Duquesne Group Duquesne Group

English version
Recherche et Analyse

Pour éclairer les décideurs dans le domaine de la Continuité d'Activité et de la Sécurité de l'Information, Duquesne Group propose ses analyses et réflexions issues de ses réalisations concrètes en clientèle. Observation critique du terrain par nos experts, contacts permanents avec les principaux acteurs du domaine et expérience vécue dans nos missions de conseil sont nos principales sources. Contactez-nous pour en savoir +
French version
Research

To support decision makers in the management and optimisation of information systems, Duquesne Group delivers in-depth analyses of information technologies, their implementations and their markets. Our research is based on critical observation of the market by our analysts and their on-going contacts with the vendor community, together with hands-on, practical experience from our consulting work. Contact us to find out more


Sarbanes-Oxley un dialogue de sourd audit-informatique ?





Les démarches de mise en conformité Sarbanes-Oxley (SOX) peuvent poser difficulté dans les relations informatique/audit. Dans la section 404 de la loi, des contrôles sont à faire (et donc à tester par un audit) sur des fonctions de production informatique. La "descente de l'auditeur" dans "l'enfer des soutiers de la production informatique" n'est une partie de plaisir ni pour l'un, ni pour l'autre !

Bien évidemment, ce n'est pas la première fois qu'un auditeur vient voir une production informatique (quoique !?). On constate toutefois un risque d'incompréhension car :


Les responsables en production informatique ne savent pas ce que l'on attend d'eux...ils s'attendent au pire !

Les auditeurs sur SOX sont très orientés "reporting financier" et ne savent pas trop à quoi s'attendre en ce qui concerne la production informatique...

Les référentiels tels COSO/Cobit sont peu précis dans leur description des activités de production informatique, cela laisse la place à l'hésitation ou à l'interprétation. cela crée un sentiment d'inquiétude ; or il n'y a rien de pire qu'un auditeur inquiet !

Les précisions salutaires qu'une approche Itil peut apporter sont souvent loin dans les esprits et encore plus éloignées dans la réalité...dialogue de sourd assuré : l'auditeur fera de l'Itil théorique et l'exploitant de la pratique Itilisée...

Les applications sous périmètre SOX (donc de nature financière, reporting, etc.) sont souvent celles qui ont fait l'objet d'une remise en cause importante ces cinq dernières années. Il n'est pas rare qu'un projet de "migration sous SAP" soit passé par là. Ces projets ne font pas la part belle aux exploitants traditionnels. En tout cas pas dans leur ressenti terrain. C'est donc un champ où ils peuvent craindre qu'on leur reproche ce qu'ils n'ont pas voulu...malaise

Il existe des applications du genre "individual computing", celles que l'on a développées sur un coin de table (vous savez, sous Excel ou Access, voire un Olap quelconque) et qui de plus ont le malheur de consolider des chiffres clés pour le DAF et d'alimenter -ni vu ni connu- le SAP corporate ! Ces applications devraient être dans le collimateur de tout auditeur (rassurons-nous elles le sont chez le senior qui supervise !). Or, pour l'auditeur junior moyen, qui ne voit d'informatique que son PC (surtout s'il est jeune) ces applications présentent certes un risque, mais il ne comprend pas immédiatement pourquoi il serait plus élevé qu'ailleurs. Les responsables production, eux, connaissent par construction les dangers de ces applications "hors-jeu". Différence de culture !

Le mythe de la sauvegarde : il est facile d'endormir un auditeur en lui disant que les données sont sauvegardées et en lui montrant des listings de fin de job de sauvegarde. Les progrès des techniques de stockage (snapshot, mirroring local et distant) ont beau permettre des récupérations de données professionnelles, sans sauvegarde sur bande, rien n'y fait: l'auditeur voudra sa sauvegarde et ses bandes. La production informatique, le sachant, lui en donnera-t-elle ?
E.B. Sirius
Mardi 30 Septembre 2008

Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share


Duquesne Research Newsletter