HERMÈS - Document d'enregistrement universel 2020

4

RISQUES ET CONTRÔLE FACTEURS DE RISQUE

SYSTÈMES D’INFORMATION ET CYBERATTAQUE ●

4.1.1.3

DESCRIPTIF DU RISQUE s

GESTION DU RISQUE s

Les systèmes d’information ont une importance primordiale dans le bon déroulement des opérations quotidiennes du groupe, que ce soit en lien avec les clients, les fournisseurs ou les salariés mais également concernant le traitement et le stockage des données. La protection des données personnelles est une priorité pour le groupe. IMPACTS POTENTIELS SUR LE GROUPE s Une indisponibilité partielle ou totale de certains systèmes d’information peut désorganiser les processus et les activités concernés. Une atteinte aux systèmes d’information telle qu’une cyberattaque pourrait entraîner une violation de données, telle une divulgation non autorisée de données sensibles.

Les dépenses effectuées par Hermès dans le domaine informatique (budget d’investissement et de fonctionnement) sont conformes aux pratiques des autres sociétés du secteur. Elles ont pour objectifs d’aligner les infrastructures techniques et les systèmes avec les besoins croissants des utilisateurs et des métiers du groupe tout en garantissant une bonne performance opérationnelle. Elles visent par ailleurs à maintenir sous contrôle les risques informatiques et à faire évoluer les systèmes d’information, notamment sur les nouveaux usages digitaux avec un souci de responsabilité sociale et environnementale. La direction des systèmes d’information du groupe travaille dans le cadre d’une charte de gouvernance informatique et un corpus de procédures applicables à l’ensemble des sociétés du groupe. Des audits de sécurité informatique et de conformité aux procédures sont réalisés périodiquement sur l’ensemble des filiales, en collaboration avec la direction de l’audit et des risques et avec l’aide de prestataires externes. En matière de prévention des risques informatiques, la cartographie des risques IT est régulièrement mise à jour et présentée au Comité d’audit et des risques. Les travaux réalisés en 2019 ont été poursuivis en 2020. Ils concernaient notamment : le renforcement de la sécurité des systèmes centraux, la maîtrise des postes de travail pour l’ensemble du groupe, la centralisation des droits d’accès afin d’en faciliter la gestion, la sécurisation des accès internes et externes, la prévention de la fuite de données confidentielles, la protection des applications cloud , la sécurisation physique des centres de données et l’amélioration des dispositifs de secours et de tolérance de panne des systèmes critiques pour garantir la continuité de fonctionnement en cas d’incident. La direction des systèmes d’information a renforcé ses capacités de détection et de traitement des incidents. Tous les ordinateurs et serveurs sont dotés d’un logiciel permettant de détecter des anomalies, d’installer des correctifs de sécurité et de conduire des investigations en cas de doute. Le traitement des incidents de sécurité est réalisé par une équipe dédiée (Security Operation Center) et fait l’objet d’un suivi précis. Les mesures de sécurité ont été renforcées pendant les périodes de confinement et les nouveaux usages ont été encadrés. De nouvelles actions de sensibilisation des collaborateurs à la sécurité ont été menées sous différentes formes (conférences, films, e-learnings , escape games , site web dédié en huit langues). Des tests d’intrusion via les réseaux internes, Wi-Fi et externes ainsi que des simulations de sinistres informatiques ont été réalisés, et les plans d’action correspondant formalisés. La continuité des opérations informatiques est également testée régulièrement. Des exercices de simulation de crise sont réalisés régulièrement et sont suivis de retours d’expérience et de plans d’action. Par ailleurs, le groupe veille à respecter les différentes normes et réglementations, par exemple en matière de gestion des données des cartes de paiement (PCI-DSS) ou de protection des données personnelles (RGPD). Par conséquent, la direction des systèmes d’information travaille avec les autres directions afin de réduire les risques d’atteinte aux systèmes d’information et leurs impacts en cas de survenance.

328 DOCUMENT D’ENREGISTREMENT UNIVERSEL 2020 HERMÈS INTERNATIONAL