Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Confidentialité & Conformité

Qu’est-ce que la conformité SOX ?

En 2002, le Congrès des États-Unis a adopté la loi Sarbanes-Oxley et mis en place des règles pour protéger le public contre les pratiques frauduleuses ou trompeuses des entreprises ou...
Michael Buckbee
5 minute de lecture
Dernière mise à jour 23 juin 2023

Contenu

    En 2002, le Congrès des États-Unis a adopté la loi Sarbanes-Oxley et mis en place des règles pour protéger le public contre les pratiques frauduleuses ou trompeuses des entreprises ou autres entités commerciales. L’objectif de cette législation est d’améliorer la transparence des rapports financiers publiés par les entreprises et d’imposer dans chaque entreprise un système formalisé de contrôle et d’équilibre des pouvoirs.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    La conformité SOX n’est pas seulement une obligation légale mais également une bonne pratique de gestion. Naturellement, les entreprises doivent se comporter de manière éthique et limiter l’accès aux systèmes financiers internes. Mais la mise en œuvre des contrôles de sécurité financière SOX a également pour effet secondaire de contribuer à protéger l’entreprise contre un vol de données résultant d’une menace interne ou d’une cyberattaque. La conformité SOX peut inclure un grand nombre de pratiques communes à toute initiative de sécurité des données.

    Histoire de la conformité SOX

    Le sénateur Paul Sarbanes (D-MD) et le représentant Michael G. Oxley (R-OH-4) ont rédigé cette loi en réponse à plusieurs scandales ayant touché des sociétés très en vue, en particulier Enron, Worldcom et Tyco.

    Le but déclaré de la loi SOX est de « protéger les investisseurs en améliorant l’exactitude et la fiabilité des communications des sociétés. » Cette loi a établi les responsabilités des conseils d’administration et des dirigeants des sociétés cotées en Bourse et défini des sanctions pénales en cas de manquement. Elle a été adoptée à une majorité écrasante à la Chambre des représentants et au Sénat, dont seuls trois membres ont voté contre.

    Qui doit se conformer à la loi SOX ?

    SOX s’applique à toutes les sociétés cotées en Bourse aux États-Unis ainsi qu’aux filiales à part entière et aux entreprises étrangères cotées en Bourse et ayant des activités aux États-Unis. SOX réglemente également les cabinets d’expertise comptable chargés de l’audit d’entreprises devant se conformer à SOX.

    En général, les entreprises à capitaux privés, les organismes caritatifs et les organisations à but non lucratif ne sont pas tenus de se conformer à l’ensemble des dispositions de SOX. Les organisations privées ne doivent pas détruire ou falsifier sciemment des données financières, et SOX contient des dispositions pour sanctionner les entreprises qui s’en rendent coupables. Les entreprises à capitaux privés projetant une introduction en Bourse doivent se préparer à se conformer à SOX avant cette introduction.

    Exigences de la conformité SOX

    SOX compliance requirements list covered in the live text

    Voici les exigences les plus importantes de la loi SOX :

    • Les PDG et les directeurs financiers sont directement responsables envers la SEC de l’exactitude, de la documentation et de la présentation de tous les rapports financiers, ainsi que de la structure de contrôle interne. Les dirigeants encourent des peines de prison et des sanctions financières en cas de défauts de conformité – qu’ils soient intentionnels ou non.
    • SOX impose un rapport de contrôle interne établissant que la direction est responsable d’une structure de contrôle interne adaptée pour leurs états financiers. Pour des raisons de transparence, toute insuffisance doit être remontée aussi vite que possible au sommet de la chaîne.
    • La loi SOX exige des stratégies formelles en matière de sécurité des données, la communication de ces stratégies et leur application systématique. Les entreprises doivent développer et mettre en œuvre une stratégie complète de sécurité des données qui protège et sécurise toutes les données financières stockées et utilisées dans des conditions normales.
    • La loi SOX exige que les entreprises maintiennent et fournissent une documentation prouvant qu’elles respectent la conformité et qu’elles surveillent et évaluent en permanence leurs objectifs de conformité.

    Audits de conformité SOX

    SOX impose aux entreprises de réaliser des audits annuels et d’en communiquer les résultats à tous leurs actionnaires. Pour effectuer les audits SOX, les entreprises engagent des commissaires aux comptes indépendants ; pour prévenir les conflits d’intérêt, ces audits doivent se faire indépendamment de tout autre contrôle.

    Le principal objectif de l’audit de conformité SOX consiste à vérifier les états financiers de l’entreprise. Les auditeurs comparent les états de l’année en cours avec ceux des années précédentes et déterminent si tout est conforme. Ils peuvent également interroger le personnel et vérifier que les contrôles de conformité sont suffisants pour assurer la conformité à SOX.

    Préparer un audit de conformité SOX

    Assurez-vous de mettre à jour vos systèmes de déclaration et d’audit interne, afin d’être en mesure de fournir rapidement tout rapport que pourrait demander l’auditeur. Pour éviter toute mauvaise surprise, vérifiez que vos systèmes logiciels de conformité SOX fonctionnent comme prévu.

