FINANCES PERSONNELLES
+ L’achat d’une propriété aux États-Unis
+ Inquiétudes post-emploi
+ Plus
PME
+ En mode survie
+ 10 services valeur ajoutée
+ Marchés étrangers
+ La juste evaluation
+ Faire croître ma PME
+ Vos actifs à la rescousse
+ Plus
IFRS et ISA
+ Sept normes côte à côte
+ Normes canadiennes d'audit
+ Pour réussir le passage obligé
+ Plus
TECHNOLOGIES
+ Systèmes CRM
+ Gestion de performance
+ Enquête 2011 sur les logiciels
+ Plus
LIEU DE TRAVAIL
+ Profession plurielle
+ La RSE : vraiment gagnante
+ Santé et productivité
+ Prévention de la fraude
+ CV chronologique gagnant
+ Gare aux fausses notes
+ Générations et objectifs
+ Les primes gardent la cote
+ Plus
ÉTUDIANTS CA
+ Certifié entreprise
+ Destination: CA
EXPERTISE
+ Les prix de transfert
+ Plus
+ Informations et contacts
RSS
+ Recevez les nouvelles qui vous intéressent
NOUVELLES EN LIGNE
+ Notre cyberlettre mensuelle
Dix enjeux techno
Par Gerald Trites et Andrée Lavigne
Illustration : John Ueland
Quels sont les points chauds en technologie? Le Comité technologie de l’ICCA vous a sondés pour le savoir. Voici ce que vous avez répondu.
Sécurité et contrôle en matière de technologies de l’information continuent de faire la manchette et le vol d’identité constitue une menace de plus en plus importante. C’est aussi le cas des courriels hameçons, qui visent à nous attirer sur un site Web imitant celui d’une institution avec laquelle nous faisons affaire. Par exemple, en décembre 2005, des clients de Wal-Mart ont reçu un tel courriel et, lorsqu’ils cliquaient sur le lien joint, ils étaient dirigés vers un site Web hébergé aux États-Unis, où on les invitait à fournir des renseignements pour les détourner à des fins malhonnêtes.
Selon un sondage de l’Anti-Phishing Working Group, ce type d’activité connaît une hausse alarmante.
Cette année encore, le Comité consultatif sur les technologies de l’information (CCTI) de l’ICCA a consulté les membres de la profession sur les enjeux technologiques prioritaires, afin de présenter les résultats dans CAmagazine. L’objectif est d’attirer l’attention des membres sur des questions d’importance liées aux technologies. À cet égard, la protection des renseignements personnels et la sécurité demeurent des questions préoccupantes.
Les deux premiers enjeux de la liste de 2006 découlent de la Loi Sarbanes-Oxley(SOX) et des règles visant à rétablir la confiance des investisseurs, ce qui fait ressortir les répercussions considérables qu’elles continuent d’avoir sur la profession, même si leur mise en œuvre a commencé en 2002. Les enjeux sont classés selon leur ordre d’importance (voir l’encadré).
La Loi SOX aux États-Unis est considérée par certains comme étant la loi sur les valeurs mobilières la plus importante depuis la Securities Act de 1933, qui a constitué la Securities and Exchange Commission. Certes, elle a transformé la gouvernance d’entreprise aux États-Unis, mais également partout dans le monde.
De nombreuses entreprises canadiennes déposent des documents auprès des autorités de réglementation des États-Unis et doivent par conséquent se conformer à la Loi SOX. Les Autorités canadiennes en valeurs mobilières ont publié en 2004 des règles similaires, qui s’alignent sur les exigences de la Loi SOX mais s’adressent aux sociétés canadiennes. Ces règles exigent des chefs de la direction et des chefs des finances qu’ils approuvent les contrôles internes, y compris les contrôles des TI.
