GENERALITES...

Les différents scandales financiers que l’on connaît aujourd’hui dans le monde du type Enron aux USA ou Parmalat en Italie, ont une incidence marquée sur la gestion actuelle de l’informatique. En effet les pouvoirs politiques montrent désormais un profond désir de contrôler la fiabilité des informations fournies par les entreprises et la clarté des systèmes d’informations devient prioritaire. 

Ceci n’a en fait rien de nouveau. Pour les banques par exemple, des états de contrôles (tels que la Bafi en France) sont fournis périodiquement aux organismes de tutelles.
La loi de finance 1990 a mis en place les BVCI ayant en charge le contrôle des comptabilités informatisées et définit des procédures d’archivage et traçabilité. En fait jusqu’à aujourd’hui, ce besoin a plus ou moins été géré après une analyse de la balance entre le coût de mise en œuvre de ces systèmes de contrôles et les pénalités encourues.

Ce qui est nouveau aujourd’hui, et de nature à changer fondamentalement l’architecture des systèmes d’informations, c’est que les responsables des entreprises peuvent être considérés comme pénalement responsables, et être poursuivis en justice (La SOX aux USA prévoit un emprisonnement pouvant aller jusqu’à 20 ans pour les CEO et GM, et la Communauté Européenne réfléchit déjà à un système analogue).
L’informatique ne peut plus échapper à ce phénomène et doit faire montre d’une organisation rigoureuse ainsi que d’une clarté évidente. La mise en application des contrôles et les risques encourus obligent à se mettre en conformité. SOX, BVCI, Risque opérationnel Bâle 2 etc., en fait tout cela pourrait se résumer à une capacité à répondre à des audits techniques précis. Si le principe de ces contrôles est simple sur le papier, la mise en œuvre peut s’avérer relativement complexe si l’on n’est pas correctement outillé. En effet, ces audits vont non seulement porter sur les opérations en cours mais également sur des opérations passées.

TRACABILITE...

Du point de vue de l’informatique, il faut pouvoir justifier de chacune des étapes ayant abouti à un résultat et éventuellement pouvoir rejouer ce traitement. Cela signifie qu’il ne suffit plus de sauvegarder des données mais qu’il faut également sauvegarder les traitements (programmes, CL, etc...) correspondants.
Il est en effet impossible de concevoir d’exécuter des traitements d’aujourd’hui avec des données d’il y a deux ans et inversement. Par ailleurs, il est indispensable de disposer des informations permettant de rejouer ces traitements. Il convient donc soit d’archiver une documentation en phase avec les traitements, soit de disposer d’un outillage de retro-documentation permettant de générer cette documentation à la demande. On imagine facilement les volumes occupés si ces documentations ne sont pas au format électronique !

L'APPROCHE ARCAD...

ARCAD Software avec ses suites ARCAD-Skipper et ARCAD-Observer répond parfaitement à ces besoins. Toutes les évolutions sont traitées dans un processus organisé, sécurisé et au travers de versions clairement identifiées permettant une traçabilité à toute épreuve. Par ailleurs, une documentation générée en phase avec les évolutions, pourra être intégrée au lot modifié et permettre ainsi de conserver la connaissance des versions antérieures. La partie graphique d’ARCAD-Client sera à même de répondre aux recherches d’informations en temps réel, et sa simplicité d’utilisation la rend disponible pour les auditeurs non informaticiens. Outre la gestion de ces audits techniques, les solutions ARCAD vont permettre de mettre en œuvre une architecture solide et sécurisée où toutes les évolutions logicielles pourront être archivées, tracées et répondre ainsi aux règles les plus élémentaires d’un processus qualité. Plus qu’une contrainte, ces nouvelles lois sont une chance pour les entreprises qui pourront enfin mettre en place une gestion structurée et professionnelle de leur système d’informations qui représente souvent une de leur première richesse. Gageons que ces "mises aux normes" permettront d’aboutir à un niveau de qualité qui n’est plus même discuté dans les processus industriels.

SOX...

