SAINT-GOBAIN-DOCUMENT_REFERENCE_2017

7

Risques et contrôle Contrôle interne

La Doctrine 2.4.3 La Doctrine présente l’ensemble des procédures financières, administratives et de gestion applicables aux sociétés du Groupe. Ces procédures, accessibles par l’intranet du Groupe, s’organisent autour de deux thèmes principaux : organisation et procédures Groupe, et normes financières et comptables. Les activités du département de la Doctrine font l’objet d’un rapport communiqué deux fois par an au Comité d’audit et des risques du Conseil d’administration.

précise et illustre, en suivant le cycle d’amélioration continue, les manières de mettre en œuvre les chapitres du Référentiel. Pour cela, il décrit pour chacun d’entre eux les exigences et met à disposition des documents références, des exemples de mise en œuvre ou des bonnes pratiques. Par ailleurs, la Direction EHS élabore et met à jour, en collaboration avec son réseau, des standards EHS Groupe, qui décrivent les exigences minimales applicables et/ou les méthodologies. Ils permettent d’évaluer et contrôler un risque sur les mêmes bases dans tous les établissements du Groupe, quels que soient les pays concernés et la législation ou la réglementation locale (voir Section 1.3 du Chapitre 4). Parmi les documents mis à disposition des sites pour l’application des standards, figurent des guides d’application, des procédures, des kits de formation, des questionnaires d’évaluation et des audits croisés de la mise en place des standards et des outils informatiques. La Doctrine générale de sécurité 2.4.5 des systèmes d’information La Direction des Systèmes d’Information définit les règles et les bonnes pratiques dans le domaine des systèmes d’information et des réseaux, sous la forme de quatre ensembles de règles minimales obligatoires de sécurité couvrant les domaines suivants : les infrastructures, avec les 15 règles minimum de sécurité  (22 points de contrôle, 94 entités) et le SGTS Security reporting (34 points de contrôle, 20 SGTS couvrant 428 entités) ; l’informatique industrielle avec les 14 règles minimum de  sécurité (20 points de contrôle, 303 entités avec des systèmes IT industriels critiques ou importants) ; les centres de Recherche et Développement avec 7 règles  minimum de sécurité (13 points de contrôle, 14 centres de recherche) ; les applications avec les 22 règles minimum de sécurité  (50 points de contrôle, 65 centres de compétences) ; l’hébergement des ressources dans les Datacenters opérés  par des partenaires pilotés par la DSI du Groupe ou les SGTS (99 points de contrôle, 17 Datacenters). Ces règles sont la déclinaison opérationnelle par thématique de deux autres documents clés en amont dans le référentiel documentaire de la Sécurité des SI : la lettre de politique Générale de Sécurité des SI, assurant  l’importance du sujet et le « sponsorship » du top management ; la Doctrine de Sécurité du SI Groupe, référentiel primordial  qui constitue la politique de sécurité des Systèmes d’Information ; le cadre de référence des actions, à court et moyen  termes, visant à renforcer la cyberdéfense de Saint-Gobain pour surmonter de nouvelles cyberattaques. Ce cadre est décliné en quatre plans d’actions opérationnels spécifiques portant sur les infrastructures globales, les infrastructures locales, les plans de continuité des applications et les actions auprès des utilisateurs. Ces règles sont aussi complétées en aval par des normes techniques périodiquement mises à jour pour suivre les évolutions technologiques et contrôler les services d’infrastructure.

DIRECTION DE LA DOCTRINE

Information « poussée »

INTRANET DOCTRINE

Hotline

vers le mail des collaborateurs

COLLABORATEURS DU GROUPE

Le Référentiel environnement, 2.4.4 hygiène industrielle et sécurité (EHS) Le Référentiel EHS décrit la démarche que tous les établissements doivent suivre pour mettre en place un système de management EHS et participer à l’atteinte des objectifs fixés par le Groupe en matière de respect de l’environnement et de prévention des accidents et des maladies professionnelles. Cette démarche s’articule autour des principales étapes de l’identification des risques, de la mise en œuvre des actions de prévention, de réduction et de contrôle des risques. Le Référentiel EHS, version 2012, est disponible sur l’intranet du Groupe et diffusé dans tous les établissements. Il est cohérent avec les certifications ISO 14001:2004 et OHSAS 18001, ainsi qu’avec la démarche WCM (World Class Manufacturing) du Groupe (voir Section 2 du Chapitre 4). Il sert de référence pour l’audit des systèmes de management EHS (audit 12 et 20 étapes). Les nouvelles versions du Référentiel et de l’audit ont été diffusées début 2018 pour tenir compte des dernières évolutions des normes internationales. En complément, le Manuel EHS, mis à jour en 2014, a pour but d’aider l’ensemble des établissements du Groupe à mettre en place et déployer un système de management EHS intégré conformément au Référentiel EHS. Conçu comme un véritable outil à la disposition de chacun, le manuel EHS

198 SAINT-GOBAIN DOCUMENT DE RÉFÉRENCE 2017