Qui plus est, de nouvelles normes de vérification exigent que le vérificateur acquière une compréhension du système d’information (y compris les processus connexes) pertinent pour l’information financière, ainsi qu’une compréhension suffisante des activités de contrôle pour lui permettre d’apprécier les risques d’inexactitudes importantes au niveau des assertions et de la manière dont l’entité a répondu aux risques découlant des TI. Or, pour se conformer aux nouvelles normes et exigences réglementaires, les sociétés doivent s’efforcer de bien comprendre leurs systèmes de contrôle et trouver des façons de les évaluer, ce qui pèse lourd sur les ressources d’un grand nombre d’entre elles.
De plus, la profession est confrontée au fait que les contrôles n’ayant pas occupé une place aussi importante dans la vérification depuis de nombreuses années, le nombre de professionnels maîtrisant l’utilisation des contrôles n’est pas suffisant et le nombre de professionnels maîtrisant les subtilités des contrôles des TI est encore plus faible. Cette situation a guidé notre choix des deux premiers enjeux technologiques pour 2006 : 1) la nécessité d’améliorer l’expertise en matière de contrôles des systèmes de TI au sein de la profession; et 2) la nécessité d’avoir des outils d’aide à la conformité aux règles visant à rétablir la confiance des investisseurs et à la Loi SOX.
Le deuxième enjeu découle du fait que les nouvelles règles et lois mentionnent l’utilisation de cadres appropriés d’appréciation des systèmes de contrôle. Généralement, le Committee of Sponsoring Organizations (COSO) de la Treadway Commission des États-Unis constitue la principale source de référence. Ce comité a publié un rapport sur les systèmes de contrôle, qui propose un cadre pratique, mais ne traite pas des contrôles des TI. Pour combler cette lacune, on mentionne aussi le cadre de contrôle CoBIT de l’Information Systems Audit and Control Association et la publication de l’ICCA intitulée La gestion du contrôle de l’informatique. Il devient nécessaire de disposer de bons outils automatisés facilitant l’utilisation de ces cadres pour analyser les systèmes et ainsi permettre le respect des nouvelles règles et lois.
La gestion des courriels constitue le troisième enjeu prioritaire. On utilise souvent le courriel pour conclure des ententes commerciales et, en cas de poursuite, il peut être crucial de pouvoir retracer les messages. De nombreuses organisations n’ont tout simplement aucune politique de gestion des courriels. Une approche aussi informelle est insuffisante, surtout avec la multiplication des pourriels. L’utilisation de logiciels espions et antivirus est un autre aspect de la gestion des courriels. Le logiciel espion permet d’identifier les témoins (cookies) et les petits outils de surveillance qui, lorsqu’un utilisateur visite un site Web, s’installent sur son ordinateur afin de recueillir de l’information sur ses habitudes de navigation.
Les méthodes d’authentification demeurent un enjeu majeur, parallèlement à la sécurité des systèmes de TI. L’utilisation de technologies poussées, dont la numérisation d’informations biologiques, a rendu ces méthodes plus complexes. Depuis l’arrivée du commerce électronique, les techniques d’authentification se sont beaucoup élargies, y compris les techniques de chiffrement permettant de produire des signatures et certificats numériques ainsi que les infrastructures de clé publique (ICP), qui permettent de conserver et de gérer les paires de clés publiques ou privées utilisées pour le chiffrement.
L’externalisation des TI fait maintenant partie intégrante des affaires, et l’émergence de l’externalisation internationale des services de TI donne l’impression que des emplois sont perdus au profit d’autres pays. L’externalisation d’activités, liées ou non aux TI, est également synonyme d’enjeux importants en matière de gestion. Elle consiste à déléguer à des tiers certaines activités, comme la programmation ou certains processus automatisés, tout en gardant la responsabilité de ces activités. Cela suppose, par conséquent, que les dirigeants prennent les mesures nécessaires pour s’assurer que leurs responsabilités continuent d’être acquittées. En outre, en contexte d’externalisation, il peut être difficile pour les dirigeants d’attester la conformité de leurs systèmes de contrôle interne aux exigences de la Loi SOX.
