CAPGEMINI_DOCUMENT_REFERENCE_2017

3

NOTRE{RESPONSABILITÉ SOCIALE, SOCIÉTALE ET{ENVIRONNEMENTALE

3.1 Une stratégie renouvelée{: «{Architectes{d'Avenirs Positifs »

Cybersécurité et protection des données 3.1.6 Le programme de cybersécurité et de protection des données ( Cybersecurity & Information Protection , ou CySIP) du Groupe témoigne du rigoureux niveau d’exigence que nous nous imposons, en tant qu’entreprise leader des services informatiques, pour la protection des données de nos clients, de nos propres données et de celles de nos collaborateurs. Ce programme est pleinement conforme aux cadres législatifs et réglementaires en vigueur dans nos pays d’activité, et satisfait{plus particulièrement aux récentes réglementations européennes en la matière. Ses objectifs sont les suivants{: proposer des services sécurisés{à nos clients{; X instaurer et cultiver des relations de confiance avec nos clients X pour favoriser une croissance durable{; protéger les données et les actifs numériques de Capgemini{; X respecter les législations en vigueur. X Lancé en novembre{2014, le programme CySIP vise à renforcer la compétitivité du Groupe tout en anticipant les évolutions réglementaires en la matière. Sous la houlette du Secrétaire général du Groupe, le programme CySIP a présenté en{2015 une stratégie comprenant les objectifs, la gouvernance, le niveau de référence CySIP (pratiques minimum et obligatoires), la stratégie de confidentialité des données et la politique de protection des données personnelles. L’ensemble de ces dispositions a été mis en pratique à tous les niveaux du Groupe en 2017. A compter du 1 er janvier 2018, le programme est placé sous l’autorité du Directeur des Technologies Groupe. Le programme CySIP rassemble trois{communautés distinctes, qui travaillent en coordination sous l’autorité du CySIP Officer du Groupe{: les CySIP Officers des BU{Stratégiques (travaillant sur les 1. spécifications client et les projets de sécurisation des transferts){; les Data Protection Officers (DPO) dans les différents pays 2. (travaillant sur la protection des données personnelles et la confidentialité des données sensibles){; les Chief Information Security Officers (CISO) du département 3. Informatique du Groupe (focalisés sur nos besoins informatiques internes), auxquels se sont récemment ajoutés les CySIP Officers des entités opérationnelles et des équipes dédiées aux grands comptes. La protection des données et le respect de la confidentialité étaient l’une des grandes priorités de l’agenda stratégique{2017. Capgemini a mis en place des règles internes d’entreprise ( Binding Corporate Rules , ou BCR) sur la protection des données personnelles, validées en{2016 par la Commission Nationale de l’Informatique et les Libertés (CNIL), couvrant les activités dans lesquelles le Groupe contrôle et traite des données. Dans le même temps, le Groupe a mutualisé ses moyens afin de se préparer à l’entrée en vigueur du règlement général sur la protection des données (RGPD) au niveau européen, prévue pour le 25{mai 2018. Les DPO ont travaillé en collaboration avec la communauté CySIP et les parties prenantes pour réviser les procédures internes, mettre en place les mesures techniques et organisationnelles appropriées, identifier les outils pertinents et former les employés aux nouvelles règles et procédures.

Les projets opérationnels du programme CySIP s’articulent autour de trois{thématiques principales{: la gestion de l’identification et de l’accès, visant à renforcer les X contrôles d’accès aux applications et aux données, et la gestion des informations et événements de sécurité, dont l’objectif est d’augmenter nos capacités de détection et de réponse{; le Security Operation Center (SOC) de Capgemini, situé en X Europe, qui assure les services de surveillance de nos infrastructures et systèmes informatiques{; les politiques et outils BYOD ( Bring Your Own Device ) mises en X œuvre afin de sécuriser les accès et les données lorsque les utilisateurs emploient des appareils personnels à des fins professionnelles. Le programme CySIP a permis de nombreux changements techniques et organisationnels concernant la cybersécurité et la protection des données au sein du groupe Capgemini. Parmi ces transformations, sont à noter{: la mise en place d’une gouvernance dédiée dans les entités X opérationnelles, avec la création d’une communauté CySIP forte d’une centaine de membres{; la certification ISO{27001 de nos sites{: plus de 160{000{collaborateurs ont suivi les formations en ligne correspondantes{; une capacité de détection des incidents grâce à la mise en X service opérationnelle du SOC début{2017{; des revues régulières de la stratégie et des niveaux de X référence CySIP{; une migration accélérée vers Windows{10 pour les ordinateurs X portables{; le déploiement du chiffrement PGP des emails assurant des X communications internes hautement sécurisées{; l’état des lieux{2016 et le plan d’action{2017 du CySIP revus et X avalisés par les leaders des SBU{; le lancement du programme Concord pour répondre à X l’augmentation des risques en matière de cybersécurité. Par ailleurs, des évaluations de maturité sont conduites annuellement sur les niveaux de référence CySIP, sur les pratiques de protection de données et sur la mise en œuvre des projets opérationnels (les dernières évaluations ont été achevées en mars et septembre{2017). Celles-ci sont désormais intégrées à notre plan global d’audit et de contrôle. Des auto-évaluations permettent également de vérifier que les pratiques obligatoires sont effectivement appliquées{; ajoutées aux audits techniques et aux tests de pénétration, elles servent de base à la définition des plans de mitigation des risques au niveau du Groupe comme au niveau de chaque entité. Toutes ces mesures ont permis à Capgemini d’atteindre ses objectifs CySIP en{2017, et d’appliquer avec succès les procédures et les principes de gouvernance du programme.

128

DOCUMENT DE RÉFÉRENCE 2017 — CAPGEMINI