Table of Contents Table of Contents
Previous Page  30 / 330 Next Page
Information
Show Menu
Previous Page 30 / 330 Next Page
Page Background

PRÉSENTATION DE LA SOCIÉTÉ ET DE SES ACTIVITÉS

1.7 Facteurs de risques

1

30

Document de référence 2016 — Capgemini

Systèmes d’information

Facteurs de risque

supplémentaires pouvant altérer la réputation et la santé financière

cybercriminalité sous toutes ses formes peuvent conduire à une

nouvelles expositions pour le Groupe. Les risques liés à la

des interruptions de services chez nos clients, ou à des coûts

perte de données, à des retards dans la livraison de nos projets, à

du Groupe.

professionnel de matériel personnel

Bring your own device

...), et les

Les nouvelles technologies d’une part, (

cloud computing

, usage

SaaS,

DevOps

, etc.), d’autre part, créent immanquablement de

nouveaux usages (réseaux sociaux, mobilité,

Software-as-a-Service

-

en raison des délais imposés par le calendrier.

consolidés du Groupe présentent également un risque spécifique

Les systèmes dont dépend la publication des résultats financiers

Dispositifs de gestion du risque

de secours font l’objet d’une validation et d’audits périodiques.

certifiés ISO 27001). Cette politique de sécurité ainsi que les plans

Le Groupe a mis en place des procédures de sauvegarde de ses

informatique. Les principaux systèmes informatiques de gestion

activités et de ses réseaux de communication en cas de panne

d'hébergement (data centers). Le Groupe est attentif à la sécurité

font l’objet de plans de secours dans différents centres

équipements techniques spécifiques (

firewalls

...). Une politique de

de détection des attaques, fonctionnant en continu, et des

internationaux et des procédures (nos sites opérationnels sont

sécurité a été définie, s’appuyant sur de nombreux standards

de ses réseaux de communication internes, protégés par des

internationaux, des contrôles proactifs, d’un centre opérationnel

règles de sécurité, au meilleur niveau des standards

Les systèmes d’information et réseaux dédiés à certains projets,

protection renforcées, contractuellement définies.

ou à certains clients, peuvent faire l’objet de mesures de

chargé de la protection des informations et de la sécurité liée aux

organisation dédiée est placée sous la responsabilité du Directeur

CySIP

).

risques dits « cyber » (

Cyber Security and Information Protection –

les risques de cybercriminalité des principaux systèmes. Cette

Le Groupe dispose également d’un programme visant à maîtriser

décompose lui-même en 3 sous-ensembles traitant des

Ce programme lié à ces expositions aux risques dits « cyber » se

des risques « cyber » dans les domaines suivants :

des données, gestion de la mobilité, gestion des accès, contrôle

communication & formation) et 5 projets opérationnels (protection

l’infrastructure). La communauté CySIP dispose de spécialistes

et pilotage du système d’information, et développement de

problématiques liées à leur gouvernance (organisation, politique et

des responsables CySIP (

CySIP Officers

), dans les unités

opérationnelles, pour le suivi des projets clients ;

Officers

), en charge de la protection des données personnelles

et de la conformité ;

des responsables Protection des données (

Data Protection

d’information internes.

Information Security Officers

), pour la protection des systèmes

des responsables de la sécurité des informations (

Chief

l’organisation du Groupe dans le domaine de la protection des

sujets du Digital et de la cybercriminalité. La politique et

règles définies par la commission européenne (

Binding Corporate

données à caractère personnel ont été arrêtées sur la base de

nos clients afin de renforcer de la crédibilité du Groupe sur les

L’ambition de ce programme est de devenir une référence pour

Rules

- BCR), et validées par la CNIL, pour traiter et stocker nos

propres données et celles de nos clients.

Continuité de service

Facteurs de risque

solutions de secours.

dans la mesure où plusieurs unités opérationnelles pourraient être

production, par suite d’un incident ou d’une catastrophe naturelle,

centres de production augmente les possibilités de disposer de

simultanément affectées. Le fait d’utiliser un grand nombre de

Latine, rend le Groupe plus dépendant des réseaux de

Pologne, en Chine, et dans d’autres pays d’Asie ou d’Amérique

les risques liés à l’éventuelle interruption d’activité d’un centre de

télécommunications. Ce mode de fonctionnement peut accroître

éloignés du lieu de leur utilisation, ou dans des pays autres que

d’une partie de ses services dans des centres de production

ceux où sont situés les clients servis, notamment en Inde, en

Rightshore

®

, consistant à délocaliser une partie de la production

Le développement du modèle industriel de Capgemini dit de

Dispositifs de gestion du risque

sont testés périodiquement.

ses filiales font l’objet d’une duplication et de plans de secours qui

Les services et systèmes de production fournis par le Groupe à

permettant d’assurer la continuité de service, où ces systèmes

redondante dans 2 centres d’hébergement (

data centers)

similaires en matière de redondance et de fiabilité.

sont hébergés chez un fournisseur disposant de dispositifs

de la situation et des impacts sur le site, l’agglomération et

menaces envisageables et les dommages associés tenant compte

exemple, e-mail) et de collaboration font l’objet d’une architecture

éventuellement le pays. Les systèmes de communication (par

Institute

(BCI), et qui prennent en compte les différents niveaux de

conformes au

Good Practice Guidelines

du

Business Continuity

(BCM), qui assure la continuité de ses services par des mesures

service est assuré par des routes alternatives, dispositif qui a déjà

connections préférentielles (primaires) entre l’Europe et l’Inde, le

une organisation dénommée

Business Continuity Management

prouvé son efficacité. La filiale indienne du Groupe a mis en place

cas d’une production

offshore.

Ainsi en cas de rupture des

Les réseaux de télécommunications utilisés sont dupliqués dans le

des infrastructures informatiques propres à un centre donné, un client

Les plans de continuité et de reprise d’activité en cas de pannes liées à

donné, ou un contrat donné sont du ressort des filiales du Groupe.

donc l’objet d’une certification par une agence extérieure,

grandes en raison d’impératifs de certains de leurs clients et font

« criticité » du service. L’efficacité de ces plans est testée par le

établi qui sélectionne les mesures adaptées en fonction de la

Certaines de ces entités ont des exigences de sécurité plus

biais de revues et d’exercices de simulation dans les filiales.

s’agissant de leur conformité à la norme ISO 27001.

Lorsque les contrats le requièrent, au cas par cas, un plan est

Fournisseurs et sous-traitants

Facteurs de risque

dans ses activités d’intégration de systèmes et de réseaux. Bien

Capgemini est dépendant de certains fournisseurs, notamment

et des réseaux, toute défaillance d’un fournisseur dans la livraison

que des solutions alternatives existent pour la plupart des logiciels

conséquences dommageables sur certains projets.

de technologies ou de compétences spécifiques peut avoir des

I 25 26 27 28 29 30 31 32 33 34 35 36 IV