La protection des renseignements personnels et le vol d’identité sont pour plusieurs au premier plan des préoccupations, surtout depuis l’entrée en vigueur de la loi fédérale sur la protection des renseignements personnels et de lois provinciales similaires. La fréquence des vols d’identité et l’inquiétude qu’ils suscitent ont connu une croissance rapide. Le rapport de décembre 2005 de l’Anti-Phishing Working Group fait état de 15 244 cas d’hameçonnage pour ce seul mois et de l’existence de 7 197 sites d’hameçonnage.
La sécurité des infrastructures de commerce électronique couvre l’ensemble des technologies, processus et structures nécessaires au commerce sécurisé en ligne. Il est reconnu que la planification et l’organisation de la sécurité doivent se faire à l’échelle de l’entreprise. Le commerce électronique a conduit les entreprises à intégrer les activités de leur chaîne logistique au moyen de technologies d’entreprise et d’Internet. Afin de relever ces défis, elles doivent s’assurer que les procédures de sécurité mises en place soutiennent sans la compromettre cette intégration qui leur est indispensable pour être concurrentielles dans le monde des affaires en ligne.
La planification antisinistre est un enjeu important depuis l’arrivée des ordinateurs. Elle va le rester, étant donné l’importance des systèmes d’information et les dégâts considérables susceptibles d’être causés par un arrêt de ces systèmes, qui peut menacer la rentabilité et la viabilité de l’entreprise. Les catastrophes naturelles et les attentats terroristes ont aussi contribué à rappeler l’importance des plans antisinistres, ainsi que de la mise en œuvre et la surveillance des procédures de reprise des activités.
La sécurité et le contrôle des systèmes sans fil ont gagné en importance, en raison de l’utilisation croissante d’appareils comme le BlackBerry, les téléphones cellulaires, les réseaux locaux sans fil, etc. Les réseaux locaux sans fil, en particulier ceux qui utilisent le protocole 802.11b (ou WiFi), sont souvent utilisés dans l’entreprise.
La détection d’intrusions sur le réseau et les actions concertées à l’échelle de l’entreprise pour traiter ce problème ont pris de l’importance, parce que les entreprises s’appuient de plus en plus sur les réseaux et que les pirates informatiques sont de plus en plus actifs. La solution ne passe pas exclusivement par la technologie mais aussi, comme pour les réseaux sans fil, par l’adoption de politiques et procédures de sécurité permettant de détecter rapidement les intrusions et de prendre les mesures appropriées. Certaines organisations font appel à des professionnels qui, par la voie du piratage éthique ou de tests d’intrusion, identifient les faiblesses des systèmes.
En plus des 10 enjeux prioritaires, en voici d’autres, découlant des discussions.
La gestion des correctifs est un enjeu de plus en plus important, car de nombreux fournisseurs postent maintenant sur Internet les mises à jour et correctifs de leurs logiciels, qui peuvent être téléchargés et installés par un grand nombre de personnes dans l’organisation. Cela peut entraîner une certaine confusion et une instabilité des systèmes si un contrôle adéquat de l’installation n’est pas appliqué.
La voix sur IP (VoIP), protocole permettant de transmettre la voix sur Internet, présente aussi des failles de sécurité, dont le SPIT (spam over Internet telephony). Si on ne s’y attaque pas, il pourrait miner la viabilité de la téléphonie sur IP. C’est une chose d’avoir 25 pourriels dans notre boîte de réception, mais imaginons les problèmes qu’entraînerait la présence de 25 SPIT dans notre messagerie vocale et le temps nécessaire pour s’en débarrasser. Si la qualité des communications par VoIP ne répond pas encore aux attentes, il est néanmoins probable qu’elle s’améliorera. Par ailleurs, les grands du téléphone comme Bell l’ayant adoptée, son utilisation va se répandre, d’autant plus qu’elle permet de réduire les coûts des communications.
La nécessité d’intégrer des systèmes et des données est un enjeu qui implique l’utilisation d’applications d’intégration (les systèmes ERP) et de technologies d’intégration (les langages XML et XBRL). XBRL (eXtensible Business Reporting Language) est un exemple probant de la méthode d’étiquetage adoptée par la SEC et d’autres autorités de réglementation. Il donne la possibilité d’étiqueter, d’extraire et de présenter des données individuelles ou groupées.
La veille stratégique est l’un des facteurs importants de l’adoption du commerce électronique. Elle consiste à recueillir et gérer l’information à l’échelle de l’entreprise afin d’obtenir ou de conserver un avantage stratégique et, pour de nombreuses organisations, elle représente un défi permanent. Il existe plusieurs logiciels de veille stratégique sur le marché. Cependant, une veille stratégique efficace requiert une planification détaillée, afin d’identifier l’information dont on a besoin, les sources d’information et les canaux de communication de l’information. Elle requiert aussi une analyse rapide et une présentation en temps opportun de l’information aux fins de la prise de décisions. Comme dans toute implantation technologique à grande échelle, les plus grandes difficultés proviennent de l’adaptation du personnel au changement. Actuellement, dans la plupart des organisations, c’est l’enjeu principal de la veille stratégique.
Les procédés d’identification par radiofréquence (RFID) font une percée spectaculaire. D’abord un moyen d’étiqueter des pièces et produits afin de mieux contrôler les stocks, leur utilisation s’est généralisée, notamment pour suivre des pièces installées dans des produits. Des chercheurs ont découvert qu’il était possible de placer un virus informatique dans une étiquette RFID, ce qui pourrait entraîner des répercussions importantes. Par exemple, les aéroports pourraient utiliser ces étiquettes pour accélérer la manutention des bagages. Si une étiquette infectée était apposée sur un bagage, l’ensemble du système pourrait être perturbé. La mise en œuvre de systèmes RFID devrait donc s’accompagner de contrôles de sécurité appropriés.
La gestion des droits numériques est un ensemble de procédures qui vise la protection de la propriété intellectuelle numérique. Elle comprend entre autres la protection par droits d’auteur et brevets, et le contrôle de l’utilisation non autorisée de contenu numérique. La croissance des technologies et des éléments de propriété intellectuelle qui les accompagne peut représenter un avantage stratégique considérable. En conséquence, la bonne gestion des droits numériques constitue un volet important de la stratégie d’entreprise.
Dans le processus que suit le CCTI, des éléments fondamentaux demeurent, mais il s’emploie également à trouver des enjeux nouveaux et uniques, qui ont notamment trait au risque et au contrôle. La vitesse à laquelle une technologie est lancée, les dommages qui pourraient résulter d’une défaillance et les nouvelles dispositions législatives ou réglementaires d’importance sont des facteurs aussi pris en compte.
Après avoir consulté des membres de la profession, le CCTI a préparé une liste préliminaire d’enjeux, à partir de la liste de 2005, de sa propre liste et de documents publiés par d’autres groupes. Il a ensuite sollicité les commentaires des membres de l’Alliance pour l’excellence en TI de l’ICCA et d’autres parties prenantes au Canada, de même que de participants au Colloque canadien sur la vérification, la gouvernance et la sécurité en matière de TI de l’ICCA. La liste préliminaire des enjeux a été distribuée à toutes ces personnes, à qui on a demandé de les classer, d’ajouter les enjeux qu’ils jugeaient importants et de fournir des observations. Le CCTI remercie les membres de la profession qui ont rempli les formulaires. Espérant que la liste des enjeux contribuera à aider d’autres membres de la profession, le CCTI accueillera avec grand intérêt les commentaires des lecteurs à l’adresse research.studies@cica.ca.
Les enjeux prioritaires
|
Gerald Trites, FCA, CA•CISA, enseigne à la St.Francis Xavier University d’Antigonish (N.-É.). Andrée Lavigne, CA, est directrice de projets, Monographies, à l’ICCA.
