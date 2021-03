Attestation ISAE 3402 : Sage élève ses standards pour répondre aux exigences des entreprises en matière de sécurisation des données dans le cloud

mars 2021 par Marc Jacob

Conserver et protéger ses données financières n’a jamais été aussi important pour les entreprises, autant en France qu’à l’étranger. C’est d’ailleurs ce que confirme la dernière étude Sage/OpinionWay* : en effet, la sécurité des données dans le Cloud est particulièrement plébiscitée par 62 % des dirigeants et près d’un tiers d’entre eux (34 %) considère cela plus important depuis la crise sanitaire. C’est dans ce contexte que Sage annonce que plusieurs de ses solutions sont conformes au standard ISAE 3402, une démarche dans laquelle l’éditeur s’est engagé en 2019, bien avant la crise.

Rassurer les clients sur la sécurité de leurs données dans le Cloud

L’ISAE 3402 (International Standard on Assurance Engagements n°3402) est un standard mis en place en 2011 permettant aux utilisateurs de prestations externalisées d’obtenir une assurance quant à la fiabilité du dispositif de contrôle interne de leurs prestations de services. Cette attestation, délivrée par un cabinet d’audit indépendant, s’obtient en validant deux phases : la première examinant l’existence d’un contrôle interne adapté (Type I, validé en décembre 2019 par Sage), puis une seconde mesurant l’efficacité opérationnelle des contrôles dans le temps (Type II, validé fin 2020).

Grâce à cette attestation, les clients et prospects de Sage ont une garantie supplémentaire de la fiabilité des contrôles internes mis en œuvre par l’éditeur de solutions. Si cette norme d’audit internationale n’a pas d’équivalent national, elle permet à des éditeurs de logiciels en mode SaaS de communiquer sur leur système contrôle interne relatif à la fiabilité des états financiers de leurs clients.

Les grandes étapes du projet et les bénéfices pour les clients

Le projet a permis à Sage de mieux structurer les processus internes et d’assurer une stabilité dans les procédures en cas de mouvement dans l’organisation. De fait, cette organisation lui permet de garantir une couverture optimale des risques. Accompagné par Grant Thornton, l’éditeur a également mis en place différents comités de gouvernance pour suivre la bonne application des procédures et a recruté un « Incident & Change Manager ». Afin de suivre et tracer les demandes internes, l’éditeur s’est également équipé de l’outil de ITSM / Ticketing Service Now.

Il est à noter que la « phase de Type II » de l’attestation doit être renouvelée chaque année afin de contrôler la mise en place et la bonne exécution des processus et des contrôles. La durée d’audit de l’attestation peut être étendue de 6 à 10 ou 12 mois pour se conformer aux demandes des prospects et des clients, ce qui permet à ces derniers d’avoir l’assurance que la solution utilisée ne perd pas de sa fiabilité au fil du temps, en ce qui concerne le dispositif de contrôle interne visant à sécuriser leurs données financières, attestée par un tiers indépendant. Cette attestation est aussi très importante pour l’image de marque de Sage sur ces aspects de sécurité et de contrôle interne, ce qui permettra à l’éditeur de gagner du temps en phase d’avant-vente dans la réponse aux appels d’offres, aux RFP, etc.

*Étude sur la digitalisation des TPE/PME menée par Sage & OpinionWay, février 2021