    Audits des contrôles internes SOX

    SOX compliance audit controls list covered in the live text

    Dans le cadre de l’audit annuel, votre auditeur SOX examinera quatre contrôles internes. Pour se conformer à la loi SOX, il est essentiel de démontrer votre capacité pour les contrôles suivants :

    • Accès : les accès concernent à la fois les contrôles physiques (portes, badges, classeurs sous clé) et les contrôles électroniques (stratégies de connexion, accès de moindre privilège et contrôle des autorisations). Le maintien d’un modèle d’accès de moindre privilège signifie que les utilisateurs ne disposent que des accès nécessaires pour faire leur travail ; il s’agit d’une exigence de la conformité SOX.
    • Sécurité : dans ce contexte, la sécurité signifie que vous pouvez prouver l’existence de protections contre les violations de données. La façon de mettre en œuvre ce contrôle est de votre ressort.
    • Sauvegarde des données : effectuez régulièrement des sauvegardes hors site de vos données financières, en conformité avec la loi SOX
    • Gestion du changement : définissez des processus pour ajouter et gérer les utilisateurs, installer de nouveaux logiciels, et réaliser toute modification des bases de données et applications utilisées pour gérer les données financières de votre entreprise.

    Avantages d’un logiciel de conformité dans le cadre des audits SOX

    L’un des meilleurs moyens de faire la preuve de votre conformité SOX est de mettre en œuvre une plateforme logicielle de sécurité centrée sur les données. Les plateformes modernes de sécurité des données peuvent vous aider à identifier les problèmes d’autorisations, à trouver et étiqueter les données financières sensibles, et à vous protéger des violations de données ou des attaques par ransomware.

    Un conseil de pro : Varonis fait tout cela et plus encore.

    Checklist SOX

    SOX compliance checklist covered in the live text

    C’est toujours une bonne idée de rédiger une checklist pour la conformité SOX. Voici quelques suggestions et meilleures pratiques de conformité :

    • Vérifiez que votre logiciel de conformité SOX est à jour et qu’il n’affiche aucune alerte, et enquêtez au plus vite en cas d’alerte. Cette mesure constitue en soi une checklist complète.
    • Effectuez régulièrement des rapports d’état de conformité à SOX. La dernière chose que vous désirez est de voir une alerte surprise se déclencher le jour de l’audit planifié. Gardez en permanence le contrôle de la situation.
    • Fournissez aux auditeurs SOX les accès dont ils ont besoin pour faire leur travail.
    • Signalez dès que vous le pouvez toute faille de sécurité ou tout problème de conformité.

    Avantages de la conformité SOX

    SOX fournit le cadre que les entreprises doivent respecter pour mieux gérer leurs données financières, ce qui améliore en retour de nombreux aspects de leur gestion.

    Les entreprises se conformant à la loi SOX font savoir que leur situation financière est plus prévisible, ce qui donne satisfaction à leurs actionnaires. L’amélioration de leurs informations financières leur facilite également l’accès aux marchés des capitaux.

    En mettant en œuvre SOX, les entreprises sont mieux défendues contre les cyberattaques et contre les suites fâcheuses et onéreuses d’une violation de données. Si la gestion et la résolution des violations de données coûtent beaucoup d’argent aux entreprises, celles-ci risquent de ne jamais se remettre des dommages causés à leur image de marque.

    La conformité SOX permet de mettre en place une équipe interne solidaire et améliore la communication entre les équipes impliquées dans l’audit. Les avantages d’un programme à l’échelle de l’entreprise, tel que SOX, peuvent avoir sur elles des effets tangibles, tels que l’amélioration des communications et des coopérations transversales.

    Autres organisations et cadres à connaître

    SOX a fait germer d’autres concepts qu’il vous faut connaître lorsque vous travaillez sur votre conformité.

    • PCAOB : le Public Company Accounting Oversight Board développe des normes d’audit et forme les auditeurs sur les meilleures pratiques à mettre en œuvre pour réussir un audit SOX.
    • COSO : le Committee of Sponsoring Organizations met à jour ses recommandations pour les contrôles internes destinés à assurer la conformité à la loi SOX. Les normes d’audit du PCAOB se basent sur ces recommandations.
    • COBIT : développé par l’ISACA, le COBIT (Control Objectives for Information and Related Technology) est un autre cadre permettant de mettre en œuvre la conformité SOX. Il s’agit d’une liste complète de 34 meilleures pratiques pour la sécurité informatique.
    • ITGI : L’Information Technology Governance Institute est un autre cadre informatique pour assurer la conformité SOX. L’ITGI utilise les normes du COBIT et du COSO, mais il est axé sur la sécurité plutôt que sur la conformité générale.

    La conformité SOX ne devrait pas être une corvée. Varonis automatise un grand nombre de contrôles de sécurité des données imposés par SOX. Avec Varonis, vous pouvez résoudre les problèmes d’autorisations, trouver les données SOX cachées, et détecter les accès anormaux à vos fichiers financiers.

    Accédez au podcast Inside Out Security Show dans lequel Guy Melamed, directeur financier de Varonis, explique comment Varonis aborde la conformité SOX !

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
    conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
    David Harrington
    9 février 2023
    The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
    en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
    David Harrington
    22 juillet 2022
    La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Qu’est-ce que le cadre de cybersécurité NIST ?
    qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
    Josue Ledesma
    13 juin 2022
    Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
    en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
    David Harrington
    5 août 2021
    La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.