La conformité SOX consiste à respecter les exigences de reporting financier, de sécurité de l’information et d’audit définies par la loi Sarbanes-Oxley (loi SOX), une loi américaine qui vise à prévenir la fraude au sein des entreprises.
Pour être conformes à la loi SOX, les sociétés cotées qui exercent leurs activités aux États-Unis doivent :
- mettre en place des contrôles internes pour protéger les données financières contre la falsification ;
- déposer des rapports réguliers auprès de la SEC (Securities and Exchange Commission) attestant de l’efficacité des contrôles de sécurité et de l’exactitude des informations financières ;
- passer un audit annuel indépendant de leurs états financiers et de leurs contrôles.
La loi SOX fixe également des règles pour les cabinets comptables qui auditent les sociétés anonymes et les analystes qui publient des recherches sur les titres. La loi prévoit des amendes importantes et des sanctions pénales pour les activités financières frauduleuses et certaines formes de non-conformité.
Bien que la loi SOX soit un règlement financier, les parties prenantes de toute l’entreprise sont impliquées dans la mise en conformité. Les services informatiques et les équipes de cybersécurité jouent désormais un rôle particulièrement important, car les organisations se tournent de plus en plus vers des solutions technologiques pour protéger les informations financières dans des réseaux d’entreprise complexes.
Selon un rapport publié en 2023 par le cabinet de conseil Protiviti (lien externe à ibm.com), plus de la moitié des entreprises affirment qu’il faut plus de temps pour se conformer à la loi SOX aujourd’hui. En moyenne, l’entreprise dépense chaque année plus de 1 million de dollars pour se conformer à la loi SOX.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Demandez notre rapport sur le coût d’une fuite de données
La loi Sarbanes-Oxley de 2002 est une loi fédérale américaine coparrainée par le sénateur Paul Sarbanes et le représentant Michael Oxley. Le Congrès a adopté cette loi à la suite de plusieurs scandales financiers survenus à l’aube du 21e siècle, notamment les faillites d’Enron, de WorldCom et de Tyco.
Dans ces cas comme dans d’autres, des sociétés cotées ont tiré parti de plusieurs failles dans les règles comptables et se sont rendues coupables de fraude pour gonfler leurs valeurs, faisant perdre des milliards aux investisseurs. Par exemple, lorsque les manigances d’Enron ont été révélées, le cours de son action est passé de 90,75 dollars à seulement 60 cents.
Dans certains cas, les entreprises ont été aidées par des cabinets d’experts-comptables externes qui étaient censés les auditer. Arthur Andersen, autrefois l’un des plus grands cabinets d’experts-comptables, a cessé ses activités en raison de son rôle dans les scandales d’Enron et de WorldCom.
La loi SOX vise à prévenir la fraude au sein des entreprises en établissant des prescriptions réglementaires strictes sur la manière dont les organisations protègent les documents financiers contre la falsification et en renforçant l’indépendance des auditeurs par rapport à leurs clients.
Il s’agit d’un projet de loi ambitieux qui comporte 11 titres au total. Voici quelques-uns de ses effets les plus significatifs :
- Création du Public Company Accounting Oversight Board (PCAOB)
- Renforcement des exigences en matière de reporting financier
- Les dirigeants d’entreprise sont personnellement responsables de la divulgation des informations financières et des contrôles
- Indépendance accrue des auditeurs et des analystes externes
- Protection des lanceurs d’alerte
La loi SOX a conduit à la création du PCAOB, une société à but non lucratif qui établit des normes d’audit financier et réglemente les cabinets d’experts-comptables responsables du contrôle des sociétés cotées. Le PCAOB peut enquêter sur les entreprises soupçonnées de non-conformité et les sanctionner en imposant des amendes pouvant s’élever à 10 000 dollars pour les particuliers et à 2 000 000 dollars pour les organisations.
En vertu de la loi Securities Exchange Act de 1934, les sociétés cotées d’une certaine taille étaient déjà tenues de déposer des rapports financiers annuels et trimestriels auprès de la SEC. La loi SOX insiste sur le fait que ces rapports doivent être exempts de déclarations trompeuses. Les rapports doivent être préparés conformément aux principes comptables généralement acceptés, un ensemble de normes tenu par le Financial Accounting Standards Board (lien externe à ibm.com).
