Publié le 29-01-2007 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Paris, le 30 janvier 2007 - I-TRACING, première société française dédiée à la traçabilité de l’information, intervient dans l’environnement Sarbanes-Oxley chez plusieurs de ses clients. Conseil technique et société d’ingénierie pour la traçabilité des processus, I-TRACING a mis au point une méthodologie d’automatisation de production des preuves SOX.
La loi sur la sécurité financière Sarbanes-Oxley s'applique à l’ensemble des entreprises françaises et européennes cotés ou ayant des filiales aux USA. Elaborée après les scandales Enron et Worldcom, elle a un double objectif. D’une part, elle protège les actionnaires contre la manipulation et les atteintes à l’intégrité des informations et des communications. D’autre part, elle cherche à améliorer la transparence dans la gestion des entreprises.

Prouver que les processus de traitement de l’information existent
Pour ce faire, SOX oblige les entreprises à apporter la preuve de l’existence de processus internes pour traiter l’information et les données. Le but principal étant de protéger l'information contre toute utilisation, divulgation ou modification non autorisée et contre tout dommage ou perte. Par exemple, la loi impose aux entreprises de prouver que les contrôles d’accès aux informations financières critiques sont efficaces et fiables. En fonction du contexte métier et, plus globalement du système d’information de l’entreprise, plusieurs dizaines de contrôles sont identifiés par les commissaires aux comptes. Plus de la moitié est directement liée à la gestion des identités et des accès aux informations de l’entreprise.

Automatiser et industrialiser la production des preuves SOX
Répondre en permanence à de telles exigences implique évidemment une très forte mobilisation des équipes d’exploitation/production mais également MOA/métier. S’appuyant sur une expérience riche dans ce domaine, I-TRACING propose une démarche d’industrialisation et d’automatisation de la production régulière des preuves SOX. L’objectif est de rendre efficace l’allocation des ressources internes des DSI, censées répondre quasi mensuellement aux différents types d’audits de preuves SOX. Alliant organisation et technique, cette démarche d’optimisation des ressources internes, rentabilise et réduit les coûts de fonctionnement des directions d’Exploitation/Production.

La preuve de l’existence et du respect des processus du périmètre Sarbannes-Oxley est une des déclinaisons concrètes de la traçabilité de l’information, la conformité légale. « I-TRACING est le spécialiste technique de l’implémentation des contrôles SOX définis par le Contrôle Interne, à la suite des demandes des Commissaires aux Comptes. Nous intervenons en assistance à maîtrise d’ouvrage dans un premier temps, puis en ingénierie technique opérationnelle ensuite. Le but de notre approche est de mettre en œuvre, dans l’environnement spécifique du client, le processus permettant la délivrance « industrielle » de preuves Sarbanes-Oxley », explique Théodore-Michel Vrangos, président et cofondateur d’I-TRACING.

Une méthodologie qui a fait ses preuves !
La méthode préconisée par I-TRACING, en œuvre chez plusieurs clients prestigieux, s’applique en deux temps. Tout d’abord, I-TRACING établit un «pont », traduit et décline informatiquement les tests et contrôles SOX auprès des équipes d’exploitation/production et MOA/développement métier. Une cartographie des tests par catégories et outils de production des preuves est notamment réalisée. Ensuite, prenant en compte les outils d’exploitation existants (par exemple : HPOVO, HPSD, Tivoli Monitoring, CA, Annuaire AD, outils de sauvegarde et restauration, gestionnaires de parc et d’inventaire,…), I-TRACING définit les solutions de traçabilité des preuves SOX, puis d’automatisation et d’industrialisation de leur production.

La méthodologie I-TRACING de traçabilité SOX comporte donc plusieurs étapes :
 Cartographie des tests et contrôles tenant compte des sous-domaines (change management, identity management & droits d’accès, back-up, sauvegarde, restauration, sécurité...).
 Inventaire des outils d’exploitation/production existants impliqués.
 Structuration des tests et contrôles par catégorie (matrices des preuves, outils, processus) et identification des chantiers d’industrialisation de la production des preuves.
 Identification et spécification techniques des solutions d’industrialisation pour chaque chantier : développement, paramétrage, script, adaptation, proposition d’outils-tiers permettant l’automatisation et l’industrialisation.
 Mise en œuvre opérationnelle des solutions par les ingénieurs d’I-TRACING.
 Suivi et transfert de compétences aux équipes client. Cette étape implique souvent la mise en œuvre clé en main, d’un outil spécifique qui permet une gestion consolidée et synthétique. « Les retours d’expériences ont démontré l’utilité, l’efficacité et surtout le gain en temps et en productivité de notre approche. C’est un apport pragmatique et opérationnel qui limite les dérives observées dans l’application de la conformité réglementaire.», conclut Théodore-Michel Vrangos.

I-TRACING compte plusieurs grands groupes français concernés par la loi Sarbanes-Oxley ainsi que des filiales de sociétés américaines implantées en France parmi ses clients.

I-TRACING intervient aussi dans le contexte d’entreprises ayant externalisé l’exploitation informatique d’une partie (ou de la totalité) de leur système d’information. La traçabilité des preuves relève dans ce cas de la conformité SAS70, compliance pour laquelle I-Tracing a mis au point une méthodologie spécifique.

A propos d’I-TRACING
Fondée en 2005 par Laurent Charvériat et Théodore-Michel Vrangos, I-TRACING est une entreprise entièrement dédiée à la traçabilité. Installé à Paris, cet opérateur de service de traçabilité propose une gamme complète de prestations à valeur ajoutée de conseil, d’audit, de formation, d’ingénierie et de l’infogérance des opérations de traçabilité et de preuve.
I-TRACING combine la compréhension et l’anticipation des besoins fonctionnels, spécifiques à chaque environnement métier, à une grande expertise technologique des protocoles et des solutions Internet, de la mobilité et des télécommunications. Aujourd’hui, elle intervient sur différentes déclinaisons de la traçabilité de l’information auprès des grandes entreprises françaises telles que SFR, PACIFICA, Sanofi-Aventis, UBIFRANCE, Groupe France Télécom, Groupe Crédit Agricole, Groupe Lamy, Groupe La Poste, Bricodépôt (Groupe Fingfisher), etc.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu