Hermès // Extrait RSE 2023

4

FACTEURS ET GESTION DES RISQUES FACTEURS DE RISQUE

4.1.1 RISQUES LIÉS À LA STRATÉGIE ET AUX OPÉRATIONS 4.1.1.1 SYSTÈMES D’INFORMATION ET CYBERATTAQUE ●

DESCRIPTIF DU RISQUE s

IMPACTS POTENTIELS SUR LE GROUPE s

Les systèmes d’information ont une importance primordiale dans le bon déroulement des opérations quotidiennes du groupe. Elles concernent les clients, les fournisseurs et les salariés, et sont relatives en particulier au traitement et au stockage de leurs données. La protection des données personnelles est une priorité pour le groupe.

Une indisponibilité partielle ou totale de certains éléments du système d’information pourrait désorganiser ou paralyser des processus clés de production ou de distribution.

IMPACT PROBABILITÉ

Une atteinte aux systèmes d’information, provoquée par exemple par une cyberattaque, pourrait entraîner une violation de données générant la divulgation non autorisée de données personnelles ou la fuite d’informations confidentielles.

GESTION DU RISQUE s

Un modèle de gouvernance globale des systèmes d’information définit clairement les rôles et responsabilités du siège et des filiales du groupe. Des règles d’architecture et d’urbanisation communes favorisent un modèle centralisé lorsque les contraintes techniques ou réglementaires le permettent. Les fonctions régaliennes des systèmes d’information restent gérées par le siège. Le directeur cybersécurité groupe dirige l’ensemble des activités pour le siège et les filiales. Il anime un ensemble de comités permettant de suivre les projets et l’évolution des risques cyber afin d’en rendre compte au Comité exécutif ainsi qu’au Comité d’audit et des risques par le biais des Comités sécurité IT et sécurité groupe. Une communauté cybersécurité est animée par l’équipe groupe qui s’appuie sur des experts dédiés et des responsables locaux. La collaboration entre ces différents acteurs est facilitée notamment par l’animation de points mensuels (partage sur l’actualité et l’évolution de la menace, suivi de la feuille de route, rappel de bonnes pratiques), de webcasts thématiques mensuels et par l’organisation d’événements ad hoc . Les dépenses effectuées par Hermès dans le domaine informatique (budget d’investissement et de fonctionnement) sont réévaluées chaque année pour assurer un bon alignement des investissements avec les enjeux stratégiques du groupe. Elles ont pour objectifs d’aligner les infrastructures techniques et les systèmes avec les besoins croissants des utilisateurs, tout en garantissant une bonne performance opérationnelle. Elles visent également à maintenir sous contrôle les risques informatiques et à faire évoluer les systèmes d’information, notamment sur les nouveaux usages digitaux et cloud avec un souci de responsabilité sociale et environnementale. La direction des systèmes d’information travaille dans le cadre d’une charte informatique et d’un ensemble de procédures applicables à toutes les sociétés du groupe. Notamment, une politique de sécurité des systèmes d’information (PSSI) est actualisée annuellement pour s’adapter à la menace. Des audits de sécurité informatique et de conformité aux procédures sont réalisés périodiquement sur l’ensemble des filiales, en collaboration avec la direction de l’audit et des risques et avec l’aide de prestataires externes. Ils permettent de s’assurer que les dispositifs internes de maîtrise restent efficaces et adaptés aux principales menaces actuelles et émergentes et du bon alignement avec les lois et réglementations applicables là où la maison opère. En matière de prévention des risques informatiques, la cartographie des risques IT est régulièrement mise à jour et présentée au Comité d’audit et des risques. Cet exercice est complété par une évaluation régulière de la maturité cyber, incluant les principales régions du monde. Une démarche Zero‑Trust a été initiée, permettant de moderniser la sécurité des infrastructures, les annuaires, la gestion du cycle de vie des identités, la sécurisation des accès (collaborateurs, partenaires et comptes à privilèges), la prévention de la fuite de données, la protection des applications cloud et la sécurisation physique des centres de données. Une attention spécifique a été portée sur les installations industrielles (notamment lors de l’acquisition de nouvelles structures) et la sécurité des objets connectés. L’amélioration des dispositifs de secours et de tolérance de panne des systèmes critiques était également incluse pour garantir la continuité de fonctionnement en cas d’incident.

Stratégie & opérations

Industrie

RSE

Conformité réglementaire

Finance

DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023 HERMÈS INTERNATIONAL EXTRAIT DU DOCUMENT D’ENREGISTREMENT UNIVERSEL 2023 HERMÈS INTERNATIONAL

386