur les TI, puisque ces systèmes sont lourdement tributaires des TI. Des règles visant à rétablir la confiance des investisseurs ont aussi été mises en application au Canada par les Autorités canadiennes en valeurs mobilières.

Les chefs de la direction et des finances doivent s’assurer qu’on accorde l’attention voulue aux contrôles à l’égard de l’information financière et de la communication de l’information, particulièrement aux contrôles des TI pertinents, qui sont fondamentaux pour la fiabilité et l’intégrité de l’information traitée par les systèmes automatisés. Le fait de négliger ou minimiser leur importance engendre un risque significatif. L’exhaustivité, l’exactitude et la rapidité de diffusion de l’information financière dépendent en grande partie d’un environnement TI bien contrôlé.

Le CCTI a récemment publié Évaluation du contrôle des TI dans le contexte des attestations du chef de la direction et du chef des finances, qui examine l’importance des contrôles des TI à la lumière des récents changements dans la réglementation. Il définit des cadres de contrôle propres aux TI qui sont susceptibles de fournir aux chefs de l’information les indications dont ils ont besoin pour s’assurer que les contrôles des TI appuient les processus d’attestation de leur organisation et améliorent la gouvernance en ce qui a trait aux TI.

La sécurité et le contrôle des systèmes sans fil ont gagné en importance, en raison de l’augmentation de l’utilisation d’assistants numériques pour le courriel, ainsi que des cellulaires, des Pocket PC et des réseaux locaux sans fil, etc. Ces technologies, particulièrement le protocole sans fil le plus répandu, 802.11b, soulèvent des préoccupations sur le plan de la sécurité.

En 2004, la Loi sur la protection des renseignements personnels et les documents électroniques, au fédéral, et des lois provinciales similaires sont entrées en vigueur. Il s’agit d’une question fondamentale, sur laquelle le CCTI a publié plusieurs documents à www.icca.ca/ccti. De nombreux incidents confirment la nécessité pour les organisations de faire preuve de vigilance à cet égard. Mentionnons le cas de la CIBC, qui a été accusée de télécopier des renseignements confidentiels sur des clients à un ferrailleur en Virginie occidentale.

Dans les cas d’action en justice, le courriel permet de retracer les messages, en vue d’une défense efficace. Nombre d’organisations n’ont pas de politique de conservation, de gestion et de contrôle des courriels et fichiers joints, et laissent les individus gérer leurs courriels à leur guise, ce qui est peu recommandable à l’heure actuelle.

Le contrôle des pourriels, qui consiste en des mesures visant à limiter la réception de messages non sollicités, est un aspect important de la gestion des courriels. Bien que des filtres assurent un contrôle des pourriels, ils font perdre du temps aux utilisateurs. Le contrôle des logiciels espions et des virus est un autre aspect de la question. Le logiciel espion permet à des témoins (cookies) et à des outils de surveillance de s’installer dans l’ordinateur d’un utilisateur, afin de collecter de l’information sur ses habitudes de navigation.

Avec l’arrivée des ordinateurs, la planification antisinistre est devenue un enjeu important. Aujourd’hui, les attentats terroristes et les catastrophes naturelles maintiennent cette question au premier plan. Les systèmes d’information sont déterminants dans la plupart des organisations et leur dysfonctionnement peut menacer la rentabilité et la viabilité d’une entreprise.

Le vol d’identité est lié à la gestion des renseignements personnels et on l’inclut souvent dans la protection de la vie privée. Certains, dont le CCTI, estiment toutefois qu’il devrait être traité séparément, en raison des risques de poursuite auxquels il expose une organisation en cas de vol de l’identité de ses employés. En effet, celle-ci pourrait devoir défendre devant les tribunaux ses procédures de contrôle et de protection des renseignements personnels. Le vol d’identité consiste à recueillir des renseignements sur une personne par différents moyens, dont l’hameçonnage, puis à les utiliser pour détourner des fonds.

L’hameçonnage est l’envoi d’un faux courriel qui utilise l’identité d’un établissement connu et demande au destinataire de fournir des renseignements personnels qui pourraient être utilisés pour le vol d’identité. Par exemple, des courriels qui utilisaient l’identité d’au moins deux banques demandaient aux destinataires des renseignements personnels pour maintenir leurs comptes actifs. Des messages semblables ont également touché la société eBay.

