Hermès // Document d'enregistrement universel 2021

4

FACTEURS ET GESTION DES RISQUES FACTEURS DE RISQUE

SYSTÈMES D’INFORMATION ET CYBERATTAQUE ●

4.1.1.3

DESCRIPTIF DU RISQUE s

IMPACTS POTENTIELS SUR LE GROUPE s

Les systèmes d’information ont une importance primordiale dans le bon déroulement des opérations quotidiennes du groupe. Elles peuvent aussi bien concerner les clients, les fournisseurs ou les salariés que le traitement et le stockage des données. La protection des données personnelles est une priorité pour le groupe.

Une indisponibilité partielle ou totale de certains systèmes d’information peut désorganiser ou paralyser les processus et les activités concernés. Une atteinte aux systèmes d’information, provoquée par exemple par une cyberattaque, peut entraîner une violation de données, telle qu’une divulgation non autorisée de données sensibles.

IMPACT PROBABILITÉ

GESTION DU RISQUE s Un modèle de gouvernance globale des systèmes d’information définit clairement les rôles et responsabilités du siège et des filiales du groupe. Des règles d’architecture et d’urbanisation communes favorisent un modèle centralisé lorsque les contraintes techniques ou réglementaires le permettent. Les fonctions régaliennes des systèmes d’information restent gérées par le siège. Une communauté cybersécurité est animée par l’équipe groupe qui s’appuie sur des experts dédiés et des relais locaux. La collaboration entre ces différents acteurs est facilitée notamment par l’animation de points mensuels (partage sur l’actualité et l’évolution de la menace, suivi de la feuille de route, rappel de bonnes pratiques), de webcasts thématiques mensuelles et par l’organisation de séminaires bisannuels dédiés. Les dépenses effectuées par Hermès dans le domaine informatique (budget d’investissement et de fonctionnement) sont réévaluées chaque année pour assurer un bon alignement des investissements avec les enjeux stratégiques du groupe. Elles ont pour objectifs d’aligner les infrastructures techniques et les systèmes avec les besoins croissants des utilisateurs tout en garantissant une bonne performance opérationnelle. Elles visent également à maintenir sous contrôle les risques informatiques et à faire évoluer les systèmes d’information, notamment sur les nouveaux usages digitaux et cloud avec un souci de responsabilité sociale et environnementale. La direction des systèmes d’information travaille dans le cadre d’une charte informatique et d’un ensemble de procédures applicables à toutes les sociétés du groupe. Notamment, une politique de sécurité des systèmes d’information (PSSI) est actualisée annuellement pour s’adapter à la menace. Des audits de sécurité informatique et de conformité aux procédures sont réalisés périodiquement sur l’ensemble des filiales, en collaboration avec la direction de l’audit et des risques et avec l’aide de prestataires externes. Des exercices menés régulièrement sont destinés à renforcer les capacités de détection et de réponse à incident (démarche red team/blue team ). En matière de prévention des risques informatiques, la cartographie des risques IT est régulièrement mise à jour et présentée au Comité d’audit et des risques. Les travaux précédemment initiés ont été poursuivis en 2021. Ils concernaient notamment le renforcement de la sécurité des systèmes centraux, la maîtrise des postes de travail, la gestion du cycle de vie des identités, la sécurisation des accès internes et externes, la prévention de la fuite de données, la protection des applications cloud et la sécurisation physique des centres de données. L’amélioration des dispositifs de secours et de tolérance de panne des systèmes critiques était également incluse pour garantir la continuité de fonctionnement en cas d’incident. La direction des systèmes d’information a renforcé ses capacités de détection et de traitement des incidents. Tous les ordinateurs et serveurs sont dotés d’un logiciel permettant de détecter des anomalies ( Endpoint Detection Response – EDR ), d’installer des correctifs de sécurité et de conduire des investigations en cas de doute. Le traitement des incidents de sécurité est réalisé par une équipe dédiée ( Security Operation Center - SOC ) et fait l’objet d’un suivi précis. Les mesures de sécurité ont été renforcées pendant les périodes de confinement et les nouveaux usages imposés par le télétravail ont été encadrés. De nouvelles actions de sensibilisation des collaborateurs à la sécurité ont été menées sous différentes formes au sein d’un programme global (conférences, films, e-learnings , escape games , site web dédié en huit langues). Chaque année, le mois de la cybersécurité permet de donner une emphase particulière à ces sujets. Des tests d’intrusion via les réseaux internes, Wi-Fi et externes ainsi que des simulations de sinistres informatiques ont été réalisés, et les plans d’action correspondant formalisés. La continuité des opérations informatiques est également testée régulièrement. Des exercices de simulation de crise sont réalisés annuellement et sont suivis de retours d’expérience et de plans d’action. Ils impliquent, outre la direction des systèmes d’information, différents départements du groupe (la direction de la communication interne, la direction de la communication financière et des relations investisseurs, la direction des assurances, la direction de l’audit et des risques, la direction juridique conformité et le délégué à la protection des données, etc.) ainsi qu’un membre du Comité exécutif groupe. Par ailleurs, le groupe veille à respecter les différents standards et réglementations applicables pour la protection des données personnelles (RGPD) et des données des cartes de paiement (PCI-DSS). La conformité à ce dernier standard est d’ailleurs évaluée annuellement par un tiers. La direction des systèmes d’information travaille ainsi avec les autres directions afin de réduire les risques d’atteinte aux systèmes d’information et leurs impacts en cas de survenance.

O Stratégie & opérations Industrie O

RSE O Conformité réglementaire O Finance O

332 DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021 HERMÈS INTERNATIONAL