Certaines transactions hors bilan que les entreprises pouvaient auparavant laisser de côté dans leurs rapports financiers, telles que les dettes détenues par des filiales non consolidées, doivent désormais être déclarées si elles ont un effet significatif sur la situation financière de l’entreprise. L’information est « matérielle » si elle est susceptible d’amener un investisseur raisonnable à reconsidérer une décision d’investissement.
Les entreprises doivent également rendre compte au public, pratiquement en temps réel, de tout ce qui constitue un changement important dans leurs informations financières.
Enfin, les entreprises doivent mettre en place des contrôles internes pour protéger les données financières contre la falsification et l’utilisation frauduleuse par des acteurs internes ou externes. Cela comprend la conservation des documents financiers pendant certaines périodes.
En vertu de la loi SOX, le directeur général (PDG), le directeur financier (CFO) et tous les dirigeants d’entreprise jouant un rôle similaire sont personnellement responsables de la véracité des états financiers et de l’efficacité des structures de contrôle interne. Les dirigeants peuvent être passibles d’amendes et de sanctions pénales si les rapports financiers sont inexacts, même s’ils n’ont pas intentionnellement induit les investisseurs en erreur.
Les conflits d’intérêts ont contribué aux scandales qui ont conduit à l’adoption de la loi SOX. Les cabinets d’experts-comptables qui contrôlaient les états financiers des sociétés anonymes fournissaient souvent des services de conseil lucratifs à ces mêmes entreprises. Les comptables se sont sentis incités à produire des rapports d’audit jugés acceptables par leurs clients, faute de quoi ils risquaient de perdre ces accords lucratifs.
De même, les analystes qui rendent compte de la valeur des actions travaillent souvent pour des organisations qui fournissent des services de banque d’investissement ou d’autres services aux sociétés anonymes.
La loi SOX vise à éliminer ces conflits d’intérêts de plusieurs manières. Tout d’abord, elle impose aux sociétés anonymes de créer des comités d’audit indépendants de la direction. Ces comités sont chargés de recruter des auditeurs indépendants et d’assurer la coordination avec eux. La loi SOX interdit également aux organisations de tenter d’influencer les résultats des audits.
Les cabinets d’experts-comptables ne peuvent pas fournir de services de conseil ou d’autres services aux mêmes entreprises pour lesquelles ils effectuent des audits SOX et les organisations doivent effectuer une rotation des auditeurs externes tous les cinq ans.
Les analystes financiers doivent opérer indépendamment des services de banque d’investissement de leurs établissements. Ils doivent également divulguer tout conflit d’intérêts potentiel lors de la déclaration sur les titres.
La loi SOX interdit les représailles contre les employés qui signalent des fraudes potentielles en les rétrogradant, en les licenciant, en les suspendant, en les harcelant ou en leur causant d’autres préjudices.
La loi SOX s’applique à toutes les sociétés cotées en bourse qui exercent leurs activités aux États-Unis et à leurs filiales en propriété exclusive. Elle s’applique également aux analystes financiers et aux cabinets d’experts-comptables qui auditent des sociétés cotées.
Bien que les sociétés non cotées et les organisations à but non lucratif ne soient généralement pas soumises à la loi SOX, il existe quelques exceptions. Les sociétés non cotées qui se préparent à entrer en bourse par le biais d’un premier appel public sont soumises à la loi SOX lorsqu’elles déposent une déclaration d’enregistrement auprès de la SEC. Les lanceurs d’alertes desdites sociétés qui fournissent des services aux sociétés cotées sont protégés par la loi SOX lorsqu’ils signalent les fautes commises par leurs clients publics.
La loi SOX interdit à toute entreprise, cotée, non cotée ou à but non lucratif, de détruire ou de falsifier des documents financiers pour faire obstruction à une enquête fédérale.
Bien que la loi SOX soit une réglementation américaine, elle a des répercussions sur les organisations en dehors du pays. Les sociétés cotées dont le siège social se trouve à l’extérieur des États-Unis doivent se conformer aux exigences de la loi SOX si elles exercent leurs activités aux États-Unis. L’adoption de la loi SOX a également incité d’autres pays à adopter leurs propres lois de lutte contre la fraude financière, comme la Loi sur le respect de la promesse d’une économie forte (aussi appelée « C-SOX ») du Canada et la Loi sur les instruments financiers et les changes du Japon (également appelée « J-SOX »).
