![Show Menu](styles/mobile-menu.png)
![Page Background](./../common/page-substrates/page0032.jpg)
PRÉSENTATION DE LA SOCIÉTÉ ET DE SES ACTIVITÉS
1.7 Facteurs de risques
1
30
Document de référence 2016 — Capgemini
Systèmes d’information
Facteurs de risque
supplémentaires pouvant altérer la réputation et la santé financière
cybercriminalité sous toutes ses formes peuvent conduire à une
nouvelles expositions pour le Groupe. Les risques liés à la
des interruptions de services chez nos clients, ou à des coûts
perte de données, à des retards dans la livraison de nos projets, à
du Groupe.
professionnel de matériel personnel
Bring your own device
...), et les
Les nouvelles technologies d’une part, (
cloud computing
, usage
SaaS,
DevOps
, etc.), d’autre part, créent immanquablement de
nouveaux usages (réseaux sociaux, mobilité,
Software-as-a-Service
-
en raison des délais imposés par le calendrier.
consolidés du Groupe présentent également un risque spécifique
Les systèmes dont dépend la publication des résultats financiers
Dispositifs de gestion du risque
de secours font l’objet d’une validation et d’audits périodiques.
certifiés ISO 27001). Cette politique de sécurité ainsi que les plans
Le Groupe a mis en place des procédures de sauvegarde de ses
informatique. Les principaux systèmes informatiques de gestion
activités et de ses réseaux de communication en cas de panne
d'hébergement (data centers). Le Groupe est attentif à la sécurité
font l’objet de plans de secours dans différents centres
équipements techniques spécifiques (
firewalls
...). Une politique de
de détection des attaques, fonctionnant en continu, et des
internationaux et des procédures (nos sites opérationnels sont
sécurité a été définie, s’appuyant sur de nombreux standards
de ses réseaux de communication internes, protégés par des
internationaux, des contrôles proactifs, d’un centre opérationnel
règles de sécurité, au meilleur niveau des standards
Les systèmes d’information et réseaux dédiés à certains projets,
protection renforcées, contractuellement définies.
ou à certains clients, peuvent faire l’objet de mesures de
chargé de la protection des informations et de la sécurité liée aux
organisation dédiée est placée sous la responsabilité du Directeur
CySIP
).
risques dits « cyber » (
Cyber Security and Information Protection –
les risques de cybercriminalité des principaux systèmes. Cette
Le Groupe dispose également d’un programme visant à maîtriser
décompose lui-même en 3 sous-ensembles traitant des
Ce programme lié à ces expositions aux risques dits « cyber » se
des risques « cyber » dans les domaines suivants :
des données, gestion de la mobilité, gestion des accès, contrôle
communication & formation) et 5 projets opérationnels (protection
l’infrastructure). La communauté CySIP dispose de spécialistes
et pilotage du système d’information, et développement de
problématiques liées à leur gouvernance (organisation, politique et
des responsables CySIP (
CySIP Officers
), dans les unités
◗
opérationnelles, pour le suivi des projets clients ;
Officers
), en charge de la protection des données personnelles
et de la conformité ;
des responsables Protection des données (
Data Protection
◗
d’information internes.
Information Security Officers
), pour la protection des systèmes
des responsables de la sécurité des informations (
Chief
◗
l’organisation du Groupe dans le domaine de la protection des
sujets du Digital et de la cybercriminalité. La politique et
règles définies par la commission européenne (
Binding Corporate
données à caractère personnel ont été arrêtées sur la base de
nos clients afin de renforcer de la crédibilité du Groupe sur les
L’ambition de ce programme est de devenir une référence pour
Rules
- BCR), et validées par la CNIL, pour traiter et stocker nos
propres données et celles de nos clients.
Continuité de service
Facteurs de risque
solutions de secours.
dans la mesure où plusieurs unités opérationnelles pourraient être
production, par suite d’un incident ou d’une catastrophe naturelle,
centres de production augmente les possibilités de disposer de
simultanément affectées. Le fait d’utiliser un grand nombre de
Latine, rend le Groupe plus dépendant des réseaux de
Pologne, en Chine, et dans d’autres pays d’Asie ou d’Amérique
les risques liés à l’éventuelle interruption d’activité d’un centre de
télécommunications. Ce mode de fonctionnement peut accroître
éloignés du lieu de leur utilisation, ou dans des pays autres que
d’une partie de ses services dans des centres de production
ceux où sont situés les clients servis, notamment en Inde, en
Rightshore
®
, consistant à délocaliser une partie de la production
Le développement du modèle industriel de Capgemini dit de
Dispositifs de gestion du risque
sont testés périodiquement.
ses filiales font l’objet d’une duplication et de plans de secours qui
Les services et systèmes de production fournis par le Groupe à
permettant d’assurer la continuité de service, où ces systèmes
redondante dans 2 centres d’hébergement (
data centers)
similaires en matière de redondance et de fiabilité.
sont hébergés chez un fournisseur disposant de dispositifs
de la situation et des impacts sur le site, l’agglomération et
menaces envisageables et les dommages associés tenant compte
exemple, e-mail) et de collaboration font l’objet d’une architecture
éventuellement le pays. Les systèmes de communication (par
Institute
(BCI), et qui prennent en compte les différents niveaux de
conformes au
Good Practice Guidelines
du
Business Continuity
(BCM), qui assure la continuité de ses services par des mesures
service est assuré par des routes alternatives, dispositif qui a déjà
connections préférentielles (primaires) entre l’Europe et l’Inde, le
une organisation dénommée
Business Continuity Management
prouvé son efficacité. La filiale indienne du Groupe a mis en place
cas d’une production
offshore.
Ainsi en cas de rupture des
Les réseaux de télécommunications utilisés sont dupliqués dans le
des infrastructures informatiques propres à un centre donné, un client
Les plans de continuité et de reprise d’activité en cas de pannes liées à
donné, ou un contrat donné sont du ressort des filiales du Groupe.
donc l’objet d’une certification par une agence extérieure,
grandes en raison d’impératifs de certains de leurs clients et font
« criticité » du service. L’efficacité de ces plans est testée par le
établi qui sélectionne les mesures adaptées en fonction de la
Certaines de ces entités ont des exigences de sécurité plus
biais de revues et d’exercices de simulation dans les filiales.
s’agissant de leur conformité à la norme ISO 27001.
Lorsque les contrats le requièrent, au cas par cas, un plan est
Fournisseurs et sous-traitants
Facteurs de risque
dans ses activités d’intégration de systèmes et de réseaux. Bien
Capgemini est dépendant de certains fournisseurs, notamment
et des réseaux, toute défaillance d’un fournisseur dans la livraison
que des solutions alternatives existent pour la plupart des logiciels
conséquences dommageables sur certains projets.
de technologies ou de compétences spécifiques peut avoir des