Les sociétés dont la maison mère est américaine et qui possèdent des capitaux publics, sont concernées par la loi Sarbanes-Oxley, plus connue sous le nom de "SOX". Il est plus que probable que dès l’année prochaine, des directives européennes apparaissent dans le même esprit de transparence des comptes des entreprises. La mise en œuvre de cette loi s’est traduite sur le terrain par de nombreux travaux qui ont conduit à édicter des règles de bonne pratique pour l’informatique. On parle dorénavant de "gouvernance informatique". Aux USA, "l’IT Governance institute" publie ces règles dans son "COBIT".

BALE II...

Fin 2006, sont entrés en vigueur les accords Bâle II. L’objectif de ces accords applicables aux organismes financiers, est de couvrir trois types de risques : 

• Le risque de crédit,
• Le risque de marché,
• Le risque opérationnel.

Dans le cadre des systèmes d’informations, c’est bien évidemment la gestion du risque opérationnel qui est à prendre en considération. Celui-ci est défini comme "le risque de perte directe ou indirecte résultant de processus internes, personnes et systèmes inadéquats ou ayant échoué, ou d'événements extérieurs". Selon les Accords de Bâle 2, la gestion de ce risque opérationnel devra prendre en compte une couverture en capital de ces risques. Cependant, la preuve d'une meilleure maîtrise interne de ces risques pourra permettre de libérer une partie de ce capital exigible par défaut. Ce dernier point fait apparaître de manière évidente que la démonstration de la maîtrise du S.I sera un des facteurs majeurs de la diminution des capitaux à immobiliser.
La mise en œuvre de procédures et d’outils d’organisation et de suivi des évolutions du S.I, de cartographie d’application et de documentation deviennent donc des aspects stratégiques dans la gestion des entreprises, et ce, d’autant plus que leur coût est souvent négligeable en comparaison des capitaux qu’ils permettent de libérer. Les échéances réglementaires Bâle II se rapprochant, le programme d'évolution des SI s'annonce particulièrement fourni. Par ailleurs, la majorité des organismes financiers ayant basé tout ou partie de leur S.I sur des progiciels métiers, doivent se reposer sur des informations souvent difficilement récupérées auprès de leurs fournisseurs. Encore une fois, les solutions ARCAD vont apparaître comme autant d’outils permettant de faire montre d’une organisation du S.I rigoureuse et maîtrisée tout en se dégageant des contraintes liées aux fournisseurs et qui mieux est en permettant de libérer un capital devenant disponible pour les lignes métiers.

LSF...

Depuis 2004, la Loi de Sécurité Financière (LSF, n°2003-706 du 01/08/2003, articles L.225-37, L.225-68 et L.225-235 du code de Commerce) impose aux Directions Générales de rendre compte des procédures de contrôle interne mises en place. L’informatique est évidemment la clé de voûte des réponses à ces obligations. Si l’on se réfère au COSO1, au niveau informatique, le contrôle interne comprend les "principes et procédures qui contribuent à assurer un bon fonctionnement continu des systèmes d’informations". Cela couvre la gestion technique des systèmes (réseaux, sécurité, sauvegardes, gestion de parc…) mais également le développement/maintenance de logiciels, les procédures de mise en production des applications et de leurs évolutions, ainsi que la gestion des incidents. Ces contraintes constituent une formidable opportunité pour les DSI et leurs équipes : ils bénéficient enfin d’un argument majeur auprès de leur Direction Générale pour justifier l’acquisition de produits qui vont répondre aux demandes du législateur mais surtout faciliter le travail des équipes informatiques et globalement améliorer la qualité du SI. Les solutions ARCAD répondent d’abord aux attentes des équipes de développement et production mais elles offrent également les garanties de sécurité et traçabilité exigées par la loi ou par des auditeurs.

Toutes les phases du cycle de vie d’une application sont couvertes :  

• Référencement des composants logiciels,
• Gestion des incidents et demandes utilisateurs,
• Versionning des développements et des livraisons de progiciels,
• Automatisation des tests,
• Transferts multi–environnements et multi-machines,
• Mise en production.

Les Directions Informatiques peinent souvent à faire comprendre la plus-value de solutions de Gestion de Configuration Logicielle à leur Direction Générale. LSF donne une bonne raison aux entreprises pour s’équiper…