Il faut noter deux points importants concernant la loi Sarbanes-Oxley :

• les entreprises non américaines sont aussi concernées,
• les systèmes d'information sont impliqués à double titre par Sarbanes-Oxley
  - dans l'utilisation de l'informatique comme outil de gestion et de contrôle financier
  - dans l'obligation qui instituée (et c'est plus nouveau) d'assurer la sécurité de ce même système informatique.

Objectif

Adoptée en juillet 2002 par le Congrès américain, la Loi Sarbanes-Oxley (appelée aussi SARBOX ou SOX ou LSO pour les français) oblige les entreprises à répondre de certaines prérogatives administratives dont l'analyse de leurs procédures financières et la publication de leurs résultats dans les plus brefs délais.
L'objectif est clair : il s'agit de restaurer la confiance des investisseurs et de renforcer la gouvernance d'entreprise, largement entamée par les nombreux scandales financiers de 2001 et 2002.

Principe

Parmi les nombreuses exigences imposées par le Congrès, la LSO vise :

• à garantir une présentation adéquate des rapports financiers,
• à fournir des processus d'alerte,
• à exiger la certification personnelle des rapports financiers par le CEO (PDG) et le CFO (Directeur Financier)
• et également à renforcer les contrôles liés au processus de reporting financier.
  Concernant ce dernier point, la section 404 revêt la plus grande importance en matière d'identité et d'accès.
  En effet, cette section invite la commission américaine des opérations en bourse (SEC) à développer et publier des règles, exigeant des entreprises concernées qu'elles intègrent dans le dossier annuel déposé auprès de la SEC un rapport distinct comportant la certification de la Direction quant à l'efficacité du contrôle interne exercé sur le reporting financier en plus du rapport financier annuel

Applicabilité

La LSO s'applique aux sociétés, banques, organismes d'épargne et aux entreprises non américaines qui déposent des dossiers auprès de la SEC sous la section 13(a) ou 15(d) de la loi SEA (Securities Exchange Act) de 1934. Toutes les entreprises cotées sont donc concernées, quelle que soit l'industrie verticale à laquelle elles appartiennent.
Toutes les sociétés cotées, dont la capitalisation boursière est supérieure à 75 millions de dollars et dont l'exercice se termine le ou après le 15 juin 2004 seront contraintes de déposer auprès de la SEC un rapport rédigé par la Direction portant sur le contrôle interne exercé sur le reporting financier en même temps que leur rapport financier annuel.
Pour les autres entreprises cotées et dont la capitalisation boursière est inférieure à 75 millions de dollars, la date est fixée au 15 avril 2005.

Conformité

La LSO ne fournit pas de directives spécifiques quant à la définition du contrôle interne approprié, ce dernier pouvant varier sensiblement d'une entreprise à l'autre.
Cependant, dans les règles finales édictées en juin 2003, la SEC a identifié l'infrastructure de contrôle interne COSO (Committee of Sponsoring Organizations) en tant qu'infrastructure répondant à ses critères en matière de recommandations pour l'évaluation et le développement des contrôles.

Le COSO

L'infrastructure COSO comprend cinq composants pour un contrôle interne efficace :

• environnement de contrôle,
• évaluation des risques,
• activités de contrôle,
• information et communication
• et supervision.

L'un des principes du composant Environnement de contrôle de l'infrastructure COSO concerne l'attribution de l'autorité et de la responsabilité, où les solutions de gestion des identités et des accès sont un élément essentiel.
Deuxième domaine de l'infrastructure COSO, les activités de contrôle répondent au besoin de politiques, procédures et actions spécifiques pour gérer les risques liés à la réalisation d'objectifs de contrôle spécifiques. Pour se conformer à la LSO, la Direction de l'entreprise doit évaluer la conception et l'efficacité opérationnelle de ces contrôles spécifiques à la lumière des risques qu'ils sont censés atténuer.

Le COBIT

L'infrastructure COSO donne peu d'informations concernant les contrôles IT spécifiques. Par conséquent, l'entreprise doit s'orienter vers une autre infrastructure de contrôle.
Nombreuses sont celles qui ont déjà commencé à se tourner vers l'infrastructure COBIT (Control Objectives for Information and related Technology) publiée par la société IT Governance Institute, et qui fournit en détail les activités requises pour l'évaluation des contrôles IT afin de se conformer à la LSO.
Les objectifs du contrôle COBIT sont organisés en quatre domaines comprenant :

• la planification et l'organisation,
• l'acquisition et le déploiement,
• la fourniture et le support
• ainsi que la supervision.

L'une des principales activités intégrées aux contrôles de la fourniture et du support, particulièrement adaptée à la conformité LSO, est l'activité baptisée Ensure Systems Security.

Protéger les systèmes d'information

Le principal objectif de Ensure Systems Security est de fournir des contrôles protégeant l'information contre toute utilisation, divulgation ou modification non autorisée, et contre tout dommage ou perte à l'aide de contrôles d'accès logique assurant l'accès aux systèmes, données et programmes aux seuls utilisateurs autorisés.
Cette activité de contrôle comporte 22 objectifs de contrôle différents, depuis les firewalls jusqu'à la protection contre les virus et la réaction face à un incident en passant par la gestion, l'authentification et l'autorisation des utilisateurs. Parmi ces 22 contrôles, plus de la moitié est directement liée à la gestion des identités et des accès.
La Direction de l'entreprise devra de préférence évaluer les contrôles jusqu'à ce niveau de détail, avant de pouvoir affirmer que ces contrôles relatifs à l'accès aux informations financières critiques ont, dans les faits, été correctement conçus et qu'ils fonctionnent efficacement.