Audit du S.I.: des outils peuvent faciliter la vie
Depuis les affaires Enron, WorldCom et autres, les sociétés cotées savent que la mise en conformité de leur système d'information avec de nouvelles dispositions légales n'est pas théorique. et pas seulement comptable. Les configurations 'réseau' sont également concernées
L'obligation la plus connue, s'agissant des messageries, est celle de l'archivage. En cas de litige ou de procédures judiciaires, les départements informatiques sont responsables de l'intégrité et de la traçabilité des informations véhiculées et archivées par le système informatique et le réseau de l'entreprise. Tripwire, éditeur de logiciels de contrôle des configurations informatiques et des réseaux, a eu l'idée d'élargir le champ de ses outils pour faciliter cette démarche d'audit interne. A l'origine, son logiciel TND (
Tripwire for network devices) a été conçu pour superviser les configurations, y compris celles des noeuds de réseaux: routeurs, commutateurs, pare-feux. La version 3 apporte des fonctionnalités plus riches encore. Elle permet de répondre aux nouvelles exigences sur l'intégrité des données comme le prévoit la loi Sarbanes-Oxley, votée Outre-Atlantique il y a 18 mois, ou encore les dispositions européennes sur la sécurité financière. Ces nouvelles dispositions exigent des entreprises qu'elles assurent le suivi des outils utilisés dans le traitement des données. Il existe certes des outils de reporting mais ils peuvent être manipulés. Aujourd'hui il faut pouvoir prouver l'intégrité des processus mis en ?uvre. Le point fort de la solution TND est qu'elle vérifie la conformité par rapport à une base de référence. On peut alors garantir que le réseau fonctionne correctement par rapport à cette référence. En effet, les outils de supervision des réseaux automatisent des tâches quotidiennes et récurrentes. Mais cela ne garantit pas que les configurations requises soient correctement appliquées. TND se fonde sur un référentiel prenant en considéation plus de 100.000 équipements: il inspecte périodiquement les configurations et détecte les changements dus à certains événements. Et toute intervention non conforme aux procédures établies est tout de suite repérée comme possible source d'erreurs. Bref, il suffit de pousser la logique un peu plus loin.
Sur le même thème
Voir tous les articles Business