septembre 2007 — ÉDITION IMPRIMÉE    
 
Contenu
   
 

Dix enjeux à surveiller

Par Gerald Trites & Andrée Lavigne
Illustration : Lasse Skarbövike

Comme chaque année, le CCTI de l’ICCA a sondé des CA afin de connaître leurs préoccupations face aux technologies de l’information. Voici un tour d’horizon de leurs priorités.

Qu’est-ce que le squattage? Chacun a sa propre dÉfinition, y compris dans le monde de la technologie. Parfois appelé «usurpation de site», le typosquattage consiste à acheter une adresse URL comportant un nom de domaine approchant celui d’une société ou d’une organisation réputée. Le but visé est d’attirer sur le site les internautes qui font des fautes de frappe lors de l’entrée d’un nom de domaine populaire, ce qui génère des revenus publicitaires. Il s’agit d’une forme de cybersquattage. Selon l’Organisation mondiale de la propriété intellectuelle (OMPI), en 2006, les litiges liés au cybersquattage ont augmenté de 25 % par rapport à 2005. Il s’agit de la plus récente d’une multitude d’arnaques qui affligent le monde du commerce électronique et des technologies.

Le Comité consultatif sur les technologies de l’information (CCTI) de l’Institut Canadien des Comptables Agréés (ICCA) mène un sondage annuel sur les questions les plus importantes qui se posent à la profession dans ce domaine.

Chaque année, de nouveaux problèmes comme le typosquattage apparaissent et les thèmes liés au vol d’identité et à la protection des renseignements personnels figurent au haut de la liste. Cette année ne fait pas exception.

On a noté plusieurs incidents liés au vol d’identité, découlant de la perte de données personnelles confidentielles. En janvier, la société TJX Co., des États-Unis, annonçait que les données relatives aux cartes de crédit de millions de Canadiens qui avaient magasiné chez Winners et HomeSense avaient été volées. En quelques jours, on faisait état de vols d’identité au Massachusetts, qui étaient directement liés aux données volées chez TJX.
Au même moment, la Banque CIBC a admis que les données personnelles de 470 000 clients du fonds commun de placement Talvest avaient été perdues. Et en mars, l’Hôpital pour enfants malades de Toronto s’est fait voler un ordinateur portable. Il contenait des données confidentielles sur 2 900 patients, ce qui a donné lieu à des appels au renforcement des mesures de sécurité de la part du commissaire à la protection de la vie privée de l’Ontario. De nombreux autres incidents ont fait la manchette.

Le vol d’identité constitue un problème très grave qui entraîne une vive anxiété, et souvent des pertes financières pour les victimes. Mais il y a d’autres problèmes.

Les dix enjeux en matière de TI en 2007

  1. Les connexions sans fil
  2. L’attestation des contrôles informatiques
  3. La protection des renseignements personnels
  4. Les ressources et compétences en matière de TI
  5. La délocalisation
  6. Le leadership efficace en matière de TI
  7. La propriété et l’intégrité des données
  8. La confiance du public
  9. La certification dans les entités faisant appel à des organismes de services
  10. L’essoufflement lié au processus législatif

Connexions sans fil

Au cours de la dernière année, l’utilisation et la capacité de stockage de données des réseaux sans fil, tout comme des appareils sans fil tels que les Blackberry, les téléphones multifonctionnels et même les téléphones cellulaires ordinaires, ont augmenté. Des appareils portables sans fil ont également permis aux organisations de communiquer des données vocales et textuelles, des fichiers et des images de manière instantanée, ce qui comporte des avantages, tout en accroissant la diversité des données communiquées et en aggravant les problèmes d’intégrité. L’utilisation de ces appareils a élargi de manière efficace les réseaux d’entreprise, menant à ce que certains ont appelé des réseaux infinis. La sécurité de la technologie sans fil devient sans contredit un problème crucial, à mesure que le déploiement de ce type d’infrastructure par les entreprises et leur personnel se poursuit.

Le fait que, souvent, l’entreprise ne soit pas propriétaire des nouveaux appareils sans fil constitue l’une des raisons de ce problème, tout en compliquant la gestion de la sécurité. Les conséquences sont la perte et le vol de données ainsi que la perte de leur intégrité. Les organisations ont de la difficulté à déterminer où commence et où finit la responsabilité de l’intégrité des données et de la protection des renseignements personnels, zone grise dans ce domaine.

Attestation des contrôles informatiques

L’information sur les contrôles a imposé un lourd fardeau à la direction de nombreuses organisations. Certains répondants ont indiqué que les normes de certification actuelles ne comblent pas adéquatement les besoins des entreprises d’attester l’existence de même que l’efficacité de contrôles informatiques pertinents.

