Atos - Document de référence 2016

D Responsabilité sociétale d’entreprise D.4

Être un acteur éthique et équitable dans sa sphère d’influence

Protection des actifs D.4.1.3

responsabilité du Directeur de la Sécurité du Groupe – a été structurée autour de réunions hebdomadaires sous la du Groupe et des Entités Opérationnelles, représentants de Responsable de la Sécurité, avec tous les responsables sécurité de sécurité informatique). La Gouvernance Groupe de la sécurité (par exemple la création d’une équipe de réponse aux incidents ensemble sur : (CSO) de l’ensemble de l’organisation du Groupe travaillent Durant les réunions hebdomadaires, les Directeurs de la Sécurité le suivi de toutes les décisions et actions prises en matière de • sécurité ; un intérêt mondial ; la revue de tous les événements et incidents de sécurité ayant • l’examen des résultats des tests de vulnérabilités fonctionnant • de réseaux Atos (Internet, Intranet, les environnements de depuis le deuxième semestre 2013 sur toutes les catégories production) ; l’amélioration du système de gestion de la sécurité. • (anciennement SAS70) et PCI/DSS pour Worldline (secteur des de sécurité sont les suivantes : ISO 27001, ISAE 3402 paiements). Les principales certifications obtenues par le Groupe en matière reporting Indicateurs clés de performance de sécurité et Du point de vue de la gestion des performances en matière de les activités commerciales d’Atos. sécurité, Atos surveille le déploiement de l’ISO 27001 à toutes En 2016, 19 sites ont été audités par un auditeur externe (Ernst Europe Centrale et de l'Est, France, Benelux et Pays Nordiques, and Young) : Asie Pacifique, Iberia, Moyen Orient et Afrique, sites sélectionnés. En outre, Atos a réalisé 121 audits internes Amérique du Sud, Allemagne pour certaines divisions dans les dans des sites différents. les anomalies de sécurité (analyse hebdomadaire de la sécurité, et le reporting sont en place pour agir de manière proactive sur suivi mensuel des configurations de pare-feu, des analyses de En plus de ces indicateurs de haut niveau, le contrôle technique gestion de la sécurité pour aborder des domaines spécifiques poursuite de l’affectation ou la mise en place d’équipes de A la suite des initiatives de 2013, l’organisation et la Divisions d’Atos (par exemple Infrastructure & Data Management gouvernance de la sécurité ont encore été renforcées dans les ainsi que Business & Platform Solutions) ainsi que par la l’ensemble des entités d’Atos. revues des droits d’accès, systèmes de détection d’intrusion, et vulnérabilités hebdomadaires, tests de pénétration annuels, mesures font partie du cadre de sécurité d’Atos  [AO3]. suivi et enregistrement des événements du système). Toutes ces

Une approche globale de la protection des biens

métiers internes et externes (c’est-à-dire « liés aux clients »). d’Atos afin de garantir la sûreté et la sécurité des processus des consultants partout dans l’organisation Atos. Elles s’appliquent à l’ensemble des équipes, des contractants et obligatoires et engagent toutes les entités et tous les employés sécurité et la sûreté. Les politiques de sécurité d’Atos sont 50 politiques, normes et recommandations Groupe sur la Le Département de la Sécurité du Groupe d’Atos a élaboré protection de tous les biens d’Atos, qu’ils soient propriété d’Atos, Les politique Sécurité et Sûreté du Groupe Atos englobent la intellectuelle, sites, réseaux, employés, logiciels et matériels utilisés par ou confiés à Atos (informations, propriété Depuis 2013, les principales politiques de sécurité d’Atos ont été internes) : intégrées au « Book of Internal Policies » (livre de politiques AP90 Politique de Sécurité des Informations d’Atos ; • AP91 Politique de Classification des Informations d’Atos ; • AP92 Politique de Sûreté d’Atos ; • l’Information d’Atos. AP96 Politique d’Utilisation Acceptable des Technologies de • protéger sa propriété intellectuelle et ses informations De plus, Atos a mis en place des mesures et des politiques pour d’accords de confidentialité, le cryptage et la protection logique confidentielles, incluant mais non limitées à, l’utilisation et physique des informations quand cela est requis. En outre, le Département Juridique, Compliance et Gestion des commerciales et s’assure que des dispositions appropriées soient contrats d’Atos conseille sur toutes les transactions que les questions de confidentialité soient traitées de façon incluses dans les contrats avec les clients et les fournisseurs et gouvernance Système de gestion de la sécurité, organisation et (SMSI), réalisé en 2001, continue d’être appliqué dans toutes les Le système de Gestion de la Sécurité de l’Information d’Atos alignée sur ce processus d’amélioration continue relatif au SMSI. Entités Opérationnelles et Divisions. L’organisation Sécurité est rassemblées en une seule série de politiques de sécurité qui sont Les améliorations qu’il est prévu d’apporter au SMSI sont monde et seront : harmonisées dans tous les secteurs d’Atos, partout dans le rédigées clairement et de façon à permettre au personnel • d’Atos de les comprendre et de les respecter ; uniformes dans la structure et la terminologie ; • faciles à utiliser et à maintenir à jour. • Ceci sera aidé par un exercice rationalisé de revue et d’approbation des documents. informatiques). appropriée et en conformité avec les lois applicables.

Trusted partner for your Digital Journey

90