English version English version Plan du site Plan du site Site clientLogin
Sécurité Informatique

Titre de l'article : La mise en place de SARBANES-OXLEY
Auteur : Marc Behar, fondateur Xmco Partners
Couriel : marc.behar@xmcopartners.com
Date : Mars 2006
Sections :
La gestion des mots de passe
L'étude de réseau informatique
La gestion des antivirus et des correctifs
Plan de reprise en cas de désastres
La sécurité des applications ERP
La gestion des ordinateurs portables
Les sauvegardes
La journalisation et les audits
La gestion des vulnérabilités
La sécurité physique
La sécurité des bâtiments


>Mise en place de la loi Sarbanes Oxley au sein du SI de l'entreprise

Cette loi fut votée en juillet 2002 par le Congrès Américain puis ratifiée par le président G.W Bush le 30 du même mois.

L'application de cette loi entre en vigueur pour toutes les entreprises américaines cotées au NASDAQ ainsi que leurs filiales à l'étranger.

Chacune d'entre elle doit certifier leurs comptes auprès de la Securities and Exchanges Commission (SEC) l'organisme de régulation des marchés financiers US.

Plusieurs points sont étudiés et doivent faire l'objet de tests précis.

Une dizaine de catégories sont prises en compte.

La gestion des mots de passe

Un audit concerne plusieurs critères :

- Le niveau de sécurité des mots de passe.

- La vérification du changement des mots de passe tous les six mois.

- L'étude des notes délivrées par le responsable sécurité aux employés sur la politique des choix de mots de passe.

Un exemple concret de test consisterait à évaluer la sécurité des mots de passe de 30 utilisateurs, et à identifier la proportion de mots de passe faibles.

L'étude de réseau informatique

La seconde partie concerne le réseau informatique. Plusieurs points sont à étudier :

- Vérification de l'authentification des accès VPN.

- Utilisation des serveurs DHCP avec réservation d'IP en fonction de l'adresse MAC afin d'interdire l'accès aux machines étrangères au réseau.

- Protection du réseau interne par 2 niveaux de pare-feux.

- Contrôle et journalisation des accès à Internet.

- Signature d'une charte de bon usage d'Internet.

- Authentification des utilisateurs pour accéder à Internet.

- Révocation des certificats lors du départ des collaborateurs.

- Filtrage des emails vis-à-vis des menaces connues: virus, chevaux de Troie, etc.

La gestion des antivirus et des correctifs

Effectuer un filtrage efficace sur les serveurs de mails afin d'éviter toute propagation de vers et de fichiers malicieux sur le réseau internes.

- Analyse virale de tous les messages qui transitent par le serveur SMTP.

- Un contrôle des mises à jour doit être effectué chaque mois par un responsable informatique.

pc portable sécurité

Plan de reprise en cas de désastres

Cet aspect a pour objectif d'évaluer les capacités de l'entreprise à faire face à un incident grave.

- Sauvegarde des serveurs principaux.

- Externalisation des supports de sauvegarde.

- Rédaction d'un document de procédure de restauration pour chaque serveur.

La sécurité des applications ERP

La sécurité des ERPs constitue un point clé de la loi Sarbanes-Oxley.

- Contrôles stricts de l'accès : attribution de droits aux utilisateurs des différentes ressources.

- Utilisation de mots de passe longs et une authentification établie toutes les 15 minutes lorsque l'application n'est pas utilisée.

- Accessibilité des données seulement aux utilisateurs autorisés.

La gestion des ordinateurs portables

Spécification d'une politique de sécurité stricte pour les ordinateurs portables.




Il est nécessaire de prendre des mesures précises afin d'éviter toute perte et vol de données ou l'infection du réseau par des virus.

- Présence d'un pare-feu personnel sur chaque ordinateur portable.

- Activation par défaut de l'exécution des mises à jour des anti-virus, des logiciels divers et du système d'exploitation.

pc portable sécurité

Les sauvegardes

Des mesures de sauvegardes continues.

- Sauvegarde des serveurs et des postes sensibles.

- Spécification de la durée de rétention des sauvegardes en fonction de chaque entreprise.

- Réalisation de tests de restauration tous les quatre à six mois.

La journalisation & Audits

Mener des audits internes afin d'assurer le bon fonctionnement des mesures de sécurité prises par l'entreprise.



- Vérification de l'existence des fichiers de logs des serveurs mails, des navigateurs internet, des accès VPN?


- Traçabilité des accès aux applications financières et ressources humaines.


- Sauvegardes des emails conservées durant 1 mois minimum (destinataire, l'envoyeur, le sujet, la date et l'heure et l'IP)

La gestion des vulnérabilités

Réaliser des tests de vulnérabilités chaque mois sur les serveurs critiques, assortis. de rapports écrits par les responsables de la sécurité.

La sécurité physique

Réglementer de manière stricte l'accès aux bâtiments et aux ressources informatiques.


- Contrôle et restriction des accès aux différentes zones de l'entreprise via un système de contrôle.

- Passage obligatoire des visiteurs par l'accueil pour être enregistrés.

- Protection des salles des serveurs informatiques par un lecteur de badges

La sécurité des bâtiments

Protéger les bâtiments contre les incendies et sécuriser les flux afin d'éviter les vols de données.

- Affichage du plans d'évacuation à chaque étage.

- Réalisation d'un test d'évacuation d'urgence une fois par an.

- Présence d'alarmes incendies ainsi que de portes anti-feu dans chaque bâtiment




> Nos publications "sécurité"

+ Notre newsletter :


S'abonner à la newsletter

> Aller plus loin

+ Cas concret d'un audit SOX


> Tous nos articles

+ Tous les articles



> Le cabinet Xmco Partners

+ La société

+ Les audits de sécurité

+ Contactez le cabinet