En Europe, nombreux sont ceux qui ont constaté un chevauchement important entre la conformité à la loi SOX et la conformité au règlement général sur la protection des données (RGPD). En particulier, bon nombre des contrôles de sécurité et des processus de protection des données qui permettent d’assurer la conformité à la loi SOX permettent également d’assurer la conformité au RGPD. L’Union européenne a également mis en place des règles similaires à la loi SOX concernant l’indépendance des auditeurs financiers.
À l’origine, la conformité à la loi SOX signifie que toutes les informations financières d’une organisation sont parfaitement exactes et que l’organisation dispose des contrôles et de la documentation nécessaires pour étayer ses états financiers.
Cependant, le processus de mise en conformité avec la loi SOX peut s’avérer complexe. La SOX ne décrit pas de manière exhaustive tous les contrôles dont une entreprise a besoin ni toutes les mesures que les auditeurs doivent prendre. Les organisations n’atteignent pas toutes la conformité à la loi SOX de la même manière.
À un niveau élevé, la loi SOX comporte trois grandes exigences :
- Dépôt de rapports financiers précis certifiés par les dirigeants de l’entreprise.
- Mise en place de contrôles internes appropriés.
- Audits réguliers réussis.
En vertu de la section 302 de la SOX relative à la responsabilité de l’entreprise concernant les rapports financiers, le PDG, le directeur financier ou les dirigeants équivalents d’une entreprise doivent signer chaque rapport financier annuel et trimestriel déposé auprès de la SEC.
Lors de la signature des rapports, le PDG et le directeur financier doivent attester que les états financiers sont parfaitement exacts. Ils doivent également affirmer que les contrôles internes appropriés sont en place et ont été validés au cours des 90 derniers jours.
En vertu de la section 404 de la loi SOX relative à l’évaluation de la gestion des contrôles internes, chaque rapport financier annuel déposé auprès de la SEC doit contenir un rapport de contrôle interne approfondi. Le rapport de contrôle interne indique que la direction est responsable des contrôles internes et évalue l’efficacité des contrôles internes de l’entreprise à la fin de l’exercice fiscal le plus récent.
Les organisations doivent signaler rapidement toute modification importante de leur état financier. Si les incidents de cybersécurité peuvent être considérés comme des changements importants au sens de la loi SOX, il convient de noter que la SEC a adopté de nouvelles règles en juillet 2023 qui rendent encore plus strictes les exigences en matière de déclaration de ces incidents (lien externe à ibm.com).
En particulier, les organisations doivent signaler les incidents de cybersécurité dans les quatre jours qui suivent la constatation de l’incident ou qui pourraient avoir un impact important. Les entreprises doivent signaler les incidents survenus chez des tiers, tels que les services cloud, s’ils sont susceptibles d’affecter l’organisation de manière significative.
Les entreprises mettent en place des contrôles internes SOX afin d’empêcher les acteurs internes et externes de modifier frauduleusement les données financières ou de les utiliser à des fins illicites.
La loi SOX n’énumère pas explicitement tous les contrôles que les entreprises doivent mettre en place. Les organisations s’appuient souvent sur des cadres de gouvernance d’entreprise tels que le Control Objectives for Information and related Technology (en français « Objectifs de contrôle de l’information et des technologies associées »), qui appartient à l’ISACA (« Information Systems Audit and Control Association »). Le cadre des exigences du Committee of Sponsoring Organisation of the Treadway Commission (COSO) est également populaire. Bien que ces cadres d’exigences n’aient pas été conçus spécifiquement pour la loi SOX, les schémas de contrôle qu’ils présentent répondent généralement aux exigences de conformité de la loi SOX.
Les organisations mettent en place des contrôles au niveau des processus opérationnels et de l’infrastructure des technologies de l’information.
Les contrôles des processus opérationnels comprennent des éléments tels que la formation des employés aux exigences de la loi SOX et la mise en place de canaux de signalement sécurisés pour les lanceurs d’alerte.
