CAPGEMINI_DOCUMENT_REFERENCE_2017

GOUVERNEMENT D'ENTREPRISE - RISQUES ET CONTRÔLE INTERNE

2.5 Risques et contrôle interne

Le Groupe veille, en permanence, à assurer la sécurité de ses systèmes ainsi que leur conformité aux engagements contractuels, ainsi qu’aux dispositions législatives et réglementaires qui leur sont, le cas échéant, applicables. Il s’emploie à mettre en œuvre, avec les parties prenantes, les mesures correctrices et protectrices éventuellement nécessaires. Le Groupe dispose à cet effet d’un programme visant à anticiper, prévenir, maîtriser les risques de cybercriminalité des principaux systèmes. Cette organisation dédiée est placée sous la responsabilité du Directeur chargé de la protection des informations et de la sécurité liée aux risques dits «{cyber{» ( Cyber Security and Information Protection – CySIP) qui a été placé, à compter du 1 er {janvier 2018, sous l’autorité du Directeur des Technologies. Ce programme lié à ces expositions aux risques dits «{cyber{» se décompose lui-même en 3{sous-ensembles traitant des problématiques liées à leur gouvernance (organisation, politique et communication & formation) et 5{projets opérationnels (protection des données, gestion de la mobilité, gestion des accès, contrôle et pilotage du système d’information, et développement de l’infrastructure). La communauté CySIP dispose de spécialistes des risques «{cyber{» dans les domaines suivants{: des responsables CySIP (CySIP Officers ), dans les unités X opérationnelles, pour le suivi des projets clients{; des responsables de la sécurité des informations ( Chief X Information Security Officers ), pour la protection des systèmes d’information internes. La communauté CySIP collabore étroitement avec les responsables protection des données ( Data Protection Officers ), en charge de la protection des données personnelles et de la conformité. L’ambition de ce programme est de devenir une référence pour nos clients afin de renforcer la crédibilité du Groupe sur les sujets du Digital et de la cybercriminalité. La politique et l’organisation du Groupe dans le domaine de la protection des données à caractère personnel ont été arrêtées sur la base de règles définies par la commission européenne ( Binding Corporate Rules - BCR ), et validées par la CNIL, pour traiter, stocker et transférer nos propres données et celles de nos clients. Facteurs de risques Capgemini est implanté de manière stable dans une quarantaine de pays. L’essentiel du chiffre d’affaires est réalisé en Europe et en Amérique du Nord, qui sont des zones relativement stables au plan économique et politique. Son modèle industriel dit de Rightshore ®, consiste à délocaliser une partie de la production d’une partie de ses services dans des centres de production éloignés du lieu de leur utilisation, ou dans des pays autres que ceux où sont situés les clients servis, notamment en Inde (qui concentre à elle seule 50{% de l’effectif total du Groupe), en Pologne, en Chine, au Guatemala, au Maroc et dans d’autres pays d’Asie ou d’Amérique latine. Ce mode de fonctionnement peut accroître les risques liés à une éventuelle interruption d’activité d’un centre de production, par suite d’un incident rendant l’accès aux réseaux de télécommunications difficile voire impossible, d’une catastrophe naturelle, de violences politiques dans un pays, voire une région, ou de crises géopolitiques impactant simultanément plusieurs unités opérationnelles. L’instabilité économique peut également être source de risques pour la performance et la réputation du Groupe. Continuité de service

La Direction Générale du Groupe a publié une Charte Éthique et veille à sa mise en pratique, afin de réduire au maximum le potentiel impact sur la réputation du Groupe. L’ International Works Council du Groupe intègre au-delà des pays européens des représentants de nos principaux pays hors d’Europe (Inde, États-Unis et Brésil), et les principaux dirigeants du Groupe viennent régulièrement présenter l’évolution du Groupe et ses principaux défis pour en discuter avec nos partenaires sociaux dans un esprit d’ouverture et de compréhension mutuelle. Enfin, dans le cadre de notre politique intitulée People Matter, Results Count , nous prenons en compte{: la motivation et l’évolution de carrière de nos collaborateurs{; X la mise en œuvre de plans de carrières variés et attractifs{; X le développement de nos collaborateurs au travers de X programmes de développement et de formation{; le respect et la promotion de l’équilibre entre vie X professionnelle et vie privée. Facteurs de risques Les nouvelles technologies ( cloud computing , usage professionnel de matériel personnel...) d'une part, et les nouveaux usages (réseaux sociaux, mobilité, Software-as-a-Service - SaaS, DevOps , intelligence artificielle, etc.), d’autre part, créent immanquablement de nouvelles expositions pour le Groupe. Les risques liés à la cybercriminalité sous toutes ses formes peuvent conduire à une perte de données, à des retards dans la livraison de nos projets, à des interruptions de services chez nos clients, ou à des coûts supplémentaires pouvant altérer la réputation et la santé financière du Groupe. Les systèmes d’information, dont dépend la publication des résultats financiers consolidés du Groupe, présentent également un risque spécifique en raison des délais imposés par le calendrier. Dispositifs de gestion du risque Le Groupe a mis en place des procédures de sauvegarde de ses activités et de ses réseaux de communication en cas de panne informatique. Les principaux systèmes informatiques de gestion font l’objet de plans de secours dans différents centres d'hébergement ( data centers ). Le Groupe est attentif à la sécurité de ses réseaux de communication internes, protégés par des règles de sécurité au meilleur niveau des standards internationaux, des contrôles proactifs, d’un centre opérationnel de détection des attaques, fonctionnant en continu, et des équipements techniques spécifiques{( firewalls ...). Une politique de sécurité a été définie, s’appuyant sur de nombreux standards internationaux et des procédures (nos sites opérationnels sont certifiés ISO{27001). Cette politique de sécurité ainsi que les plans de secours font l’objet d’une validation, de mises à jour et d’audits périodiques. Les systèmes d’information et réseaux dédiés à certains projets, ou à certains clients, peuvent faire l’objet de mesures de protection renforcées, contractuellement définies. Par ailleurs, un grand nombre de nos clients ont été identifiés comme opérateur d’importance vitale par leurs autorités nationales. Certains de nos clients seront également identifiés en tant qu’Opérateur des Services Essentiels (OSE) au titre de la directive 2016/1148 du 6{juillet 2016, aussi appelée directive NIS ( Network and Information Security ), ou par l’Europe. La sécurité de leur système d’information devra être agréée par les autorités nationales, ou par l’Europe, et notre Groupe, en tant que sous-traitant majeur, devra respecter cette réglementation. Systèmes d’information

2

111

DOCUMENT DE RÉFÉRENCE 2017 — CAPGEMINI