Tout comme les investisseurs et les propriétaires d’entreprises exigent des états financiers vérifiés, il existe un besoin de contrôles informatiques vérifiés. Certaines technologies et techniques de gestion nouvelles rendent le contrôle des processus informatiques plus difficile.

L’architecture orientée services (SOA) constitue un bon exemple de ce type de technique de gestion, en raison de la mesure dans laquelle les entreprises l’intègrent dans leur infrastructure.

Le problème a trait au fait que les entreprises peuvent mettre en œuvre des projets de SOA sans en comprendre pleinement l’incidence sur le contrôle et les risques d’entreprise connexes.

Le protocole VoIP (voix sur IP), par exemple, entraîne des risques de non-contrôle considérables et indéfinis. Cette technologie est mise en œuvre à grande échelle. Étant donné que les risques de piratage s’étendent aux communications, nous assisterons sans doute, en 2007, à des incidents qui n’ont pas été pris en compte dans le cadre de l’examen des risques et du contrôle. Enfin, les contrôles sur les processus impartis ou délocalisés représentent un enjeu important.

Comme l’a relevé un répondant, «l’impartition comporte de nombreux risques; c’est l’organisation qui en est responsable et non le fournisseur de services. Les directions d’entreprises ne disposent pas d’indications professionnelles ou commerciales suffisantes pour concevoir des contrôles efficaces et veiller à leur fonctionnement, en vue d’assumer la responsabilité et la gestion de tous les aspects de l’impartition.»

Ces facteurs compliquent non seulement l’attestation des contrôles, mais rendent difficile l’identification des risques sur lesquels les contrôles doivent être fondés.

Protection des renseignements personnels

La question de la protection des renseignements personnels est très étroitement liée à celle de la sécurité et des contrôles. On ne peut protéger les renseignements lorsqu’il y a absence de contrôles appropriés pour prévenir les accès non autorisés. Les normes en la matière exigent que la collecte de renseignements se limite aux seuls renseignements nécessaires à une fin déterminée et au maintien de leur intégrité, afin qu’ils demeurent hors d’atteinte des voleurs d’identité et des fraudeurs. Le respect de la loi sur la protection des renseignements personnels est un enjeu de plus en plus important.

C’est le cas en particulier parce que les entreprises prennent de l’expansion à l’échelle mondiale et sont soumises aux lois de nombreux pays en la matière.

Les lois varient considérablement d’un pays à l’autre et c’est souvent un défi de taille que d’en comprendre les exigences, d’élaborer des systèmes pour en assurer le respect et de demeurer au fait de l’évolution de ces exigences.

Ressources et compétences en matière de TI

Les mouvements d’effectifs exacerbent la difficulté de recruter des employés compétents pour gérer et administrer les systèmes de TI. Il est difficile de remplacer ceux qui prennent leur retraite puisqu’il manque de jeunes candidats possédant les compétences requises.
Comme l’indiquait un répondant, «il est difficile de planifier la relève en raison du manque de professionnels chevronnés dans le domaine des systèmes financiers, surtout en information financière et réglementaire dans le secteur bancaire».

Un autre répondant a noté qu’il est pratiquement impossible de trouver des candidats possédant les compétences caractéristiques d’un chef de l’information (stratégie, planification, réseautage d’affaires et mise en place de solutions techniques à des besoins d’affaires).

Les départs à la retraite sont une autre source de problèmes. Toutes les organisations ont des employés que les autres consultent en raison de leur expérience. Ils sont les dépositaires de l’histoire et du savoir de l’organisation. Lorsqu’ils partent, ils laissent un vide dans la «mémoire institutionnelle». La pénurie de compétences a mené à une impartition accrue des fonctions des systèmes, comportant son lot de problèmes. Les entreprises peuvent impartir des fonctions, mais non des responsabilités. Il leur est souvent difficile de maintenir et de surveiller la qualité des services en cas d’impartition, surtout lors de délocalisation.

Les exigences de la Loi Sarbanes-Oxley et les règles sur la confiance des investisseurs au Canada ajoutent à la pression, qui augmentera si les exigences sont élargies pour englober l’efficacité du contrôle interne en information financière.

Les solutions semblent reposer sur une meilleure planification de la relève, l’engagement de retraités à titre de consultants en période de transition, une meilleure formation universitaire sur les technologies nécessaires en affaires et les systèmes d’information en général.

Délocalisation

La tendance durable à la délocalisation pose plusieurs défis. Un répondant a décrit l’une des difficultés comme suit : «Les données stockées dans d’autres pays deviennent plus importantes à mesure que les applications de nouvelle génération adoptent des normes ouvertes afin de faciliter l’interopérabilité des données entre les applications. En outre, les entreprises se tournent de plus en plus vers des solutions d’impartition [c’est-à-dire vers l’hébergement ou le service de «fourniture de logiciels»] et/ou vers des applications d’instance uniques à l’échelle mondiale.»