L’externalisation des services des TI est de plus en plus utilisée pour aider les entreprises à contrôler les coûts, mais elle est synonyme d’enjeux importants en matière de gestion. Elle consiste à déléguer à des tiers certaines activités tout en en gardant la responsabilité. Les gestionnaires doivent donc adopter des mesures pour continuer à s’acquitter de leurs responsabilités. En outre, il peut être difficile pour les gestionnaires d’attester la conformité aux exigences de la Loi SOX, en ce qui concerne les systèmes de contrôle interne, lorsque certains ou tous leurs systèmes sont externalisés. Le CCTI a publié un dossier d’information traitant de cette question sur son site Web, ainsi que la brochure 20 Questions que les administrateurs devraient poser sur l’externalisation des services des technologies de l’information, également disponible sur son site.

Le protocole VsPI permet de transmettre la voix sur Internet et semble devenir un courant important. De grandes sociétés comme Bell Canada sont en voie de l’adopter mais, en raison des technologies utilisées pour convertir et transmettre les données numériques, il soulève des questions en matière d’intégrité et de sécurité.

Les procédés d’identification par radio-fréquence (RFID) ont fait une percée spectaculaire. D’abord un moyen d’étiqueter des pièces et des produits afin de mieux contrôler la disponibilité et les mouvements des stocks, ils ont des répercussions importantes sur les systèmes, car les mouvements enregistrés peuvent constituer la base des entrées dans les systèmes d’information pour la fabrication et le commerce de détail. L’utilisation de la RFID a notamment servi au suivi des nombreuses pièces installées dans le nouvel Airbus A380.

La Loi SOX, mentionnée ci-dessus, contient des exigences de révision de toutes les déclarations qu’elle reçoit sur une période de trois ans. Ces exigences représenteront une augmentation substantielle du travail de révision de la SEC, qui drainera ses ressources de façon significative. En conséquence, la SEC est à la recherche de nouvelles technologies pour l’aider à automatiser les déclarations. En octobre 2004, la SEC a présenté le projet de règle 33-8496, qui permettrait aux sociétés inscrites de déposer sur une base volontaire certains documents en XBRL (eXtensible Business Reporting Language). Ce projet, qui depuis a été mis sur pied, accroîtra l’importance de XBRL. Les autorités de réglementation canadiennes ne lui ont pas encore donné suite, mais elles examinent le programme américain que certaines sociétés canadiennes sont appelées à suivre. XBRL est un exemple probant de la méthode d’étiquetage adoptée par la SEC et d’autres autorités de réglementation. Il donne la possibilité d’étiqueter, d’extraire et de présenter des données individuelles ou groupées (ventes, parts de marché, etc.). L’initiative de la SEC visant l’utilisation volontaire de XBRL pour la présentation des informations devrait favoriser son adoption par les sociétés cette année. Une autre question liée à XBRL est de savoir si une assurance doit être fournie au niveau des données, et comment elle doit l’être.

Voici d’autres enjeux identifiés par le CCTI et les experts consultés :