De nombreuses entreprises appliquent également la séparation des tâches, un principe selon lequel le workflow est divisé en plusieurs parties et différents employés sont responsables de chaque étape. L’idée est qu’aucun employé ne contrôle l’ensemble du workflow et chaque personne impliquée contrôle les autres. Un exemple typique serait de faire en sorte que la personne qui approuve les paiements ne soit pas la même que celle qui émet les chèques à partir du compte de l’entreprise.
Les entreprises peuvent également créer des processus de stockage et de conservation des documents afin de se conformer aux exigences de la loi SOX en la matière. Par exemple, les auditeurs sont tenus de conserver tous les documents de travail associés à un audit pendant sept ans.
L’automatisation est devenue de plus en plus importante pour les efforts de conformité à la loi SOX à mesure que les réseaux d’entreprise se complexifient. Selon Protiviti, l’entreprise moyenne dispose de 36 applications métiers qui relèvent des exigences de la loi SOX (lien externe à ibm.com). Les contrôles de sécurité informatique peuvent aider à appliquer les règles de la loi SOX à toutes ces applications.
Certaines organisations utilisent un logiciel spécialisé de conformité à la loi SOX pour stocker en toute sécurité les données et documents liés à ladite loi, suivre les activités pertinentes et signaler les lacunes dans les contrôles internes. Cependant, les entreprises peuvent également utiliser des outils de cybersécurité plus généraux à des fins de conformité à la loi SOX.
Les outils de protection des données, tels que les solutions de prévention des pertes de données (DLP), permettent de savoir où les données sensibles sont stockées, qui y accède et ce qu’il en fait. Certains outils DLP peuvent également empêcher les utilisateurs d’apporter des modifications non autorisées aux données financières ou de les déplacer vers des emplacements non autorisés. Les organisations peuvent également utiliser des sauvegardes automatisées pour récupérer les données en cas de destruction ou de falsification.
Les solutions de gestion des identités et des accès (IAM) permettent aux organisations de définir des politiques de contrôle d’accès granulaires selon le principe du moindre privilège. Les employés se voient accorder le minimum d’autorisations dont ils ont besoin pour faire leur travail. Les plateformes IAM peuvent également rationaliser la gestion des modifications afin que les organisations puissent rapidement mettre à jour et supprimer les autorisations d’accès lorsque des personnes rejoignent l’entreprise, changent de rôle ou la quittent.
Les entreprises peuvent utiliser les solutions de gestion des informations et des événements de sécurité (SIEM) pour surveiller l’activité du réseau, détecter les violations de la sécurité et réagir aux incidents plus rapidement. Les solutions SIEM conservent également les journaux de sécurité qui aident les organisations à prouver leur conformité lors des audits de conformité SOX. Certains outils SIEM intègrent des fonctionnalités spécifiques à la loi SOX ou s’intègrent à des outils qui le font, ce qui leur permet d’enregistrer automatiquement les informations pertinentes et de générer des rapports de conformité.
Les obligations de la loi SOX en matière de sécurité de l’information s’étendent aux centres de données cloud où les organisations stockent ou traitent des informations financières. Les entreprises doivent également envisager des contrôles pour ces sources de données.
Comme indiqué ci-dessus, le PDG et le directeur financier doivent se porter garants de l’exactitude de chaque rapport financier et de l’efficacité des contrôles internes. Des audits réguliers fournissent aux dirigeants les preuves dont ils ont besoin pour faire ces déclarations.
En procédant à des audits internes réguliers des pratiques d’information financière et des contrôles des données, les entreprises peuvent contrôler la conformité au fil du temps, identifier les lacunes et remédier aux faiblesses.
Les constatations des audits internes peuvent également aider les auditeurs externes qui effectuent des audits annuels de conformité à la loi SOX. Dans le cadre de l’audit annuel, un cabinet d’expert-comptable indépendant procède à sa propre évaluation des contrôles internes et de l’information financière. Les résultats de cet audit sont souvent inclus dans le rapport annuel de la SEC de l’entreprise.
Auparavant, les auditeurs devaient indiquer s’ils estimaient que les évaluations des contrôles internes par la direction étaient exactes. Cette exigence a été supprimée lorsque la SEC a adopté la norme d’audit n° 5 en 2007 (lien externe à ibm.com).
