 |
Conformité |
Aperçu
de la loi Sarbanes-Oxley (SOX)
À la suite de l'indignation
publique suscitées par de nombreux
scandales corporatifs, un projet de
loi de responsabilisation des entreprises
parrainé par le sénateur
Paul Sarbanes et le représentant
Michael Oxley a été
adopté par le Congrès
des États-Unis en 2002. Contrairement
à certaines des autres lois
sur la conformité adoptées
par le Congrès au cours des
récentes années, la
loi Sarbanes-Oxley de 2002 établit
des obligations générales
qui s'appliquent à toutes les
sociétés publiques.
Toutefois, les moyens de mise en œuvre
des systèmes devant satisfaire
aux dispositions de cette loi ne sont
pas traités spécifiquement
mais laissés à l'interprétation
des entreprises réglementées.
À première vue, il serait
raisonnable de conclure que la loi
n'a que des conséquences minimales
sur le stockage des données.
Mais ce n'est pas le cas. Les questions
les plus préoccupantes pour
les gestionnaires des TI concernent
le traitement de certains types de
dossiers ou de documents, tout particulièrement
ceux visés par les règlements
de la section 802 du titre VIII.
Critères
d'ESI pour la sélection d'une
solution de stockage
Déterminer la solution appropriée
qui aidera à se conformer à
la loi Sarbanes-Oxley ou à
d'autres exigences (SEC 17a-4, exigences
particulières à divers
pays, loi 198) peut se révéler
une tâche très ardue.
Davantage préoccupées
par la conformité, un grand
nombre d'entreprises prennent un peu
de recul pour réévaluer
comment les données assujetties
à la réglementation
devraient être enregistrées
et gérées. Toute solution
de stockage de ces données
réglementées doit en
assurer la sauvegarde, la sécurité
et la confidentialité et aussi
tenir compte des exigences en matière
d'audit de vos opérations.
Toutefois, ce ne sont pas les seuls
critères. Le choix d'une plate-forme
de stockage des données visée
par la réglementation est une
décision stratégique.
En effet, ces données devront
être conservées pendant
plusieurs années, et les moyens
de stockage à mettre en œuvre
devront être adaptés
à votre stratégie de
gestion du stockage. Les architectes
spécialisés d'ESI peuvent
aider votre entreprise à faire
des choix judicieux. Les principaux
facteurs à prendre en compte
lors de l'évaluation d'une
solution de stockage conforme aux
exigences de la loi SOX sont exposés
ci-dessous :
• |
Fiabilité |
|
Étant
donné les sanctions infligées
à ceux qui ne sont pas
capables de présenter les
données exigées
par la réglementation,
il est essentiel que tout système
de stockage soit fonctionnels
et capable de transférer
les données chaque fois
qu'elles sont demandées.
Il ne faut pas non plus oublier
que toutes les données
exigées en vertu de la
loi SOX doivent être disponibles
pendant la période de sept
ans qui suit la conclusion d'une
vérification ou d'un examen.
Toute solution de stockage fondée
exclusivement sur des sauvegardes
sur bande et des outils non-RAID
de bas de gamme (p. ex. disques
de stockage très bon marché
tels que les unités de
disque des ordinateurs de bureau)
est considérée très
peu fiable (99,9+ %) et vous expose
à un risque majeur sur
le plan technologique et réglementaire. |
|
• |
Performance |
|
Un
haut niveau de performance peut
être essentiel si un stockage
granulaire des dossiers individuels
(plutôt que sous forme de
groupes de dossiers) est exigé.
Dans bien des cas, le nombre de
dossiers requis pour satisfaire
aux normes réglementaires
peut facilement atteindre plusieurs
centaines de millions. La recherche
et l'extraction des dossiers sauvegardés
dans les délais courts
exigés par les tribunaux
ne sont possibles que si l'on
dispose d'un système de
stockage haute performance. |
|
• |
Normes
ouvertes |
|
Si
le système de stockage
utilisé n'est pas compatible
avec les normes actuelles les
plus connues, telles que CIFS
et NFS, les applications devront
être personnalisées
pour fonctionner avec des interfaces
de programmation propriétaires.
Cette situation viendra limiter
le nombre de fournisseurs avec
lesquels votre entreprise pourra
faire affaires maintenant et dans
l'avenir. |
|
• |
Protection
de l'investissement |
|
En
raison de la diminution constante
des budgets et des contraintes
imposées aux ressources,
il est essentiel pour toute entreprise
d'être capable de tirer
parti des systèmes de stockage
existants de façon optimale
pour répondre à
des besoins multiples (sauvegarde,
conformité, stockage primaire),
le plus efficacement possible. |
|
• |
Sécurité |
|
Le
système de stockage devrait
être protégé
contre les accès internes
et externes non autorisés
au moyen de contrôles d'accès
et de fonctions de sécurité
robustes. En outre, le système
devrait pouvoir empêcher
tout accès non autorisé
ou toute suppression des données. |
|
• |
Capacité
d'évolution |
|
À
mesure que la quantité
de données assujetties
à la réglementation
continue d'augmenter à
un rythme rapide, les systèmes
de stockage implantés aujourd'hui
devraient pouvoir être mis
à niveau de façon
transparente pour répondre
aux besoins futurs de stockage,
sans accroître la complexité
opérationnelle ni altérer
la fiabilité et la performance.
En outre, comme les données
visées par la réglementation
peuvent être générées
et stockées tout aussi
bien dans les bureaux principaux
de l'entreprise que dans les petites
succursales ou les bureaux locaux,
le système de stockage
choisi devrait posséder
la souplesse nécessaire
pour être implanté
selon la capacité de stockage
souhaitée, qu'elle soit
petite ou grande. |
|
• |
Migration |
|
On
peut supposer avec certitude que,
durant leur cycle de vie, les
données devront être
transférées au moins
une fois du dispositif de stockage
sur lequel elles résident,
et cela quel qu'en soit le type
ou l'emplacement. Il faut tenir
compte de cette migration avant
l'adoption de la solution de stockage
initiale, et non pas après.
Il est particulièrement
important à ce point de
s'assurer que la solution choisie
n'entraîne aucune «
dépendance » à
l'égard d'un fournisseur
ou d'une technologie. Cette solution
doit permettre une migration sécuritaire
et sécurisée de
l'information d'un système
à un autre. Une stratégie
de migration vers une solution
autre que celle qui a été
choisie devrait être intégrée
dans le plan d'évaluation.
Toute omission d'envisager les
stratégies de migration
constitue une source potentielle
de problèmes. |
|