• L’architecture orientée services (SOA) met en œuvre des connexions en couplage lâche entre divers composants logiciels (ou agents) au moyen de petites interfaces et de messages simples. Un service est ici un ensemble de tâches groupées et transmises sur le Web ou sur un réseau. Généralement, ces services sont liés à des données codées en XML (eXtensible Markup Language), langage sur lequel repose XBRL. La SOA permet l’intégration des systèmes dans les organisations, par l’intermédiaire des services reliés entre eux. Toutefois, la qualité des services basés sur la SOA peut varier.
• La veille stratégique, enjeu important et parfois permanent du commerce électronique pour nombre d’entreprises (toutefois peu élevé dans le classement 2005), consiste à collecter et gérer l’information à l’échelle de l’entreprise afin d’obtenir un avantage stratégique ou de le conserver.
• La détection d’intrusions sur le réseau et les correctifs à y apporter ont pris de l’importance, parce que les entreprises s’appuient de plus en plus sur les réseaux et que les pirates informatiques cherchent de plus en plus à pénétrer les systèmes d’information. La solution passe par la technologie et l’adoption de politiques et procédures de sécurité qui permettront de détecter rapidement les intrusions et d’y remédier.
• L’intégration des TI Dans le milieu coopératif du commerce électronique, le rôle principal des TI réside dans leur capacité à intégrer les systèmes d’exploitation, les applications et les bases de données, afin de soutenir les opportunités et défis commerciaux des entreprises. Celles-ci ont surtout axé leur planification stratégique en matière de TI sur la façon d’intégrer la chaîne logistique. De nouveaux outils technologiques existent à cette fin, et de nombreux efforts ont été investis dans l’intégration des processus d’affaires.
• Les méthodes d’authentification des utilisateurs constituent toujours un enjeu majeur, dans l’optique de la sécurité des systèmes TI. L’utilisation de technologies plus poussées, dont la numérisation d’informations biologiques, a rendu ces méthodes plus complexes. Avec l’arrivée du commerce électronique, les techniques d’authentification se sont largement répandues. Diverses techniques de chiffrement sont d’usage courant et l’utilisation de la biométrie est en hausse. Par exemple, le nouvel ordinateur portable T42 d’IBM est doté d’un lecteur d’empreintes digitales servant à en autoriser l’accès. Il est fort probable que ce type d’approche se répande, peut-être même aux cartes de débit et aux guichets automatiques.
• La sécurité des infrastructures de commerce électronique couvre l’ensemble des technologies, procédures et structures nécessaires au commerce sécurisé. Il n’existe pas de définition claire de l’infrastructure de commerce électronique, ni de la façon de la sécuriser. Un projet du CCTI visant l’élaboration d’une définition est presque achevé. Il est généralement reconnu que la planification et l’organisation de la sécurité doivent se faire à l’échelle de l’entreprise, car les entreprises ont intégré les activités de leur chaîne logistique au moyen de systèmes d’information et d’Internet.

Certains des participants à un colloque de l’ICCA sur les TI ont mentionné la sensibilisation du conseil et de la direction, ainsi que la mise en œuvre de politiques et de procédures en matière de TI, à titre d’enjeu important. Bien que cette question soit étroitement liée à celle des systèmes de contrôle et de gouvernance en matière de TI, les participants ont estimé qu’elle devait faire l’objet d’une attention particulière, traduisant sans doute une préoccupation quant à la mesure dans laquelle le conseil et la direction sont véritablement au courant des questions liées aux TI, et à la nécessité de remédier à cette situation, notamment par de la formation ou des écrits. C’est dans cette optique que le CCTI a commencé à publier ses dossiers d’information.

Un autre enjeu est ressorti dans nos sondages : l’utilisation de cartes à puce pour effectuer des opérations, notamment des paiements. Ces cartes sont moins répandues en Amérique du Nord qu’en Europe et en Asie, mais leur utilisation semble vouloir s’accroître. Il est essentiel qu’elles soient très sécuritaires, surtout lorsqu’elles sont utilisées pour effectuer des paiements.

Dans le processus de confection de sa liste, le CCTI s’emploie à trouver des enjeux nouveaux et uniques, notamment ceux qui ont trait au risque et au contrôle. La vitesse à laquelle une technologie est lancée, les dommages qui pourraient résulter d’une défaillance, et de nouvelles dispositions législatives ou réglementaires, entrent aussi dans le processus de prise de décisions.

Après avoir consulté de nombreux membres de la profession, le CCTI a préparé une liste préliminaire d’enjeux et recueilli les commentaires des membres de l’Alliance pour l’excellence en TI de l’ICCA (environ 400), ceux d’autres parties prenantes et de participants au Colloque canadien sur la vérification, la gouvernance et la sécurité en matière de TI de l’ICCA. Une copie de cette liste a été distribuée à tous ceux qui ont été consultés, et on leur a demandé de classer les enjeux de cette liste, d’ajouter ceux qu’ils jugeaient importants et de fournir leurs observations. Environ 50 réponses ont été reçues.

Le CCTI est heureux de recevoir vos commentaires. Il espère que la liste d’enjeux pourra aider dans leur travail les membres de la profession et accueillera avec intérêt tout commentaire à research.studies@cica.ca.

Gerald Trites, FCA, CA•CISA, est professeur à la St.Francis Xavier University d’Antigonish (N.-É.), et membre et consultant technique du CCTI. Andrée Lavigne, CA, est directrice de projets au Service des monographies de l’ICCA et fournit un appui au CCTI.

LIENS CONNEXES

12 enjeux pour les TI, par Gerald Trites, CAmagazine, septembre 2004

Sécurité des TI, par Chris Anderson, CAmagazine, septembre 2004

L'imposant bilan du CCTI, par Donald Sheehy et David Moore, CAmagazine, janvier-février 2004