La notion d’accès aux données est cruciale et, dans les organisations d’envergure internationale, la seule solution à ce problème est l’utilisation de normes ouvertes.

C’est l’un des domaines dans lesquels on sait que le langage XBRL (pour eXtensible Business Reporting Language) donne d’excellents résultats.

Leadership efficace en matière de TI

Certains répondants ont fait mention de la nécessité d’un leadership efficace en matière de TI.

Cela touche plusieurs aspects, soit la justification et l’orientation du choix d’options informatiques, la correspondance entre les stratégies d’affaires et de TI ainsi que la mise en œuvre et le fonctionnement de contrôles informatiques efficaces. Le leader efficace est en mesure de juger des priorités commerciales en fonction des risques, et il s’agit d’une compétence rare. L’un des aspects de cet enjeu a trait au rôle de la gestion de projet, qui est considéré comme important.

Les répondants ont le sentiment que bien que la discipline de la gestion de projet repose sur un référentiel imposant et croissant, son applicabilité aux projets de TI est souvent sous-estimée.

De plus, il n’existe pas de référentiel ni de méthodologie adéquats pour évaluer l’existence et l’efficacité du fonctionnement des contrôles sur la gestion de projet. Les systèmes de progiciels de gestion intégrés (ERP) constituent un autre aspect de la gestion des TI qui pose des difficultés.

Un répondant a ainsi exposé la situation : «Je crois que la valeur d’un système ERP intégré et géré adéquatement sera évidente en 2008 lorsque les entreprises tireront parti des contrôles des applications et des exigences réduites, découlant de l’application de contrôles de l’efficacité, plutôt que de procédés de corroboration étendus.»

Les répondants ont le sentiment qu’en matière d’ERP, l’adoption de processus ne constitue plus le principal défi. L’adaptation de ces processus et le fait de s’assurer qu’ils sont appropriés pour l’organisation sont beaucoup plus importants. Les fonctions de TI doivent donc continuer de relever le défi d’œuvrer hors de leur champ de compétences technique traditionnel.

Cela indique sans doute un besoin de sensibilisation et de formation accru du personnel de TI. «L’extraction des données est l’un de ces aspects qui exigent souvent une combinaison d’expertise technique et d’expertise fonctionnelle. Permettre aux utilisateurs finaux d’extraire les données au moment et de la façon qui leur conviennent est l’une des notions clés en matière de veille stratégique. Fini le temps où l’aide technique consistait à extraire des données. Nous devrions nous employer à combler l’écart entre ces deux types d’expertise, afin de permettre une prise de décisions plus rapide et plus éclairée, et de focaliser les TI sur davantage d’activités à valeur ajoutée», a affirmé un répondant.

Un autre commentaire intéressant portait sur les correctifs à apporter aux faiblesses des informations communiquées dans les rapports de gestion, et qui exigeront une collaboration des dirigeants et des services de TI au sujet des questions relatives à ce secteur d’activité. On a proposé qu’un groupe relevant du conseil d’administration se penche sur ces questions.

Propriété et intégrité des données

On constate un intérêt renouvelé pour les données dans le monde des TI. Les données créées dans différentes parties d’une organisation circulent plus facilement et plus fréquemment, et sont plus accessibles pour les utilisateurs. Par ailleurs, avec la croissance en flèche de l’informatique-utilisateur, les contrôles sur les données se sont détériorés, d’où une incidence négative sur l’intégrité des données.

Le traitement de l’information repose essentiellement sur les données. Lorsqu’on ne peut avoir confiance dans leur intégrité, les autres contrôles informatiques deviennent inefficaces. Ces tendances entraînent des problèmes liés à la propriété des données et à leur intégrité, en plus d’amener les gestionnaires de TI à revoir la question de la propriété et à établir des normes à jour dans ce domaine. Le Comité consultatif de l’ICCA sur les technologies de l’information (CCTI) a commandé un projet de recherche qui visera à identifier les contrôles pouvant être utilisés pour assurer l’intégrité de l’information, de manière à fournir des indications pratiques aux gestionnaires et aux vérificateurs.

Confiance du public

La question de la baisse de confiance du public à l’égard des données n’est pas tout à fait étrangère à celle de l’intégrité des données. Il ne fait pas de doute que ce phénomène découle en partie de la publicité entourant les pertes de données et les violations de la vie privée.

