Cap Gemini - Document de référence 2016

1

PRÉSENTATION DE LA SOCIÉTÉ ET DE SES ACTIVITÉS

1.7 Facteurs de risques

Systèmes d’information

Continuité de service

Facteurs de risque

Facteurs de risque

supplémentaires pouvant altérer la réputation et la santé financière des interruptions de services chez nos clients, ou à des coûts perte de données, à des retards dans la livraison de nos projets, à en raison des délais imposés par le calendrier. consolidés du Groupe présentent également un risque spécifique Les systèmes dont dépend la publication des résultats financiers cybercriminalité sous toutes ses formes peuvent conduire à une nouvelles expositions pour le Groupe. Les risques liés à la SaaS, DevOps , etc.), d’autre part, créent immanquablement de nouveaux usages (réseaux sociaux, mobilité, Software-as-a-Service - du Groupe. professionnel de matériel personnel Bring your own device ...), et les Les nouvelles technologies d’une part, ( cloud computing , usage Le Groupe a mis en place des procédures de sauvegarde de ses informatique. Les principaux systèmes informatiques de gestion activités et de ses réseaux de communication en cas de panne d'hébergement (data centers). Le Groupe est attentif à la sécurité font l’objet de plans de secours dans différents centres de ses réseaux de communication internes, protégés par des internationaux, des contrôles proactifs, d’un centre opérationnel règles de sécurité, au meilleur niveau des standards équipements techniques spécifiques ( firewalls ...). Une politique de de détection des attaques, fonctionnant en continu, et des Dispositifs de gestion du risque de secours font l’objet d’une validation et d’audits périodiques. certifiés ISO 27001). Cette politique de sécurité ainsi que les plans internationaux et des procédures (nos sites opérationnels sont sécurité a été définie, s’appuyant sur de nombreux standards Les systèmes d’information et réseaux dédiés à certains projets, protection renforcées, contractuellement définies. ou à certains clients, peuvent faire l’objet de mesures de les risques de cybercriminalité des principaux systèmes. Cette Le Groupe dispose également d’un programme visant à maîtriser chargé de la protection des informations et de la sécurité liée aux organisation dédiée est placée sous la responsabilité du Directeur CySIP ). risques dits « cyber » ( Cyber Security and Information Protection – décompose lui-même en 3 sous-ensembles traitant des Ce programme lié à ces expositions aux risques dits « cyber » se problématiques liées à leur gouvernance (organisation, politique et des données, gestion de la mobilité, gestion des accès, contrôle communication & formation) et 5 projets opérationnels (protection l’infrastructure). La communauté CySIP dispose de spécialistes et pilotage du système d’information, et développement de des responsables CySIP ( CySIP Officers ), dans les unités ◗ opérationnelles, pour le suivi des projets clients ; Officers ), en charge de la protection des données personnelles et de la conformité ; des responsables Protection des données ( Data Protection ◗ d’information internes. Information Security Officers ), pour la protection des systèmes des responsables de la sécurité des informations ( Chief ◗ nos clients afin de renforcer de la crédibilité du Groupe sur les L’ambition de ce programme est de devenir une référence pour l’organisation du Groupe dans le domaine de la protection des sujets du Digital et de la cybercriminalité. La politique et règles définies par la commission européenne ( Binding Corporate données à caractère personnel ont été arrêtées sur la base de Rules - BCR), et validées par la CNIL, pour traiter et stocker nos propres données et celles de nos clients. des risques « cyber » dans les domaines suivants :

solutions de secours. dans la mesure où plusieurs unités opérationnelles pourraient être production, par suite d’un incident ou d’une catastrophe naturelle, centres de production augmente les possibilités de disposer de simultanément affectées. Le fait d’utiliser un grand nombre de les risques liés à l’éventuelle interruption d’activité d’un centre de télécommunications. Ce mode de fonctionnement peut accroître éloignés du lieu de leur utilisation, ou dans des pays autres que d’une partie de ses services dans des centres de production ceux où sont situés les clients servis, notamment en Inde, en Rightshore ® , consistant à délocaliser une partie de la production Le développement du modèle industriel de Capgemini dit de Latine, rend le Groupe plus dépendant des réseaux de Pologne, en Chine, et dans d’autres pays d’Asie ou d’Amérique sont testés périodiquement. ses filiales font l’objet d’une duplication et de plans de secours qui Les services et systèmes de production fournis par le Groupe à cas d’une production offshore. Ainsi en cas de rupture des Les réseaux de télécommunications utilisés sont dupliqués dans le de la situation et des impacts sur le site, l’agglomération et menaces envisageables et les dommages associés tenant compte Institute (BCI), et qui prennent en compte les différents niveaux de conformes au Good Practice Guidelines du Business Continuity (BCM), qui assure la continuité de ses services par des mesures une organisation dénommée Business Continuity Management prouvé son efficacité. La filiale indienne du Groupe a mis en place service est assuré par des routes alternatives, dispositif qui a déjà connections préférentielles (primaires) entre l’Europe et l’Inde, le permettant d’assurer la continuité de service, où ces systèmes redondante dans 2 centres d’hébergement ( data centers) similaires en matière de redondance et de fiabilité. sont hébergés chez un fournisseur disposant de dispositifs exemple, e-mail) et de collaboration font l’objet d’une architecture éventuellement le pays. Les systèmes de communication (par des infrastructures informatiques propres à un centre donné, un client Les plans de continuité et de reprise d’activité en cas de pannes liées à donné, ou un contrat donné sont du ressort des filiales du Groupe. Lorsque les contrats le requièrent, au cas par cas, un plan est « criticité » du service. L’efficacité de ces plans est testée par le établi qui sélectionne les mesures adaptées en fonction de la donc l’objet d’une certification par une agence extérieure, grandes en raison d’impératifs de certains de leurs clients et font Certaines de ces entités ont des exigences de sécurité plus biais de revues et d’exercices de simulation dans les filiales. Dispositifs de gestion du risque

s’agissant de leur conformité à la norme ISO 27001.

Fournisseurs et sous-traitants

Facteurs de risque dans ses activités d’intégration de systèmes et de réseaux. Bien Capgemini est dépendant de certains fournisseurs, notamment et des réseaux, toute défaillance d’un fournisseur dans la livraison que des solutions alternatives existent pour la plupart des logiciels conséquences dommageables sur certains projets. de technologies ou de compétences spécifiques peut avoir des

30

Document de référence 2016 — Capgemini