La loi SOX ne précise pas exactement comment les gestionnaires et les cabinets d’experts-comptables doivent mener leurs audits. La SEC déclare (lien externe à ibm.com) plutôt que les auditeurs et les gestionnaires doivent utiliser une évaluation des risques descendante (en anglais « top-down risk assessment » ou TDRA) pour déterminer la portée de leurs audits. Un TDRA identifie les comptes, les informations à fournir et d’autres domaines les plus exposés à un risque de fraude significatif et se concentre sur l’évaluation des contrôles clés permettant de faire face à ces risques.
Devenir conforme à la loi SOX présente des avantages. Les investisseurs peuvent être plus confiants dans les divulgations financières et, par conséquent, plus disposés à investir dans des entreprises conformes aux normes SOX. SOX réduit également les incitations des dirigeants à commettre des fraudes en les tenant personnellement responsables des états financiers.
La conformité à la loi SOX peut aider les organisations à améliorer leurs mesures de cybersécurité en général. La plupart des contrôles de sécurité des données utilisés par les organisations pour empêcher la falsification financière peuvent également servir à lutter contre les cyberattaques. Par exemple, les solutions IAM aident à empêcher les pirates d’accéder aux comptes des utilisateurs et les outils SIEM peuvent aider à détecter plus rapidement les incidents de sécurité en cours.
Le non-respect de la loi SOX peut également entraîner des sanctions civiles et pénales pour les organisations et les individus.
Les dirigeants qui certifient un rapport financier inexact peuvent être condamnés à une amende pouvant s’élever à 1 million de dollars américains et à une peine d’emprisonnement pouvant aller jusqu’à 10 ans. Les dirigeants qui certifient délibérément des déclarations trompeuses sont passibles d’une amende pouvant s’élever à 5 millions de dollars et d’une peine d’emprisonnement pouvant aller jusqu’à 20 ans.
Les dirigeants peuvent également voir leur rémunération liée à l’intéressement récupérée si l’organisation doit procéder à un retraitement des états financiers. En vertu des règles de la SEC adoptées en 2022 (lien externe à ibm.com), les dirigeants n’ont même pas besoin d’être coupables. La clause de reprise est automatiquement déclenchée chaque fois qu’un retraitement montre que les objectifs liés à l’incitation n’ont pas été atteints.
La loi SOX rend également illégal le fait d’endommager, de modifier ou d’interférer de toute autre manière avec les documents financiers. Pour cela, les employés peuvent être condamnés à des peines de prison allant jusqu’à 20 ans. Les dirigeants d’entreprise qui exercent des représailles contre les lanceurs d’alerte sont passibles d’amendes et de peines de prison allant jusqu’à 10 ans.
La SEC peut interdire aux personnes qui enfreignent les règles de la loi SOX d’exercer des fonctions de dirigeant d’entreprise, d’administrateur, de courtier, de conseiller ou de distributeurs. Les entreprises peuvent même être radiées des marchés boursiers en cas de manquement grave.
Le logiciel de conformité IBM Security QRadar SIEM réduit les risques et aide à gérer les exigences de conformité complexes en soumettant les données de vos journaux SIEM aux extensions de conformité pour la plupart des normes réglementaires, y compris la loi SOX.
IBM Security Guardium Insights vous permet d’automatiser et de rationaliser votre parcours vers la sécurité et la conformité des données grâce à un logiciel qui protège vos données, où qu’elles se trouvent.
AIX, le système d’exploitation Unix propriétaire d’IBM, soutient l’innovation grâce à des fonctionnalités de cloud hybride et open source qui vous aident à créer et à déployer des applications modernes et conformes dans un environnement sécurisé et résilient.
L’IBM Security X-Force Threat Intelligence Index 2023 offre des informations exploitables pour vous aider à comprendre comment protéger votre organisation de manière proactive.
La GRC est une stratégie organisationnelle de gestion de la gouvernance, de gestion des risques et de conformité aux réglementations sectorielles et gouvernementales.
Une solution SIEM est une solution de sécurité qui aide les organisations à reconnaître et à traiter les menaces et les vulnérabilités potentielles avant qu’elles ne viennent interrompre leurs activités.