La loi Sarbanes-Oxley (SOX) est une loi fédérale américaine introduite en 2002 en réponse à un certain nombre de scandales financiers très médiatisés au début de la décennie (Enron Corporation, Tyco International plc, et WorldCom.). Elle vise entre autre à protéger les investisseurs contre les rapports financiers frauduleux des entreprises. La loi a créé de nouvelles règles strictes pour les comptables, les auditeurs et les dirigeants d'entreprise et a imposé des exigences plus rigoureuses en matière de tenue de registres.
Les entreprises basées aux États-Unis ou faisant des affaires dans ce pays sont toutes soumises à la réglementation SOX. En cas de non conformité, elles s'exposent à de lourdes sanctions pénales et à une perte importante de crédibilité, notamment auprès des investisseurs.
La loi SOX exige de la direction et des auditeurs externes un rapport sur l'adéquation du contrôle interne de l'entreprise sur les rapports financiers. Par conséquent, les entreprises doivent concevoir leurs systèmes informatiques afin qu'ils puissent être audités. Toute action effectuée par l'entreprise et qui a un impact sur les rapports financiers doit être traçée et enregistrée.
Tout changement ayant une incidence sur les chiffres doit être soumis à des contrôles et processus appropriés, portant sur trois domaines principaux :
- La gestion des accès à la plateforme utilisée pour générer ces chiffres
- La gestion des changements : suivi de toute demande de modification ayant un impact sur les données financières de la plateforme
- Les opérations IT : gestion des incidents sur la plateforme
Quel est le rôle de Pigment dans ce domaine ?
La plateforme Pigment a été conçue pour favoriser la transparence : elle propose des fonctionnalités natives de contrôles d'accès granulaires permettant de partager facilement l'information avec les bonnes personnes. Elle favorise également la traçabilité : les utilisateurs peuvent en effet facilement auditer et suivre toutes les actions effectuées dans la plateforme. Pour chaque fonctionnalité, nous veillons à ce que les utilisateurs puissent facilement gérer tout accès ou modification du modèle. Notre façon de concevoir notre solution, ainsi que le déploiement et la gestion des incidents, est pensé dans cette même optique (même avec des mises à jour quotidiennes visant à améliorer la plateforme).
Note : Pigment n'est pas intrinsèquement conforme à la loi SOX. Il incombe au client, et non à Pigment, de définir et de suivre les politiques et procédures nécessaires pour garantir que l'utilisation de Pigment est conforme aux réglementations SOX. Cependant, Pigment a été conçue en tenant compte de ces principes pour assurer le fait que nos fonctionnalités permettent aux clients de contrôler leurs actions.
Chaque fois que nous développons une fonctionnalité, nous gardons à l'esprit les principes suivants :
- Pour les fonctionnalités critiques pour la sécurité
Nous disposons de nombreuses fonctionnalités d'audit de la plateforme qui privilégient la traçabilité des actions. Ces fonctions ne sont pas exhaustives, mais ce sont les plus importantes à nos yeux :
- Afin de mieux gérer les accès à Pigment, tout est centralisé depuis les fonctionnalités "Groupes", "Droits d'accès" et "Permissions" - les mises à jour des modifications apportées à ces droits sont suivies par le biais de notre API d'audit.
- La gestion des utilisateurs (invitation, désactivation et activation des utilisateurs), les mises à jour de la modélisation (mises à jour des formules, création de blocs) et les mises à jour des données (par exemple, les entrées et les chargements de données) sont également suivies avec l'API.
- Pour les fonctionnalités moins critiques pour la sécurité
Pour faciliter la prise en main de Pigment, nous donnons la priorité aux éléments liés à l'interface utilisateur (UX). D'un coup d'œil, l'utilisateur peut voir toutes les actions effectuées dans la plateforme et les paramètres sélectionnés pour configurer les différentes visualisations des données.
Pour aller plus loin
RDV sur le site de la Communauté Pigment pour accéder à une présentation complète des fonctionnalités de contrôle d'accès et de gestion des changements au sein de Pigment. Vous y trouverez également une liste de recommandations de politiques et de processus à mettre en place pour garantir votre conformité SOX. Bonne lecture !
Pour en savoir plus sur les accréditations de sécurité dans Pigment, consultez notre rapport de confiance ici.