D
Responsabilité sociétale d’entreprise
D.4
Être un acteur éthique et équitable dans sa sphère d’influence
Trusted partner for your Digital Journey
90
Protection des actifs
D.4.1.3
Une approche globale de la protection des biens
métiers internes et externes (c’est-à-dire « liés aux clients »).
d’Atos afin de garantir la sûreté et la sécurité des processus
des consultants partout dans l’organisation Atos.
Elles s’appliquent à l’ensemble des équipes, des contractants et
obligatoires et engagent toutes les entités et tous les employés
sécurité et la sûreté. Les politiques de sécurité d’Atos sont
50 politiques, normes et recommandations Groupe sur la
Le Département de la Sécurité du Groupe d’Atos a élaboré
informatiques).
protection de tous les biens d’Atos, qu’ils soient propriété d’Atos,
Les politique Sécurité et Sûreté du Groupe Atos englobent la
intellectuelle, sites, réseaux, employés, logiciels et matériels
utilisés par ou confiés à Atos (informations, propriété
Depuis 2013, les principales politiques de sécurité d’Atos ont été
internes) :
intégrées au « Book of Internal Policies » (livre de politiques
AP90 Politique de Sécurité des Informations d’Atos ;
•
AP91 Politique de Classification des Informations d’Atos ;
•
AP92 Politique de Sûreté d’Atos ;
•
l’Information d’Atos.
AP96 Politique d’Utilisation Acceptable des Technologies de
•
d’accords de confidentialité, le cryptage et la protection logique
confidentielles, incluant mais non limitées à, l’utilisation
et physique des informations quand cela est requis.
protéger sa propriété intellectuelle et ses informations
De plus, Atos a mis en place des mesures et des politiques pour
En outre, le Département Juridique, Compliance et Gestion des
appropriée et en conformité avec les lois applicables.
commerciales et s’assure que des dispositions appropriées soient
contrats d’Atos conseille sur toutes les transactions
que les questions de confidentialité soient traitées de façon
incluses dans les contrats avec les clients et les fournisseurs et
gouvernance
Système de gestion de la sécurité, organisation et
(SMSI), réalisé en 2001, continue d’être appliqué dans toutes les
Le système de Gestion de la Sécurité de l’Information d’Atos
alignée sur ce processus d’amélioration continue relatif au SMSI.
Entités Opérationnelles et Divisions. L’organisation Sécurité est
rassemblées en une seule série de politiques de sécurité qui sont
Les améliorations qu’il est prévu d’apporter au SMSI sont
monde et seront :
harmonisées dans tous les secteurs d’Atos, partout dans le
rédigées clairement et de façon à permettre au personnel
•
d’Atos de les comprendre et de les respecter ;
uniformes dans la structure et la terminologie ;
•
faciles à utiliser et à maintenir à jour.
•
Ceci sera aidé par un exercice rationalisé de revue et
d’approbation des documents.
responsabilité du Directeur de la Sécurité du Groupe –
a été structurée autour de réunions hebdomadaires sous la
du Groupe et des Entités Opérationnelles, représentants de
Responsable de la Sécurité, avec tous les responsables sécurité
gestion de la sécurité pour aborder des domaines spécifiques
poursuite de l’affectation ou la mise en place d’équipes de
de sécurité informatique). La Gouvernance Groupe de la sécurité
(par exemple la création d’une équipe de réponse aux incidents
l’ensemble des entités d’Atos.
A la suite des initiatives de 2013, l’organisation et la
Divisions d’Atos (par exemple Infrastructure & Data Management
gouvernance de la sécurité ont encore été renforcées dans les
ainsi que Business & Platform Solutions) ainsi que par la
ensemble sur :
(CSO) de l’ensemble de l’organisation du Groupe travaillent
Durant les réunions hebdomadaires, les Directeurs de la Sécurité
le suivi de toutes les décisions et actions prises en matière de
•
sécurité ;
un intérêt mondial ;
la revue de tous les événements et incidents de sécurité ayant
•
l’examen des résultats des tests de vulnérabilités fonctionnant
•
de réseaux Atos (Internet, Intranet, les environnements de
depuis le deuxième semestre 2013 sur toutes les catégories
production) ;
l’amélioration du système de gestion de la sécurité.
•
(anciennement SAS70) et PCI/DSS pour Worldline (secteur des
de sécurité sont les suivantes : ISO 27001, ISAE 3402
paiements).
Les principales certifications obtenues par le Groupe en matière
reporting
Indicateurs clés de performance de sécurité et
Du point de vue de la gestion des performances en matière de
les activités commerciales d’Atos.
sécurité, Atos surveille le déploiement de l’ISO 27001 à toutes
En 2016, 19 sites ont été audités par un auditeur externe (Ernst
Europe Centrale et de l'Est, France, Benelux et Pays Nordiques,
and Young) : Asie Pacifique, Iberia, Moyen Orient et Afrique,
sites sélectionnés. En outre, Atos a réalisé 121 audits internes
Amérique du Sud, Allemagne pour certaines divisions dans les
dans des sites différents.
revues des droits d’accès, systèmes de détection d’intrusion, et
vulnérabilités hebdomadaires, tests de pénétration annuels,
mesures font partie du cadre de sécurité d’Atos
[AO3].
suivi et enregistrement des événements du système). Toutes ces
les anomalies de sécurité (analyse hebdomadaire de la sécurité,
et le reporting sont en place pour agir de manière proactive sur
suivi mensuel des configurations de pare-feu, des analyses de
En plus de ces indicateurs de haut niveau, le contrôle technique