De bonnes mesures de sécurité et des contrôles solides sont les meilleures armes face à ce problème. Il mérite toutefois d’être traité séparément, en raison de la nécessité, pour les membres des services des TI, mais peut-être surtout, pour les hautes directions et les instances de gouvernance, de se pencher sur la question de la confiance. Les solutions passent obligatoirement par le financement, les ressources et les politiques de gestion appropriés.

Certification dans les entités faisantappel à des organismes de services

Dans un contexte où on s’appuie de plus en plus sur des tiers fournisseurs de services pour la prestation de services de TI, des changements considérables ont eu lieu, au cours des dernières années, au chapitre de la certification des organismes de services.

Des modifications ont été apportées au Manuel de l’ICCA — Certification en juillet 2005, afin de remplacer le chapitre 5900, «Opinions sur les procédures de contrôle d’un organisme de services», par le chapitre 5970, «Rapport du vérificateur sur les contrôles d’un organisme de services».

La nouvelle norme a entraîné beaucoup de confusion parmi ceux qui fournissent ces services, parce qu’elle ne couvrait pas certains des services de vérification fournis aux organismes de services et la diffusion des rapports qui en résultaient. En conséquence, on a jugé que les nouvelles recommandations restreignaient l’utilité du service pour les clients.

Le CCTI a consacré beaucoup de temps à discuter de ces questions et à les soulever auprès des normalisateurs. Actuellement, l’International Auditing and Assurance Standards Board (IAASB) examine un nouvel exposé-sondage qui, s’il est finalement approuvé à titre de norme, serait vraisemblablement adopté au Canada. Il modifierait ainsi de nouveau les normes de vérification liées aux organismes de services.

La certification dans les entités faisant appel à des organismes de services constitue un secteur de pratique très important pour plusieurs cabinets, qui suivent de près l’évolution de ce dossier. On espère que les normes relatives à cette question seront clarifiées bientôt.

Essoufflement lié au processus législatif

La conformité aux lois et aux autres exigences législatives a entraîné une atmosphère de crise de la gestion dans le domaine des TI. Cet enjeu dépasse les complications bien connues causées par la Loi Sarbanes-Oxley des États-Unis, et les règles semblables sur la confiance des investisseurs, publiées par les Autorités canadiennes en valeurs mobilières. Il dépasse également la question de la mondialisation des entreprises et leur besoin d’identifier les exigences législatives dans de nombreux pays et de s’y conformer.

Le respect des contrats de logiciels a également attiré davantage l’attention des fournisseurs. Les organisations ont dû consacrer leurs énergies à identifier et à gérer correctement les droits associés aux licences de logiciels, tâche qui relève d’une gestion appropriée des biens et de la configuration. Cet aspect des TI a connu une évolution importante au cours des dernières années.

Méthodologie et conclusions

Cette année, le CCTI a établi un cadre pour mener son sondage. Le Comité a identifié dix grands secteurs d’intérêt liés aux TI. Il a demandé aux répondants d’indiquer, pour chacun, la question la plus importante qui devrait faire partie, selon eux, de la liste des dix enjeux de 2007. Pour chaque secteur d’intérêt lié aux TI, un certain nombre d’enjeux étaient déjà identifiés.


On a demandé aux répondants d’en choisir un et d’indiquer pourquoi ils le considèrent important, ou de décrire un enjeu non compris dans la liste, qu’ils estiment le plus important, et les raisons de leur choix.

Les secteurs d’intérêt liés aux TI relevés ont été :

  1. Les questions législatives et réglementaires
  2. Les accords contractuels
  3. L’infrastructure
  4. Les ressources et compétences en TI
  5. Le processus de gestion des TI
  6. La confiance du public (sécurité/fiabilité)
  7. La gouvernance en matière de TI
  8. Les entreprises collaboratrices/élargies
  9. La gestion de l’information
  10. Les contrôles et la certification des TI

Le processus suivi cette année a entraîné beaucoup plus de commentaires de la part d’un éventail de personnes s’occupant de TI ou de gestion des TI.

Grâce à l’aide des correspondants des membres du CCTI, de l’Alliance pour l’excellence en TI de l’ICCA et des membres de la section torontoise de l’ISACA, nous avons reçu de nombreuses réponses.


Il en résulte une liste des priorités différente et moins centrée sur des questions individuelles distinctes. Elle indique clairement en quoi autant de ces problèmes sont interreliés et le fait que leur résolution passe par des approches coordonnées.

Gerald Trites, FCA, CA•CISA/TI, est consultant en études de marché pour l’ICCA et directeur de projet pour XBRL Canada. Il est membre et conseiller technique du CCTI.

Andrée Lavigne, CA, est directrice de projets au Service des monographies de l’ICCA et est responsable du Comité consultatif sur les technologies de l’information.